Palo Alto Networks

Gua del administrador de PAN-OS

Versin 6.1

Informacin de contacto
Sede de la empresa:

Palo Alto Networks

4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/

Acerca de esta gua

En esta gua se explican los procesos de configuracin y mantenimiento de su cortafuegos de prxima generacin de
Palo Alto Networks. Para obtener ms informacin, consulte los siguientes recursos:

Para obtener informacin sobre funciones adicionales e instrucciones sobre cmo configurar las funciones en el
cortafuegos, consulte https://www.paloaltonetworks.com/documentation.

Para acceder a la base de conocimientos, documentacin al completo, foros de debate y vdeos, consulte
https://live.paloaltonetworks.com.

Para ponerse en contacto con el equipo de asistencia tcnica, obtener informacin sobre los programas de asistencia
tcnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.

Para leer las notas sobre la ltima versin, vaya la pgina de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.

Para enviar sus comentarios sobre la documentacin, dirjase a: [email protected].

Palo Alto Networks, Inc.

www.paloaltonetworks.com
2014 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks y PAN-OS son marcas comerciales registradas de Palo Alto Networks, Inc.
Fecha de revisin: marzo 13, 2015

ii

Contenido
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Integracin del cortafuegos en su red de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Determinacin de la estrategia de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Realizacin de la configuracin inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Establecimiento de acceso a la red para servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Registro del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Activacin de la licencia y suscripciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Gestin de la actualizacin de contenidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Instalacin de actualizaciones de software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Creacin del permetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Implementaciones de interfaz bsica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Acerca de la poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Planificacin de la implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Configuracin de interfaces y zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Configuracin de polticas de seguridad bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Habilitacin de funciones de prevencin de amenazas bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Habilitacin de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Exploracin del trfico en busca de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Control del acceso a contenido web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Prcticas recomendadas para completar la implementacin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . 44

Gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Interfaces de gestin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Uso de la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Uso de la interfaz de lnea de comandos (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Uso de la API XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Gestin de los administradores de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Funciones administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Autenticacin administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Creacin de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Referencia: acceso de administrador a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Privilegios de acceso a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Acceso a la interfaz web de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks. . . . . . . . . . . . . . . . . 107
Puertos usados para funciones de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Puertos usados para HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Puertos usados para Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Puertos usados para User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Restablecimiento del cortafuegos a los ajustes predeterminados de fbrica . . . . . . . . . . . . . . . . . . . . . . . . 112

Gestin de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113

Claves y certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

Gua del administrador de PAN-OS

Revocacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

Lista de revocacin de certificados (CRL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Protocolo de estado de certificado en lnea (OCSP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Implementacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Configuracin de la verificacin del estado de revocacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de un OCSP Responder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la verificacin del estado de revocacin de certificados utilizados
para la autenticacin de usuarios/dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la verificacin de estado de certificados usados para la descifrado
de SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

119
119
121
121

Configuracin de la clave maestra. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

Obtencin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creacin de un certificado de CA raz autofirmado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Generacin de un certificado en un cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Importacin de un certificado y una clave privada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Obtencin de un certificado desde una CA externa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

124
125
126
127
128

Configuracin de un perfil de certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Configuracin del tamao de clave para los certificados de servidor proxy SSL de reenvo . . . . . . . . . . . 133
Revocacin y renovacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Revocacin de un certificado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Renovacin de un certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Claves seguras con un mdulo de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la conectividad con un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cifrado de una clave maestra con HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Almacenamiento de claves privadas en un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestin de la implementacin del HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

135
136
142
144
146

Alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

Descripcin general de la alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Conceptos de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modos de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Enlaces de HA y enlaces de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prioridad y preferencia de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activadores de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Temporizadores de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

149
149
149
152
152
153

Configuracin de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Requisitos para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Directrices de configuracin para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de las condiciones de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verificacin de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

156
157
158
160
166
167

Recursos de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

ii

Gua del administrador de PAN-OS

Uso del centro de comando de aplicacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Nivel de riesgo de ACC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Grficos de ACC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Pginas de detalles de ACC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Uso de ACC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Uso de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Informe de resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Informe del supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Informe del mapa de trfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Realizacin de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Supervisin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Supervisin de aplicaciones y amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Supervisin de datos de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Supervisin del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Visualizacin de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Reenvo de logs a servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Definicin de destinos de logs remotos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Habilitacin del reenvo de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Perfiles de reenvo de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Supervisin del Firewall mediante SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Supervisin del cortafuegos mediante NetFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Plantillas de NetFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Identificacin de interfaces de cortafuegos en sistemas de supervisin externos . . . . . . . . . . . . . . . . . . . . 213
Gestin de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
Acerca de los informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Visualizacin de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
Deshabilitacin de informes predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Generacin de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Generacin de informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Gestin de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Generacin de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Gestin de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Programacin de informes para entrega de correos electrnicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Descripcin de los campos de Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Descripcin general de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Conceptos de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Asignacin de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Asignacin de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Habilitacin de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Asignacin de usuarios a grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Asignacin de direcciones IP a usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256

Gua del administrador de PAN-OS

iii

Configuracin de la asignacin de usuarios mediante el agente de User-ID de Windows . . . . . . . . .

Configuracin de la asignacin de usuarios mediante el agente de User-ID integrado
en PAN-OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de User-ID para recibir asignaciones de usuarios desde un emisor de Syslog . . . . . .
Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo . . . . . . . . . . . . . . . .
Configuracin de la asignacin de usuarios para usuarios del servidor de terminal . . . . . . . . . . . . . .
Envo de asignaciones de usuarios a User-ID mediante la API XML. . . . . . . . . . . . . . . . . . . . . . . . .

257
266
269
279
285
294

Configuracin de un cortafuegos para compartir datos de asignacin de usuarios con

otros cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
Habilitacin de poltica basada en usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
Verificacin de la configuracin de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300

App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Descripcin general de App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Gestin de aplicaciones personalizadas o desconocidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Prcticas recomendadas para utilizar App-ID en polticas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Aplicaciones con compatibilidad implcita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
Puertas de enlace de nivel de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
Deshabilitacin de la puerta de enlace de nivel de aplicacin (ALG) SIP. . . . . . . . . . . . . . . . . . . . . . . . . . 312

Prevencin de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

Configuracin de polticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de antivirus, antispyware y proteccin contra vulnerabilidades. . . . . . . . . . . . . . . . . .
Configuracin de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de bloqueo de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

314
315
317
321

Prevencin de ataques de fuerza bruta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323

Firmas y desencadenadores de ataques de fuerza bruta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Personalizacin de la accin y las condiciones de activacin para una firma de fuerza bruta . . . . . . 327
Prcticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7 . . . . . . . . . . . . . . . . . . . . 330
Habilitacin de la recopilacin de DNS pasivo para mejorar la inteligencia contra amenazas . . . . . . . . . 333
Uso de consultas de DNS para identificar hosts infectados en la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sinkholing de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de sinkholing de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identificacin de hosts infectados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

334
335
336
340

Infraestructura de Content Delivery Network para actualizaciones dinmicas . . . . . . . . . . . . . . . . . . . . . 342

Recursos de prevencin de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344

Descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
Descripcin general del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Conceptos de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de claves y certificados para el descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proxy SSL de reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Inspeccin de entrada SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proxy SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

iv

347
348
350
352
353

Gua del administrador de PAN-OS

Excepciones de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354

Reflejo del puerto de descifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Configuracin del proxy SSL de reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
Configuracin de la inspeccin de entrada SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Configuracin del Proxy SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Configuracin de excepciones de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Exclusin del trfico del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Exclusin de un servidor del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Permisos para que los usuarios excluyan el descifrado SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Configuracin del reflejo del puerto de descifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
Desactivacin temporal del descifrado SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371

Filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373

Descripcin general del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
Proveedores de filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
Interaccin entre App-ID y categoras de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
Conceptos del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Categoras de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Perfil de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
Acciones del perfil de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Listas de bloqueadas y permitidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Forzaje de bsquedas seguras. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Pginas contenedoras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Logs de encabezado HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Pginas de respuesta de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Categora de URL como criterio de coincidencia de poltica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
Flujo de trabajo de categorizacin de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
Componentes de categorizacin de URL de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
Flujo de trabajo de categorizacin de URL de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Habilitacin de un proveedor de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
Habilitacin de PAN-DB URL Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Habilitacin del filtrado de URL de BrightCloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Determinacin de los requisitos de la poltica de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Supervisin de la actividad web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
Interpretacin de los logs de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
Uso del ACC para supervisar la actividad web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
Visualizacin de informes de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
Visualizacin del informe de actividad del usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Configuracin de informes de filtrado de URL personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Configuracin de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
Personalizacin de las pginas de respuesta de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
Configuracin de la cancelacin de administrador de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Habilitacin del forzaje de bsquedas seguras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
Bloqueo de resultados de bsqueda sin la configuracin de bsqueda segura estricta . . . . . . . . . . . . 414
Habilitacin del forzaje de bsquedas seguras transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418

Gua del administrador de PAN-OS

Ejemplos de casos de uso del filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422

Caso de uso: control de acceso web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Caso de uso: uso de categoras de URL en la poltica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Solucin de problemas del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problemas en la activacin de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problemas de conectividad con la nube de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
URL clasificadas como no resueltas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Categorizacin incorrecta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Base de datos de URL vencida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

429
429
430
431
432
433

Calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435

Descripcin general de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
Conceptos de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
QoS para aplicaciones y usuarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfil de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Clases de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Poltica de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Interfaz de salida de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Trfico de texto claro y de tnel de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

438
438
439
440
441
442
443

Configuracin de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444

Configuracin de QoS para un sistema virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Ejemplos de casos de uso de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Caso de uso: QoS para un nico usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
QoS para aplicaciones de voz y vdeo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460

VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Implementaciones de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Descripcin general de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
Conceptos de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Interfaz de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Supervisin de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Intercambio de claves por red (IKE) para VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

466
466
466
467
467

Configuracin de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Configuracin de una puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de perfiles criptogrficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de un tnel de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la supervisin de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prueba de conectividad VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Interpretacin de mensajes de error de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

471
471
473
476
479
481
482

Configuraciones rpidas de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

VPN de sitio a sitio con rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VPN de sitio a sitio con OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VPN de sitio a sitio con rutas estticas y enrutamiento dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . .

483
483
488
494

VPN a gran escala (LSVPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501

vi

Gua del administrador de PAN-OS

Descripcin general de LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502

Creacin de interfaces y zonas para la LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
Habilitacin de SSL entre componentes de LSVPN de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
Acerca de la implementacin de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
Implementacin de certificados de servidor en los componentes de LSVPN de GlobalProtect . . . . 505
Configuracin del portal para autenticar satlites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
Configuracin de puertas de enlace de GlobalProtect para LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
Configuracin de la puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
Configuracin del portal de GlobalProtect para LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
Configuracin del portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517
Definicin de las configuraciones de satlites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
Preparacin del dispositivo satlite para unirse a la LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
Verificacin de la configuracin de LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525
Configuraciones rpidas de LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526
Configuracin bsica de LSVPN con rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
Configuracin avanzada de LSVPN con enrutamiento dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530

Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Implementaciones de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
Implementaciones de cable virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
Implementaciones de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
Implementaciones de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
Implementaciones de modo tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540
Enrutadores virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Conceptos de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Configuracin de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
Configuracin de OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Configuracin del reinicio correcto de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
Confirmacin del funcionamiento de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
BGP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563
Configuracin de sesin y tiempos de espera de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568
Sesiones de capa de transporte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
UDP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571
ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
Configuracin de los tiempos de espera de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
Definicin de la configuracin de sesin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
Descripcin general de DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
Mensajes DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578

Gua del administrador de PAN-OS

vii

Direccin DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Opciones de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Restricciones a la implementacin en Palo Alto Networks del DHCP . . . . . . . . . . . . . . . . . . . . . . . .
Configure una interfaz como servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configure una interfaz como cliente DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configure una interfaz como agente de rel DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Supervisin y resolucin de problemas de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

579
580
581
582
585
587
587

NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Objetivo del NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas NAT y polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT de origen y destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Capacidades de regla NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sobresuscripcin de NAT de IP dinmica y puerto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estadsticas de memoria NAT de plano de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

589
589
589
590
591
592
593
594

LACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
Ajustes LACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
Configuracin de LACP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 605

Poltica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
Tipos de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610
Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
Componentes de una regla de poltica de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612
Prcticas recomendadas de polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
Objetos de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de proteccin de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de bloqueo de archivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfil de proteccin contra ataques por denegacin de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de proteccin de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupo de perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

617
618
619
620
621
622
623
624
625
626

Enumeracin de reglas dentro de una base de reglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630

Use etiquetas para distinguir objetos visualmente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632

viii

Trucos y consejos para buscar objetos en poltica de seguridad.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Bsqueda de reglas de polticas de seguridad para perfiles de seguridad. . . . . . . . . . . . . . . . . . . . . . .
Bsqueda de reglas desactivadas en la poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bsqueda de los detalles de reenvo de logs en la poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . .
Bsqueda de Detalles de log en poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bsqueda de reglas programadas en la poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

634
634
638
638
639
640

Uso de una lista de bloques dinmicos en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Visualizacin del lmite de direcciones IP para su modelo de cortafuegos . . . . . . . . . . . . . . . . . . . . .
Directrices de formato para listas de bloque dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Forzaje de polticas con una Lista de bloque dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Consulta de la lista de direcciones IP en la lista de bloque dinmico . . . . . . . . . . . . . . . . . . . . . . . . .

641
641
642
642
644

Gua del administrador de PAN-OS

Recuperacin de una lista de bloque dinmico del servidor web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 644

Registro de direcciones IP y etiquetas dinmicamente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
Supervisin de cambios en el entorno virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646
Habilitacin de supervisin de VM para el registro de cambios en la red virtual . . . . . . . . . . . . . . . . 647
Atributos supervisados en los entornos AWS y VMware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 650
Uso de grupos de direcciones dinmicas en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
Comandos de la CLI para etiquetas y direcciones IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654
Registro de direcciones IP de clientes para solicitudes HTTP/HTTPS con proxy . . . . . . . . . . . . . . . . . . 656
Log de valores de X-Forwarded-For del log de trfico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656
Log de valores de X-Forwarded-For del log de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657
Reenvo basado en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658
PBF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659
Creacin de una regla de reenvo basada en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662
Caso de uso: PBF para acceso saliente con ISP duales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 664

Sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .673

Descripcin de los sistemas virtuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
Componentes y segmentacin de los sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
Beneficios de los sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675
Uso de casos para sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675
Compatibilidad con plataformas y licencias de sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676
Restricciones de los sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676
Funciones de administrador para sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676
Objetos compartidos para sistemas virtuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676
Comunicacin entre sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 677
Trfico entre VSYS que debe abandonar el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678
Trfico entre VSYS que permanece en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678
La comunicacin entre VSYS usa dos sesiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681
Puerta de enlace compartida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682
Zonas externas y puerta de enlace compartida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682
Consideraciones de red para una puerta de enlace compartida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683
Configuracin de sistemas virtuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
Configuracin de la comunicacin entre sistemas virtuales dentro del cortafuegos . . . . . . . . . . . . . . . . . . 687
Configuracin de una puerta de enlace compartida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 688
Funcionalidad de sistema virtual con otras funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 689

Gua del administrador de PAN-OS

ix

Gua del administrador de PAN-OS

Primeros pasos
Las siguientes secciones proporcionan pasos detallados para ayudarle a implementar un nuevo cortafuegos de
prxima generacin de Palo Alto Networks. Proporcionan detalles para integrar un nuevo cortafuegos en su red
y configurar polticas de seguridad bsicas y funciones de prevencin de amenazas.
Despus de realizar los pasos de configuracin bsicos necesarios para integrar el cortafuegos en su red, puede
utilizar el resto de los temas de esta gua como ayuda para implementar las completas funciones de la plataforma
de seguridad empresarial segn sea necesario para cubrir sus necesidades de seguridad de red.

Integracin del cortafuegos en su red de gestin

Creacin del permetro de seguridad

Habilitacin de funciones de prevencin de amenazas bsicas

Prcticas recomendadas para completar la implementacin del cortafuegos

Primeros pasos

Integracin del cortafuegos en su red de gestin

Primeros pasos

Integracin del cortafuegos en su red de gestin

Todos los cortafuegos de Palo Alto Networks incluyen un puerto de gestin externo (MGT) que puede usar
para llevar a cabo las funciones de administracin del cortafuegos. Al usar el puerto de gestin, est separando
las funciones de gestin del cortafuegos de las funciones de procesamiento de datos, de modo que protege el
acceso al cortafuegos y mejora el rendimiento. Al usar la interfaz web, debe realizar todas las tareas de
configuracin inicial desde el puerto de gestin, incluso aunque pretenda usar un puerto interno para gestionar
su dispositivo ms adelante.
Algunas tareas de gestin, como la recuperacin de licencias, la actualizacin de amenazas y las firmas de las
aplicaciones en el cortafuegos requieren acceso a Internet. Si no desea activar el acceso externo a su puerto de
gestin, deber establecer un puerto de datos para permitir el acceso a los servicios externos requeridos o
plantearse cargar manualmente actualizaciones de forma regular.
Los siguientes temas describen cmo realizar los pasos de la configuracin inicial necesarios para integrar un
nuevo cortafuegos en la red de gestin e implementarlo con una configuracin de seguridad bsica.

Determinacin de la estrategia de gestin

Realizacin de la configuracin inicial

Establecimiento de acceso a la red para servicios externos

Registro del cortafuegos

Activacin de la licencia y suscripciones

Gestin de la actualizacin de contenidos

Instalacin de actualizaciones de software

Los siguientes temas describen cmo integrar un nico cortafuegos de prxima generacin de
Palo Alto Networks en su red. Sin embargo, para obtener redundancia, debera implementar dos
cortafuegos en una configuracin de Alta disponibilidad.

Primeros pasos

Primeros pasos

Integracin del cortafuegos en su red de gestin

Determinacin de la estrategia de gestin

El cortafuegos Palo Alto Networks se puede configurar y administrar localmente o de forma central usando
Panorama, el sistema de administracin de seguridad centralizado de Palo Alto Networks. Si tiene seis o ms
cortafuegos implementados en su red, use Panorama para obtener estas ventajas:

Reducir la complejidad y la carga administrativa en la configuracin de la gestin, polticas, software y cargas

de contenido dinmico. Usando las plantillas y grupos de dispositivos de Panorama puede gestionar
eficazmente la configuracin especfica de los dispositivos en un dispositivo e introducir las polticas
compartidas en todos los dispositivos o grupos de dispositivos.

Agregar datos de todos los cortafuegos gestionados y conseguir visibilidad en todo el trfico de su red. El
Centro de comando de aplicacin (ACC) de Panorama ofrece un panel de pantalla nica para unificar
informes de todos los cortafuegos que le permiten realizar anlisis, investigaciones e informes de forma
central sobre el trfico de red, los incidentes de seguridad y las modificaciones administrativas.

Los procedimientos de este documento describen cmo gestionar el cortafuegos usando la interfaz web local.
Si quiere utilizar Panorama para la gestin centralizada, cuando haya completado las instrucciones de la seccin
Realizacin de la configuracin inicial de esta gua, verifique que el cortafuegos puede establecer una conexin
con Panorama. A partir de aqu, puede usar Panorama para configurar su cortafuegos de forma centralizada.

Primeros pasos

Integracin del cortafuegos en su red de gestin

Primeros pasos

Realizacin de la configuracin inicial

De forma predeterminada, la direccin IP del cortafuegos es 192.168.1.1 y el nombre de usuario/contrasea es
admin/admin. Por motivos de seguridad, debe cambiar estos ajustes antes de continuar con otras tareas de
configuracin del cortafuegos. Debe realizar estas tareas de configuracin inicial desde la interfaz de gestin
(MGT), aunque no pretenda usar esta interfaz para la gestin de su cortafuegos, o usar una conexin de serie
directa al puerto de la consola del dispositivo.
Configuracin del acceso de red al cortafuegos

Paso 1

Obtenga la informacin necesaria de su

administrador de red.

Direccin IP para el puerto MGT

Mscara de red
Puerta de enlace predeterminada
Direccin de servidor DNS

Paso 2

Conecte su ordenador al cortafuegos.

Puede conectarse al cortafuegos de uno de estos modos:

Conecte un cable serie desde su ordenador al puerto de la consola
y conecte con el cortafuegos usando el software de emulacin de
terminal (9600-8-N-1). Espere unos minutos hasta que se
complete la secuencia de arranque; cuando el dispositivo est listo,
el mensaje cambiar al nombre del cortafuegos, por ejemplo
PA-500 login.
Conecte un cable Ethernet RJ-45 desde su ordenador hasta el
puerto de gestin del cortafuegos. Use un navegador para ir a
https://192.168.1.1. Tenga en cuenta que tal vez deba
cambiar la direccin IP de su ordenador a una direccin de la red
192.168.1.0, como 192.168.1.2, para acceder a esta URL.

Paso 3

Cuando se le indique, inicie sesin en el

cortafuegos.

Debe iniciar sesin usando el nombre de usuario y contrasea

predeterminados (admin/admin). El cortafuegos comenzar
a inicializarse.

Paso 4

Configure la interfaz de gestin.

1.

Seleccione Dispositivo > Configuracin > Gestin y, a

continuacin, edite la Configuracin de interfaz de gestin.

2.

Introduzca la direccin IP, mscara de red y puerta de enlace

predeterminada.

3.

Fije la velocidad en negociacin automtica.

4.

Seleccione los servicios de gestin que permitir en la interfaz.

Asegrese de que ni Telnet ni HTTP estn seleccionados,
ya que estos servicios usan texto sin formato y no son
tan seguros como los otros servicios.

5.

Haga clic en ACEPTAR.

Primeros pasos

Primeros pasos

Integracin del cortafuegos en su red de gestin

Configuracin del acceso de red al cortafuegos (Continuacin)

Paso 5

Paso 6

Paso 7

Paso 8

(Opcional) Configure los ajustes

generales del cortafuegos.

1.

Seleccione Dispositivo > Configuracin > Gestin y edite la

Configuracin general.

2.

Introduzca un nombre de host para el cortafuegos y el nombre

de dominio de su red. El nombre de dominio tan solo es una
etiqueta, no se usar para unirse al dominio.

3.

Introduzca la Latitud y Longitud para permitir la colocacin

precisa del cortafuegos en el mapamundi.

4.

Haga clic en ACEPTAR.

Configure los ajustes de DNS, hora y

fecha.

1.

Seleccione Dispositivo > Configuracin > Servicios y edite los

Servicios.

Debe configurar manualmente al

menos un servidor DNS en el
cortafuegos o no podr resolver
los nombres de host; no usar
configuraciones del servidor DNS
de otra fuente, como un ISP.

2.

En la pestaa Servicios, introduzca la direccin IP del servidor

DNS principal y, de manera opcional, del servidor DNS
secundario.

3.

Para usar el clster virtual de los servidores horarios en Internet,

introduzca el nombre de host pool.ntp.org como el servidor
NTP principal o aada la direccin IP de su servidor NTP
principal y, de manera opcional, un servidor NTP secundario.

4.

Para autenticar las actualizaciones horarias desde un servidor

NTP, seleccione la pestaa NTP, introduzca la direccin del
servidor NTP y seleccione Tipo de autenticacin que usar el
cortafuegos.

5.

Haga clic en Aceptar para guardar la configuracin.

Establezca una contrasea segura para la 1.

cuenta de administrador.
2.

Compile los cambios.

Al guardar los cambios de
configuracin, perder la conexin
con la interfaz web, ya que la
direccin IP habr cambiado.

Paso 9

Conecte el cortafuegos a su red.

Paso 10 Abra una sesin de gestin SSH en el

cortafuegos.

Primeros pasos

Seleccione Dispositivo > Administradores.

Seleccione la funcin admin.

3.

Introduzca la contrasea predeterminada actual y la nueva

contrasea.

4.

Haga clic en Aceptar para guardar la configuracin.

Haga clic en Confirmar. El dispositivo puede tardar hasta

90 segundos en guardar sus cambios.

1.

Desconecte el cortafuegos de su ordenador.

2.

Conecte el puerto de gestin a un puerto de conmutador en su

red de gestin usando un cable Ethernet RJ-45. Asegrese de
que el puerto de conmutacin que conecta al cortafuegos
mediante un cable est configurado para negociacin
automtica.

Usando un software de emulacin de terminal, como PuTTY, inicie

una sesin SSH en el cortafuegos usando la nueva direccin IP que
le ha asignado.

Integracin del cortafuegos en su red de gestin

Primeros pasos

Configuracin del acceso de red al cortafuegos (Continuacin)

Paso 11 Verifique el acceso a la red para los

servicios externos requeridos para la
gestin del cortafuegos, como el servidor
de actualizaciones de Palo Alto Networks,
de uno de estos modos:
Si no desea permitir que una red
externa acceda a la interfaz de gestin,
tendr que configurar un puerto de
datos para recuperar las actualizaciones
de servicio requeridas. Vaya a
Establecimiento de acceso a la red para
servicios externos.
Si planea permitir el acceso de la red
externa a la interfaz MGT, compruebe
que tiene conectividad y proceda a
Registro del cortafuegos y Activacin
de la licencia y suscripciones

Si ha conectado el puerto de gestin con un cable para tener acceso

desde una red externa, compruebe que tiene acceso al cortafuegos y
desde el mismo usando la utilidad ping de la CLI. Asegrese de que
tiene conexin a la puerta de enlace predeterminada, servidor DNS
y el servidor de actualizacin de Palo Alto Networks como se
muestra en el siguiente ejemplo:
admin@PA-200> ping host updates.paloaltonetworks.com
Haciendo ping a updates.paloaltonetworks.com (67.192.236.252) con
56(84) bytes de datos.
64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=40.5 ms
64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=53.6 ms
64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=79.5 ms

Cuando haya comprobado la conectividad, pulse Ctrl+C para

detener los pings.

Primeros pasos

Primeros pasos

Integracin del cortafuegos en su red de gestin

Establecimiento de acceso a la red para servicios externos

De manera predeterminada, el cortafuegos usa la interfaz de gestin para acceder a servicios remotos, como
servidores DNS, actualizaciones de contenido y recuperacin de licencias. Si no quiere activar el acceso de una
red externa a su red de gestin, debe establecer un puerto de datos para ofrecer acceso a aquellos servicios
externos requeridos.
Para esta tarea debe estar familiarizado con zonas, polticas e interfaces de cortafuegos. Si
desea ms informacin sobre estos temas, consulte Creacin del permetro de seguridad.

Establecimiento de un puerto de datos para acceder a servicios externos

Paso 1

La interfaz que use necesitar una direccin IP esttica.

Decida el puerto que desea usar para
acceder a servicios externos y conctelo
al puerto del conmutador o al puerto del
enrutador.

Paso 2

Inicie sesin en la interfaz web.

Si usa una conexin segura (https) desde su navegador web, inicie

sesin usando la nueva direccin IP y contrasea que asign durante
la configuracin inicial (https://<direccin IP>). Ver un
advertencia de certificacin; es normal. Vaya a la pgina web.

Paso 3

(Opcional) El cortafuegos viene

preconfigurado con una interfaz de cable
virtual predeterminada entre los puertos
Ethernet 1/1 y Ethernet 1/2 (y sus
correspondientes zonas y polticas de
seguridad predeterminadas). Si no
pretende usar esta configuracin de cable
virtual, debe eliminar manualmente la
configuracin para evitar que interfiera
con otras configuraciones de interfaz
que defina.

Debe eliminar la configuracin en el siguiente orden:

1. Para eliminar la poltica de seguridad predeterminada, seleccione
Polticas > Seguridad, seleccione la regla y haga clic en
Eliminar.

Primeros pasos

2.

A continuacin, elimine el cable virtual predeterminado

seleccionando Red > Cables virtuales, seleccionando el cable
virtual y haciendo clic en Eliminar.

3.

Para eliminar las zonas fiables y no fiables predeterminadas,

seleccione Red > Zonas, seleccione cada zona y haga clic en
Eliminar.

4.

Por ltimo, elimine las configuraciones de interfaz

seleccionando Red > Interfaces y, a continuacin, seleccione
cada interfaz (ethernet1/1 y ethernet1/2) y haga clic en
Eliminar.

5.

Confirme los cambios.

Integracin del cortafuegos en su red de gestin

Primeros pasos

Establecimiento de un puerto de datos para acceder a servicios externos (Continuacin)

Paso 4

Configure la interfaz.

1.

Seleccione Red > Interfaces y seleccione la interfaz que

corresponde al puerto en el que conect el cable en el paso 1.

2.

Seleccione el Tipo de interfaz. Aunque su decisin aqu

depende de la topologa de su red, este ejemplo muestra los
pasos para Capa3.

3.

En la pestaa Configurar, ample el men desplegable Zona de

seguridad y seleccione Nueva zona.

4.

En el cuadro de dilogo Zona, defina un Nombre para una

nueva zona, por ejemplo L3-fiable, y haga clic en Aceptar.

5.

Seleccione la pestaa IPv4, seleccione el botn de opcin

Esttico, haga clic en Aadir en la seccin IP e introduzca la
direccin IP y la mscara de red para asignarlas a la interfaz, por
ejemplo, 192.168.1.254/24.

6.

Seleccione Avanzada > Otra informacin, ample el men

desplegable Perfil de gestin y seleccione Nuevo perfil de
gestin.

7.

Introduzca un Nombre para el perfil, como permitir_ping, y

seleccione a continuacin los servicios que desea permitir en la
interfaz. Estos servicios ofrecen acceso a la gestin del
dispositivo, as que seleccione solo los servicios que
correspondan a actividades de gestin que desee permitir en esta
interfaz. Por ejemplo, si desea utilizar la interfaz de gestin para
las tareas de configuracin del dispositivo a travs de la interfaz
web o CLI, no debera activar HTTP, HTTPS, SSH o Telnet
para poder evitar el acceso no autorizado a travs de esta
interfaz. Para permitir el acceso a los servicios externos,
probablemente solo tenga que activar Ping y despus hacer clic
en Aceptar.

8.

Para guardar la configuracin de la interfaz, haga clic en

Aceptar.

Primeros pasos

Primeros pasos

Integracin del cortafuegos en su red de gestin

Establecimiento de un puerto de datos para acceder a servicios externos (Continuacin)

Paso 5

Dado que el cortafuegos usa la interfaz de 1.

gestin de manera predeterminada para
acceder a los servicios externos que
necesita, debe cambiar la interfaz que usa
el cortafuegos para enviar estas
solicitudes editando las rutas de servicios.

2.

Seleccione Dispositivo > Configuracin > Servicios >

Configuracin de ruta de servicios.

A fin de activar sus licencias y obtener el contenido y las

actualizaciones de software ms recientes, deber
cambiar la ruta de servicio para DNS, actualizaciones de
Palo Alto, actualizaciones de URL y WildFire.
Haga clic en el botn de opcin Personalizar y seleccione una
de estas opciones:
Para un servicio predefinido, seleccione IPv4 o IPv6 y haga
clic en el enlace al servicio para el que quiere modificar la
Interfaz de origen y seleccione la interfaz que acaba de
configurar.
Si se configura ms de una direccin IP para la interfaz
seleccionada, el men desplegable Direccin de origen le
permite seleccionar una direccin IP.
Para crear una ruta de servicio para un destino personalizado,
seleccione Destino y haga clic en Aadir. Introduzca un
nombre de destino y seleccione una interfaz de origen. Si se
configura ms de una direccin IP para la interfaz
seleccionada, el men desplegable Direccin de origen le
permite seleccionar una direccin IP.

Primeros pasos

3.

Haga clic en ACEPTAR para guardar esta configuracin.

4.

Repita los pasos del 2 al 3 indicados anteriormente para cada

ruta de servicio que quiera modificar.

5.

Confirme los cambios.

Integracin del cortafuegos en su red de gestin

Primeros pasos

Establecimiento de un puerto de datos para acceder a servicios externos (Continuacin)

Paso 6

Paso 7

Configure una interfaz externa y una zona 1.

asociada y, a continuacin, cree las reglas
de polticas de seguridad NAT para
permitir que el cortafuegos enve
solicitudes de servicio desde la zona
interna a la externa.

Seleccione Red > Interfaces y, a continuacin, seleccione su

interfaz de orientacin externa. Seleccione Capa3 como el Tipo
de interfaz, aada la direccin IP (en la pestaa IPv4 o IPv6) y
cree la Zona de seguridad asociada (en la pestaa
Configuracin), tal como l3-nofiable. No necesita configurar
servicios de gestin en esta interfaz.

2.

Para configurar una regla de seguridad que permita el trfico

desde su red interna al servidor de actualizaciones de Palo Alto
Networks y los servidores DNS externos, seleccione Polticas >
Seguridad y haga clic en Aadir. Para realizar la configuracin
inicial, puede crear una regla simple que permita todo el trfico
de l3-fiable a l3-nofiable del siguiente modo:

3.

Si usa una direccin IP privada en la interfaz interna, necesitar

crear una regla NAT de origen para traducir la direccin a una
direccin enrutable pblicamente. Seleccione Polticas > NAT y,
a continuacin, haga clic en Aadir. Como mnimo deber
definir un nombre para la regla (pestaa General), especificar
una zona de origen y destino, l3-fiable a l3-nofiable en este caso
(pestaa Paquete original), y definir la configuracin de
traduccin de direccin de origen (pestaa Paquete traducido);
a continuacin debe hacer clic en Aceptar.

4.

Compile sus cambios.

Compruebe que tiene conectividad desde

el puerto de datos a los servicios externos,
incluida la puerta de enlace
predeterminada, el servidor DNS y el
servidor de actualizacin de Palo Alto
Networks.
Tras verificar que tiene la conectividad de
red necesaria, debe realizar el Registro del
cortafuegos y la Activacin de la licencia y
suscripciones.

10

Inicie la CLI y use la utilidad ping para comprobar que tiene

conectividad. Tenga en cuenta que los pings predeterminados se
envan desde la interfaz MGT, por lo que en este caso deber
especificar la interfaz de origen para las solicitudes de ping del
siguiente modo:
admin@PA-200> origen de ping 192.168.1.254 host
updates.paloaltonetworks.com
Hacer ping a updates.paloaltonetworks.com (67.192.236.252) desde
192.168.1.254 : 56(84) bytes de datos.
64 bytes desde 67.192.236.252: icmp_seq=1 ttl=242 tiempo=56.7 ms
64 bytes desde 67.192.236.252: icmp_seq=2 ttl=242 tiempo=47.7 ms
64 bytes desde 67.192.236.252: icmp_seq=3 ttl=242 tiempo=47.6 ms
^C

Cuando haya comprobado la conectividad, pulse Ctrl+C para

detener los pings.

Primeros pasos

Primeros pasos

Integracin del cortafuegos en su red de gestin

Registro del cortafuegos

Registro del cortafuegos

Paso 1

Inicie sesin en la interfaz web.

Si usa una conexin segura (https) desde su navegador web, inicie

sesin usando la nueva direccin IP y contrasea que asign durante
la configuracin inicial (https://<direccin IP>). Ver un
advertencia de certificacin; es normal. Vaya a la pgina web.

Paso 2

Busque el nmero de serie y cpielo en el En el Panel, busque su nmero de serie en la seccin Informacin
portapapeles.
general de la pantalla.

Paso 3

Vaya al sitio de asistencia de Palo Alto

Networks.

Paso 4

Si es el primer dispositivo de Palo Alto Networks que registra y an

Registre el dispositivo. El modo de
no tiene un inicio de sesin, haga clic en Registrar en el lado
registrarse depender de que tenga o no
un inicio de sesin en el sitio de asistencia
derecho de la pgina. Para registrarlo, debe aportar su nmero de
tcnica.
pedido de venta o ID de cliente, as como el nmero de serie de su
cortafuegos (que puede pegar desde el portapapeles) o el cdigo de
autorizacin recibido con su pedido. Tambin se le pedir que
establezca un nombre de usuario y una contrasea para acceder a
la comunidad de asistencia tcnica de Palo Alto Networks.

En una ventana o pestaa nueva del navegador, vaya a

https://support.paloaltonetworks.com.

Si ya dispone de una cuenta de asistencia tcnica, inicie sesin y

haga clic en Mis dispositivos. Desplcese hasta la seccin Registrar
dispositivo, en la parte inferior de la pantalla, e introduzca el
nmero de serie de su cortafuegos (que puede pegar desde el
portapapeles), su ciudad y su cdigo postal, y haga clic en
Registrar dispositivo.

Primeros pasos

11

Integracin del cortafuegos en su red de gestin

Primeros pasos

Activacin de la licencia y suscripciones

Antes de que pueda empezar a usar su cortafuegos para proteger el trfico de su red, deber activar las licencias
de cada uno de los servicios que ha adquirido. Entre las licencias y suscripciones disponibles se incluyen:

Prevencin de amenazas: Proporciona proteccin antivirus, antispyware y contra vulnerabilidades.

Reflejo del puerto de descifrado: Proporciona la capacidad de crear una copia del trfico descifrado desde
un cortafuegos y enviarlo a una herramienta de recopilacin de trfico que sea capaz de recibir capturas de
paquetes sin formato (como NetWitness o Solera) para su archivado y anlisis.

Filtrado de URL: Para crear reglas de poltica basadas en categoras de URL dinmicas, debe adquirir e
instalar una suscripcin para una de las bases de datos de filtrado de URL compatibles: PAN-DB o
BrightCloud. Para obtener ms informacin sobre el filtrado de URL, consulte Control del acceso a
contenido web.

Sistemas virtuales: Esta licencia es necesaria para habilitar la compatibilidad con mltiples sistemas virtuales
en los cortafuegos de las series PA-2000 y PA-3000. Adems, debe adquirir una licencia de sistemas virtuales
si desea utilizar un nmero de sistemas virtuales superior al ofrecido de manera predeterminada por los
cortafuegos de las series PA-4000, PA-5000 y PA-7050 (el nmero bsico vara segn la plataforma). Las
series PA-500, PA-200 y VM-Series no son compatibles con sistemas virtuales.

WildFire: Aunque la licencia de prevencin de amenazas incluye asistencia bsica con WildFire, el servicio
de suscripcin a WildFire ofrece servicios mejorados para organizaciones que requieren cobertura inmediata
de las amenazas, habilitando actualizaciones de WildFire en fracciones de hora, reenvo de tipos de archivos
avanzados (APK, PDF, Microsoft Office y Java Applet), adems de la capacidad para cargar archivos usando
la API WildFire. Tambin se requiere una suscripcin a WildFire si sus cortafuegos van a reenviar archivos
a un dispositivo WF-500 WildFire privado.

GlobalProtect: Ofrece soluciones de movilidad o capacidades VPN de a gran escala. De forma

predeterminada, puede implementar una nica puerta de enlace y portal GlobalProtect (sin comprobaciones
de HIP) sin licencia. Sin embargo, si desea implementar varias puertas de enlace, debe adquirir una licencia
de portal (licencia permanente y nica). Si desea utilizar comprobaciones de host, tambin necesitar
licencias de puertas de enlace (suscripcin) para cada puerta de enlace.

Activacin de licencias

Paso 1

Encuentre los cdigos de activacin de

las licencias que ha adquirido.

Paso 2

Inicie la interfaz web y vaya a la pgina de Seleccione Dispositivo > Licencias.

licencias.

12

Al comprar las suscripciones debi recibir un mensaje de correo

electrnico del servicio de atencin al cliente de Palo Alto Networks
con los cdigos de activacin asociados a cada suscripcin. Si no
encuentra este mensaje, pngase en contacto con atencin al cliente
para recibir sus cdigos de activacin antes de continuar.

Primeros pasos

Primeros pasos

Integracin del cortafuegos en su red de gestin

Activacin de licencias (Continuacin)

Paso 3

Active todas las licencias que ha

adquirido.

Una vez adquiridas sus licencias o suscripciones, actvelas siguiendo

uno de estos mtodos:
Recuperacin de claves de licencia desde el servidor de
licencias: Use esta opcin si ha activado su licencia en el portal de
asistencia tcnica.
Activacin de la funcin usando un cdigo de autorizacin: Use
esta opcin para habilitar las suscripciones adquiridas con un
cdigo de autorizacin para licencias que no han sido previamente
activadas en el portal de asistencia tcnica. Cuando se le indique,
introduzca el Cdigo de autorizacin y haga clic en Aceptar.
Carga manual de la clave de licencia: Use esta opcin si su
dispositivo no tiene conectividad con el sitio de asistencia tcnica
de Palo Alto Networks. En este caso, debe descargar un archivo
de clave de licencia del sitio de asistencia tcnica a travs de un
ordenador conectado a Internet y despus cargarlo en el
dispositivo.

Paso 4

Comprobar que la licencia se ha activado En la pgina Dispositivo > Licencias, compruebe que la licencia se
correctamente
haya activado correctamente. Por ejemplo, tras activar la licencia de
WildFire, debera ver que la licencia es vlida:

Primeros pasos

13

Integracin del cortafuegos en su red de gestin

Primeros pasos

Gestin de la actualizacin de contenidos

Para estar por delante del panorama cambiante de amenazas y aplicaciones, Palo Alto Networks mantiene una
infraestructura de Content Delivery Network (CDN, Red de entrega de contenidos) para entregar actualizaciones
de contenidos a los dispositivos de Palo Alto Networks. Estos dispositivos acceden a los recursos de Internet en
la CDN para realizar varias funciones de ID de aplicaciones y de ID de contenidos. De forma predeterminada, los
dispositivos utilizan el puerto de gestin para acceder a la infraestructura de CDN para realizar actualizaciones de
aplicaciones, de amenazas y de firma de antivirus, actualizaciones y bsquedas en BrightCloud y en base de datos
PAN-DB, as como acceso a la nube de WildFire de Palo Alto Networks. Para garantizar una proteccin constante
contra las amenazas ms recientes (incluidas aquellas que an no se han descubierto), debe asegurarse de mantener
actualizados sus dispositivos con las actualizaciones ms recientes de Palo Alto Networks.
Estn disponibles las siguientes actualizaciones de contenido, dependiendo de las suscripciones que posea:
Aunque puede descargar e instalar manualmente las actualizaciones de contenido en cualquier momento, se
recomienda Programar cada actualizacin. Las actualizaciones programadas se realizan de manera
automtica.

Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas descubiertas por el servicio
en la nube WildFire. Debe contar con una suscripcin a prevencin de amenazas para obtener estas
actualizaciones. Se publican nuevas firmas de antivirus todos los das.

Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta actualizacin no requiere

suscripciones adicionales, pero s un contrato de asistencia/mantenimiento en vigor. Todas las semanas se
publican nuevas actualizaciones de aplicaciones.

Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y actualizadas. Esta

actualizacin est disponible si cuenta con una suscripcin de prevencin de amenazas (y la obtiene en lugar
de la actualizacin de aplicaciones). Todas las semanas se publican nuevas aplicaciones y amenazas.

Archivo de datos de GlobalProtect: Contiene la informacin especfica del proveedor para definir y evaluar
los datos del perfil de informacin del host (HIP) proporcionados por los agentes de GlobalProtect. Debe tener
una licencia de puerta de enlace de GlobalProtect y portal GlobalProtect para recibir estas actualizaciones.
Adems, debe crear una programacin para estas actualizaciones antes de que GlobalProtect funcione.

Filtrado de URL de BrightCloud: Ofrece actualizaciones nicamente para la base de datos de filtrado de
URL de BrightCloud. Debe contar con una suscripcin a BrightCloud para obtener estas actualizaciones.
Todos los das se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. Si tiene una
licencia de PAN-DB, las actualizaciones programadas no son necesarias ya que los dispositivos permanecen
sincronizados con los servidores de forma automtica.

WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como
consecuencia del anlisis realizado por el servicio de la nube de WildFire. Sin la suscripcin, debe esperar de
24 a 48 horas para que las firmas entren a formar parte de la actualizacin de aplicaciones y amenazas.
Si su cortafuegos no tiene acceso a Internet desde el puerto de gestin, puede descargar las actualizaciones
de contenido desde el portal de asistencia de Palo Alto Networks y cargarlas en su cortafuegos.
Si su cortafuegos est implementado detrs de cortafuegos o servidores proxy existentes, el acceso a estos
recursos externos puede restringirse empleando listas de control de acceso que permiten que el cortafuegos
acceda nicamente a un nombre de host o una direccin IP. En tales casos, para permitir el acceso a la CDN,
establezca la direccin del servidor de actualizaciones para usar el nombre de host
staticupdates.paloaltonetworks.com o la direccin IP 199.167.52.15.

14

Primeros pasos

Primeros pasos

Integracin del cortafuegos en su red de gestin

Descarga de las bases de datos ms recientes

Paso 1

Verifique que el cortafuegos apunta a la

infraestructura de CDN.

Seleccione Dispositivo > Configuracin > Servicios.

Como prctica recomendada, establezca el Servidor de
actualizaciones para que acceda a
updates.paloaltonetworks.com. De esta forma el
cortafuegos podr recibir actualizaciones de contenidos desde el
servidor que est ms cercano en la infraestructura de CDN.
(Opcional) Si el cortafuegos ha restringido el acceso a Internet,
establezca la direccin del servidor de actualizaciones para usar
el nombre de host
staticupdates.paloaltonetworks.com o la
direccin IP 199.167.52.15.
Para obtener seguridad adicional, seleccione Verificar identidad del
servidor de actualizacin. El cortafuegos verificar que el servidor
desde el que se descarga el software o el paquete de contenidos cuenta
con un certificado SSL firmado por una autoridad fiable.

Paso 2

Inicie la interfaz web y vaya a la pgina

Actualizaciones dinmicas.

Seleccione Dispositivo > Actualizaciones dinmicas.

Paso 3

Compruebe las actualizaciones ms

recientes.

Haga clic en Comprobar ahora (ubicado en la esquina inferior izquierda

de la ventana) para comprobar las actualizaciones ms recientes.
El enlace de la columna Accin indica si una actualizacin est
disponible:
Descargar: Indica que hay disponible un nuevo archivo de
actualizacin. Haga clic en el enlace para iniciar la descarga
directamente en el cortafuegos. Tras descargarlo correctamente, el
enlace en la columna Accin cambia de Descargar a Instalar.

No puede descargar la base de datos de antivirus hasta que

haya instalado la base de datos de aplicaciones y amenazas.
Actualizar: Indica que hay una nueva versin de la base de datos de
BrightCloud disponible. Haga clic en el enlace para iniciar la
descarga e instalacin de la base de datos. La actualizacin de la base
de datos se inicia en segundo plano; al completarse aparece una
marca de verificacin en la columna Instalado actualmente. Tenga
en cuenta que si usa PAN-DB como base de datos de filtrado de
URL, no ver ningn enlace de actualizacin porque la base de
datos de PAN-DB se sincroniza automticamente con el servidor.

Para comprobar el estado de una accin, haga clic en

Tareas (en la esquina inferior derecha de la ventana).
Revertir: Indica que la versin de software correspondiente se ha
descargado anteriormente. Puede decidir revertir a la versin
instalada anteriormente de la actualizacin.

Primeros pasos

15

Integracin del cortafuegos en su red de gestin

Primeros pasos

Descarga de las bases de datos ms recientes (Continuacin)

Paso 4

Instale las actualizaciones.

La instalacin puede tardar hasta
20 minutos en un dispositivo
PA-200, PA-500 o PA-2000, y
hasta dos minutos en los
cortafuegos de las series PA-3000,
PA-4000, PA-5000, PA-7050 o
VM-Series.

Paso 5

Programar cada actualizacin

Haga clic en el enlace Instalar de la columna Accin. Cuando se

complete la instalacin, aparecer una marca de verificacin en la
columna Instalado actualmente.

1.

Repita este paso en cada actualizacin que

desee programar.
Escalone las programaciones de
2.
actualizaciones, dado que el
cortafuegos no puede descargar
ms de una actualizacin a la vez.
Si ha programado la descarga de
varias actualizaciones al mismo
tiempo, solo la primera se realizar
correctamente.
3.

4.

Establezca la programacin de cada tipo de actualizacin

haciendo clic en el enlace Ninguna.

Especifique la frecuencia con que quiere que se produzcan las

actualizaciones seleccionando un valor del men desplegable
Periodicidad. Los valores disponibles varan en funcin del tipo
de contenido (las actualizaciones de WildFire estn disponibles
cada 15 minutos, cada 30 minutos o cada hora, mientras que
para otros tipos de contenidos pueden programarse
actualizaciones diarias o semanales).
Especifique la hora (o los minutos que pasan de una hora en el
caso de WildFire) y, si est disponible en funcin de la
Periodicidad seleccionada, el da de la semana para realizar la
actualizacin.
Especifique si quiere que el sistema use la opcin nicamente
descargar o, recomendado, Descargar e instalar la
actualizacin.

16

5.

En raras ocasiones puede haber errores en las actualizaciones de

contenido. Por este motivo, tal vez desee retrasar la instalacin
de nuevas actualizaciones hasta que lleven varias horas
publicadas. Puede especificar el tiempo de espera tras una
publicacin para realizar una actualizacin de contenido
introduciendo el nmero de horas de espera en el campo
Umbral (horas).

6.

Haga clic en Aceptar para guardar estos ajustes de

programacin.

7.

Haga clic en Confirmar para guardar estos ajustes en la

configuracin actual.

Primeros pasos

Primeros pasos

Integracin del cortafuegos en su red de gestin

Instalacin de actualizaciones de software

Al instalar un nuevo cortafuegos, es buena idea actualizar a la versin de software ms reciente (o a la versin
actualizada recomendada por el distribuidor o el ingeniero de sistemas de Palo Alto Networks) para disfrutar de
los ltimos arreglos y mejoras de seguridad. Tenga en cuenta que antes de actualizar el software, debera
asegurarse de que tiene las actualizaciones de contenido ms recientes como se indica en la seccin anterior
(las notas de la versin para una actualizacin de software especificadas en la versin).
Actualizacin de PAN-OS

Paso 1

Inicie la interfaz web y vaya a la pgina

Software.

Seleccione Dispositivo > Software.

Paso 2

Compruebe las actualizaciones

de software.

Haga clic en Comprobar ahora para comprobar las actualizaciones

ms recientes. Si el valor de la columna Accin es Descargar, indica
que hay una actualizacin disponible.

Paso 3

Descargar la actualizacin.

Busque la versin que quiere y haga clic en Descargar. Cuando

se complete la descarga, el valor en la columna Accin cambia
a Instalar.

Si su cortafuegos no tiene acceso

a Internet desde el puerto de
gestin, puede descargar la
actualizacin de software desde el
portal de asistencia de Palo Alto
Networks. Despus podr
cargarla manualmente en su
cortafuegos.
Paso 4

Instale la actualizacin.

1.

Haga clic en Instalar.

2.

Reinicie el cortafuegos:
Si se le pide que reinicie, haga clic en S.

Si no se le pide que reinicie, seleccione Dispositivo >

Configuracin > Operaciones y haga clic en Reiniciar
dispositivo en la seccin Operaciones de dispositivo de la
pantalla.

Primeros pasos

17

Creacin del permetro de seguridad

Primeros pasos

Creacin del permetro de seguridad

El trfico debe pasar por el cortafuegos para que este pueda gestionarlo y controlarlo. Fsicamente, el trfico
entra y sale del cortafuegos a travs de las interfaces. El cortafuegos determina el modo en que se acta en un
paquete basado en si el paquete coincide con una regla de poltica de seguridad. En el nivel ms bsico, cada regla de
poltica de seguridad debe identificar de dnde viene el trfico y a dnde va. En un cortafuegos de prxima
generacin Palo Alto Networks, las reglas de poltica de seguridad se aplican entre zonas. Una zona es un grupo
de interfaces (fsicas o virtuales) que proporciona una abstraccin de un rea de confianza para el cumplimiento
de una poltica simplificada. Por ejemplo, en el siguiente diagrama de topologa, hay tres zonas: fiable, no fiable
y DMZ. El trfico ahora puede circular libremente dentro de una zona, pero el trfico no podr circular entre
zonas hasta que defina una regla de poltica de seguridad que lo permita.

Puerta de enlace de seguridad

Zona: Fiable

Zona: No fiable

Zona: DMZ

Internet

Servidores: web, de correo electrnico,

DNS, de aplicacin

Los siguientes temas describen los componentes del permetro de seguridad y proporcionan pasos para
configurar las interfaces del cortafuegos, definiendo zonas y estableciendo una poltica de seguridad bsica que
permite el trfico entre su zona interna e Internet y a la DMZ. Creando inicialmente una base de reglas de
poltica de seguridad bsica como esta, podr analizar el trfico que circula por su red y usar esta informacin
para definir polticas ms granulares para habilitar aplicaciones de forma segura y evitando amenazas.

Implementaciones de interfaz bsica

Acerca de la poltica de seguridad

Planificacin de la implementacin

Configuracin de interfaces y zonas

Configuracin de polticas de seguridad bsicas

Si usa direcciones IP privadas en sus redes internas, tambin necesitar configurar su traduccin de direcciones
de red (NAT); consulte en Redes los conceptos NAT y las tareas de configuracin.

18

Primeros pasos

Primeros pasos

Creacin del permetro de seguridad

Implementaciones de interfaz bsica

Todos los cortafuegos de prxima generacin de Palo Alto Networks proporcionan una arquitectura de red
flexible que incluye la compatibilidad con el enrutamiento dinmico, la conmutacin y la conectividad de VPN,
lo que le permite implementar el cortafuegos en prcticamente cualquier entorno de red. Al configurar los
puertos Ethernet en su cortafuegos, podr elegir entre una implementacin de interfaz de cable virtual, capa 2
o capa 3. Adems, para permitirle integrar una variedad de segmentos de red, podr configurar diferentes tipos
de interfaces en diferentes puertos. Las secciones siguientes ofrecen informacin bsica sobre cada tipo de
implementacin.

Implementaciones de cable virtual

Implementaciones de capa 2

Implementaciones de capa 3

Para obtener informacin ms detallada sobre la implementacin, consulte Designing Networks with Palo Alto
Networks cortafuegos (Diseo de redes con cortafuegos de Palo Alto Networks).

Implementaciones de cable virtual

En una implementacin de cable virtual, el cortafuegos se instala de forma transparente en un segmento de red
uniendo dos puertos. Cuando utilice un cable virtual, podr instalar el cortafuegos en cualquier entorno de red
sin volver a configurar los dispositivos adyacentes. Si fuera necesario, un cable virtual puede bloquear o permitir
el trfico en funcin de los valores de etiquetas de LAN virtual (VLAN). Tambin puede crear mltiples
subinterfaces y clasificar el trfico en funcin de una direccin IP (nombre, intervalo o subred), VLAN o una
combinacin de ambas.
De forma predeterminada, el Virtual Wire (denominado default-vwire) conecta los puertos Ethernet 1 y 2 y
permite todo el trfico sin etiquetar. Seleccione esta implementacin para simplificar la instalacin y la
configuracin y/o evitar cambios de configuracin en los dispositivos de red que se encuentran alrededor.
Un cable virtual es la configuracin predeterminada y solo se debe utilizar cuando no se necesita conmutacin
o enrutamiento. Si no pretende usar el cable virtual predeterminado, debe eliminar manualmente la
configuracin antes de continuar con la configuracin de la interfaz para evitar que interfiera con otras
configuraciones de interfaz que defina. Para obtener instrucciones sobre cmo eliminar el Virtual Wire
predeterminado y sus zonas y poltica de seguridad asociadas, consulte el Paso 3 en Establecimiento de un puerto
de datos para acceder a servicios externos.

Implementaciones de capa 2
En una implementacin de capa 2, el cortafuegos permite cambiar entre dos o ms interfaces. Cada grupo de
interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar entre ellas. El firewall
ejecutar el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN comn.
Seleccione esta opcin cuando necesite poder alternar.
Para obtener ms informacin sobre las implementaciones de capa 2, consulte Layer 2 Networking Tech Note
(Nota tcnica sobre redes de capa 2) y/o Securing Inter VLAN Traffic Tech Note (Nota tcnica sobre proteccin del
trfico entre VLAN).

Primeros pasos

19

Creacin del permetro de seguridad

Primeros pasos

Implementaciones de capa 3
En una implementacin de capa 3, el cortafuegos enruta el trfico entre puertos. Se debe asignar una direccin
IP a cada interfaz y definir un enrutador virtual para enrutar el trfico. Seleccione esta opcin cuando necesite
enrutamiento.
Debe asignar una direccin IP a cada interfaz de capa 3 fsica que configure. Tambin puede crear subinterfaces
lgicas para cada interfaz de capa 3 fsica que le permitan segregar el trfico de la interfaz basndose en el tag
de VLAN (cuando se utilice un enlace troncal de VLAN) o la direccin IP, por ejemplo, para la arquitectura
multiempresa.
Adems, dado que el cortafuegos debe enrutar trfico en una implementacin de capa 3, deber configurar un
enrutador virtual. Puede configurar el enrutador virtual para participar con protocolos de enrutamiento
dinmico (BGP, OSPF o RIP), as como aadir rutas estticas. Tambin puede crear varios enrutadores virtuales,
cada uno de los cuales mantendr un conjunto separado de rutas que no se comparten entre enrutadores
virtuales, lo que le permitir configurar diferentes comportamientos de enrutamiento para diferentes interfaces.
El ejemplo de configuracin de este captulo muestra cmo integrar el cortafuegos en su red de capa 3 utilizando
rutas estticas. Para obtener informacin sobre otros tipos de integraciones de enrutamiento, consulte los
documentos siguientes:

How to Configure OSPF Tech Note (Nota tcnica sobre cmo configurar OSPF)

How to Configure BGP Tech Note (Nota tcnica sobre cmo configurar BGP)

20

Primeros pasos

Primeros pasos

Creacin del permetro de seguridad

Acerca de la poltica de seguridad

La Poltica de seguridad protege los activos de la red de amenazas y alteraciones, y ayuda a asignar los recursos
de red de manera ptima para mejorar la productividad y la eficiencia en los procesos comerciales. En el
cortafuegos de Palo Alto Networks, las reglas de polticas de seguridad determinan si una sesin se bloquear o
se permitir basndose en atributos del trfico, como la zona de seguridad de origen y destino, la direccin IP
de origen y destino, la aplicacin, el usuario y el servicio.
Para el trfico que no coincide con ninguna regla definida, se aplican las reglas predeterminadas. Las reglas
predeterminadas (que aparecen en la parte inferior de la base de reglas de seguridad) se predefinen para permitir
todo el trfico de intrazona (en la zona) y denegar el trfico interzona (entre zonas). Aunque estas reglas son
parte de la configuracin predefinida y son de solo lectura de forma predeterminada, puede cancelarlas y
cambiar un nmero limitado de ajustes, incluidas las etiquetas, accin (permitir o denegar) configuracin de log
y perfiles de seguridad.
Las reglas de polticas de seguridad se evalan de izquierda a derecha y de arriba abajo. Un paquete coincide con
la primera regla que cumpla los criterios definidos; despus de activar una coincidencia, las reglas posteriores no
se evalan. Por lo tanto, las reglas ms especficas deben preceder a las ms genricas para aplicar los mejores
criterios de coincidencia. El trfico que coincide con una regla genera una entrada de log al final de la sesin en
el log de trfico, si se permiten logs para esa regla. Las opciones de logs pueden configurarse para cada regla.
Por ejemplo, se pueden configurar para registrarse al inicio de una sesin en lugar o adems de registrarse al final
de una sesin.

Acerca de objetos de polticas

Acerca de los perfiles de seguridad

Acerca de objetos de polticas

Un objeto de poltica es un objeto nico o una unidad colectiva que agrupa identidades discretas, como direcciones
IP, URL, aplicaciones o usuarios. Con las Objetos de polticas que son una unidad colectiva, puede hacer
referencia al objeto en la poltica de seguridad en lugar de seleccionar manualmente varios objetos de uno en
uno. Por lo general, al crear un objeto de poltica, se agrupan objetos que requieran permisos similares en la
poltica. Por ejemplo, si su organizacin utiliza un conjunto de direcciones IP de servidor para autenticar
usuarios, podr agrupar el conjunto de direcciones IP de servidor como objeto de poltica de grupo de direcciones
y hacer referencia al grupo de direcciones en la poltica de seguridad. Al agrupar objetos, podr reducir
significativamente la carga administrativa al crear polticas.
Algunos ejemplos de objetos de poltica de aplicaciones y direcciones se muestran en las polticas de seguridad
que se incluyen en Creacin de reglas de seguridad. Si desea informacin sobre los otros objetos de polticas,
consulte Habilitacin de funciones de prevencin de amenazas bsicas.

Primeros pasos

21

Creacin del permetro de seguridad

Primeros pasos

Acerca de los perfiles de seguridad

Mientras que con las polticas de seguridad puede permitir o denegar el trfico en su red, los perfiles de seguridad
le ayudan a definir una regla de permiso con exploracin, que explora las aplicaciones permitidas en busca de
amenazas. Cuando el trfico coincide con la regla de permiso definida en la poltica de seguridad, los Perfiles de
seguridad que estn incluidos en la regla se aplican a la inspeccin de contenido adicional como comprobaciones
de antivirus y filtrado de datos.
Los perfiles de seguridad no se utilizan en los criterios de coincidencia de un flujo de trfico. El
perfil de seguridad se aplica para explorar el trfico despus de que la poltica de seguridad
permita la aplicacin o categora.

Los diferentes tipos de perfiles de seguridad que pueden vincularse a polticas de seguridad son: Antivirus,
antispyware, proteccin de vulnerabilidades, filtrado de URL, bloqueo de archivos y filtrado de datos. El
cortafuegos proporciona perfiles de seguridad predeterminados que puede utilizar inmediatamente para
empezar a proteger su red frente a amenazas. Consulte Creacin de reglas de seguridad para obtener
informacin sobre el uso de los perfiles predeterminados de su poltica de seguridad. Cuando comprenda mejor
las necesidades de seguridad de su red, podr crear perfiles personalizados. Consulte Exploracin del trfico en
busca de amenazas para obtener ms informacin.

22

Primeros pasos

Primeros pasos

Creacin del permetro de seguridad

Planificacin de la implementacin
Antes de empezar a configurar las interfaces y zonas, dedique algo de tiempo a planificar las zonas que necesitar
basndose en los diferentes requisitos de uso de su organizacin. Adems, debera recopilar toda la informacin
de configuracin que necesitar de manera preventiva. A un nivel bsico, debera planificar qu interfaces
pertenecern a qu zonas. Para implementaciones de capa 3, tambin deber obtener las direcciones IP
obligatorias y la informacin de configuracin de red de su administrador de red, incluida la informacin sobre
cmo configurar el protocolo de enrutamiento o las rutas estticas obligatorias para la configuracin de
enrutador virtual. El ejemplo de este captulo se basar en la siguiente topologa:
Ilustracin: Ejemplo de topologa de capa 3

Zona DMZ
E1/12 10.1.1.1/24

Internet

Zona fiable

Zona no fiable

E1/4 192.168.1.4/24

E1/3 208.80.56.100/24

La siguiente tabla muestra la informacin que utilizaremos para configurar las interfaces de capa 3 y sus
correspondientes zonas, como se muestra en la topologa de muestra.
Zona

Tipos de implementacin

Interfaces

Ajustes de configuracin

No fiable

L3

Ethernet1/3

Direccin IP: 203.0.113.100/24

Enrutador virtual: predeterminado
Ruta predeterminada: 0.0.0.0/0
Siguiente salto: 203.0.113.1

Fiable

L3

Ethernet1/4

Direccin IP: 192.168.1.4/24

Enrutador virtual: predeterminado

DMZ

L3

Ethernet1/13

Direccin IP: 10.1.1.1/24

Enrutador virtual: predeterminado

Primeros pasos

23

Creacin del permetro de seguridad

Primeros pasos

Configuracin de interfaces y zonas

Despus de planificar sus zonas y las correspondientes interfaces, podr configurarlas en el dispositivo. El modo
en que configure cada interfaz depender de la topologa de su red.
El siguiente procedimiento muestra cmo configurar una implementacin de capa 3 como se muestra en la
Ilustracin: Ejemplo de topologa de capa 3.
El cortafuegos viene preconfigurado con una interfaz de cable virtual predeterminada entre los
puertos Ethernet 1/1 y Ethernet 1/2 (y una poltica de seguridad y un enrutador virtual
predeterminados correspondientes). Si no pretende usar el cable virtual predeterminado, debe
eliminar manualmente la configuracin y confirmar el cambio antes de continuar para evitar que
interfiera con otras configuraciones que defina. Para obtener instrucciones sobre cmo eliminar
el Virtual Wire predeterminado y sus zonas y poltica de seguridad asociadas, consulte el Paso 3
en Establecimiento de un puerto de datos para acceder a servicios externos.

Configuracin de interfaces y zonas

Paso 1

Configure una ruta predeterminada

hacia su enrutador de Internet.

1.

Seleccione Red > Enrutador virtual y, a continuacin, seleccione el

enlace predeterminado para abrir el cuadro de dilogo Enrutador
virtual.

2.

Seleccione la pestaa Rutas estticas y haga clic en Aadir.

Introduzca un Nombre para la ruta e introduzca la ruta en el campo
Destino (por ejemplo, 0.0.0.0/0).

3.

Seleccione el botn de opcin Direccin IP en el campo Siguiente

salto y, a continuacin, introduzca la direccin IP y la mscara de
red para su puerta de enlace de Internet (por ejemplo,
203.00.113.1).

4.
Paso 2

24

Haga clic en Aceptar dos veces para guardar la configuracin de

enrutador virtual.

Configure la interfaz externa

1.
(la interfaz que se conecta a Internet).

Seleccione Red > Interfaces y, a continuacin, seleccione la interfaz

que quiera configurar. En este ejemplo, estamos configurando
Ethernet1/3 como la interfaz externa.

2.

Seleccione el Tipo de interfaz. Aunque su decisin aqu depende de

la topologa de su red, este ejemplo muestra los pasos para Capa3.

3.

En la pestaa Configuracin, seleccione Nueva zona en el men

desplegable Zona de seguridad. En el cuadro de dilogo Zona,
defina un Nombre para una nueva zona, por ejemplo No fiable y, a
continuacin, haga clic en Aceptar.

4.

En el men desplegable Enrutador virtual, seleccione

predeterminado.

5.

Para asignar una direccin IP a la interfaz, seleccione la pestaa

IPv4, haga clic en Aadir en la seccin IP e introduzca la direccin
IP y la mscara de red para asignarlas a la interfaz, por ejemplo,
208.80.56.100/24.

6.

Para que pueda hacer ping en la interfaz, seleccione Avanzada >

Otra informacin, ample el men desplegable Perfil de gestin y
seleccione Nuevo perfil de gestin. Introduzca un Nombre para el
perfil, seleccione Ping y, a continuacin, haga clic en Aceptar.

7.

Para guardar la configuracin de la interfaz, haga clic en Aceptar.

Primeros pasos

Primeros pasos

Creacin del permetro de seguridad

Configuracin de interfaces y zonas (Continuacin)

Paso 3

Configure la interfaz que se conecta

a su red interna.

1.

En este ejemplo, la interfaz se

conecta a un segmento de red 2.
que utiliza direcciones IP
3.
privadas. Dado que las
direcciones IP privadas no se
pueden enrutar externamente,
tendr que configurar la NAT. 4.

Paso 4

Configure la interfaz que se conecta

a DMZ.

Seleccione Red > Interfaces y seleccione la interfaz que desee

configurar. En este ejemplo, estamos configurando Ethernet1/4
como la interfaz interna.
Seleccione Capa3 del men desplegable Tipo de interfaz.
En la pestaa Configurar, ample el men desplegable Zona de
seguridad y seleccione Nueva zona. En el cuadro de dilogo Zona,
defina un Nombre para una nueva zona, por ejemplo Fiable y, a
continuacin, haga clic en Aceptar.
Seleccione el mismo enrutador virtual que utiliz en el Paso 2; en
este ejemplo, el predeterminado.

5.

Para asignar una direccin IP a la interfaz, seleccione la pestaa

IPv4, haga clic en Aadir en la seccin IP e introduzca la direccin
IP y la mscara de red para asignarlas a la interfaz, por ejemplo,
192.168.1.4/24.

6.

Para permitirle que pueda hacer ping a la interfaz, seleccione el

perfil de gestin que ha creado en el Paso 2-6.

7.

Para guardar la configuracin de la interfaz, haga clic en Aceptar.

1.

Seleccione la interfaz que desee configurar.

2.

Seleccione Capa3 del men desplegable Tipo de interfaz. En este

ejemplo, estamos configurando Ethernet1/13 como la interfaz de
DMZ.

3.

En la pestaa Configurar, ample el men desplegable Zona de

seguridad y seleccione Nueva zona. En el cuadro de dilogo Zona,
defina un Nombre para una nueva zona, por ejemplo DMZ y, a
continuacin, haga clic en Aceptar.

4.

Seleccione el enrutador virtual que utiliz en el Paso 2; en este

ejemplo, el predeterminado.

5.

Para asignar una direccin IP a la interfaz, seleccione la pestaa IPv4,

haga clic en Aadir en la seccin IP e introduzca la direccin IP y la
mscara de red para asignarlas a la interfaz, por ejemplo, 10.1.1.1/24.

6.

Para permitirle que pueda hacer ping a la interfaz, seleccione el

perfil de gestin que ha creado en el Paso 2-6.

7.

Para guardar la configuracin de la interfaz, haga clic en Aceptar.

Paso 5

Guarde la configuracin de la interfaz. Haga clic en Confirmar.

Paso 6

Conecte los cables del cortafuegos.

Conecte cables directos desde las interfaces que ha configurado al

conmutador o enrutador de cada segmento de red.

Paso 7

Verifique que las interfaces estn

activas.

Desde la interfaz web, seleccione Red > Interfaces y verifique que el

icono de la columna Estado de enlace es de color verde. Tambin puede
supervisar el estado de enlace desde el widget Interfaces en el Panel.

Primeros pasos

25

Creacin del permetro de seguridad

Primeros pasos

Configuracin de polticas de seguridad bsicas

Las polticas le permiten aplicar reglas y realizar acciones. Los diferentes tipos de reglas de poltica que puede
crear en el cortafuegos son: polticas de seguridad, NAT, calidad de servicio (QoS), reenvo basado en polticas
(PFB), descifrado, cancelacin de aplicaciones, portal cautivo, denegacin de servicio y proteccin de zonas.
Todas estas diferentes polticas funcionan conjuntamente para permitir, denegar, priorizar, reenviar, cifrar,
descifrar, realizar excepciones, autenticar el acceso y restablecer conexiones segn sea necesario para ayudar a
proteger su red. Esta seccin cubre las polticas de seguridad bsicas y los perfiles de seguridad predeterminados:

Creacin de reglas de seguridad

Comprobacin de sus polticas de seguridad

Supervisin del trfico de su red

Creacin de reglas de seguridad

Las polticas de seguridad hacen referencia a zonas de seguridad; gracias a ellas puede permitir, restringir y
realizar un seguimiento del trfico de su red. Como cada zona implica un nivel de fiabilidad, la regla implcita
para pasar trfico entre dos zonas diferentes es de denegacin, con lo que el trfico de dentro de una zona est
permitido. Para permitir el trfico entre dos zonas diferentes, debe crear una regla de seguridad que permita el
flujo de trfico entre ellas.
Al configurar el marco bsico para proteger el permetro empresarial, es conveniente empezar con una poltica
de seguridad sencilla que permita el trfico entre las diferentes zonas sin ser demasiado restrictiva. Como se
muestra en la seccin siguiente, nuestro objetivo es reducir al mnimo la probabilidad de interrupcin de las
aplicaciones a las que los usuarios de la red necesitan acceder, a la vez que ofrecemos visibilidad de las
aplicaciones y las posibles amenazas para su red.
Al definir polticas, asegrese de que no crea una poltica que deniegue todo el trfico de
cualquier zona de origen a cualquier zona de destino, ya que esto interrumpir el trfico intrazona
que se permite de manera implcita. De manera predeterminada, se permite el trfico intrazona
porque las zonas de origen y de destino son las mismas y, por lo tanto, comparten el mismo nivel
de fiabilidad.

26

Primeros pasos

Primeros pasos

Creacin del permetro de seguridad

Definicin de reglas de seguridad bsicas

Paso 1

Permita el acceso a Internet a todos los

usuarios de la red empresarial.
Zona: De fiable a no fiable
De manera predeterminada, el
cortafuegos incluye una regla de
seguridad denominada regla1 que
permite todo el trfico desde la
zona fiable a la zona no fiable.
Puede eliminar la regla o
modificarla para reflejar su
convencin de denominacin de
zonas.

Para habilitar de manera segura aplicaciones necesarias para

operaciones comerciales cotidianas, crearemos una regla sencilla que
permitir el acceso a Internet. Para proporcionar una proteccin
bsica contra amenazas, adjuntaremos los perfiles de seguridad
predeterminados disponibles en el cortafuegos.
1. Seleccione Polticas > Seguridad y haga clic en Aadir.
2.

Asigne a la regla un nombre descriptivo en la pestaa General.

3.

En la pestaa Origen, establezca Zona de origen como Fiable.

4.

En la pestaa Destino, establezca Zona de destino como No fiable.

Para inspeccionar las reglas de poltica e identificar
visualmente las zonas de cada regla, cree una etiqueta con
el mismo nombre que la zona. Por ejemplo, para
codificar por colores la zona fiable y asignarle el color
verde, seleccione Objetos > Etiquetas, haga clic en
Aadir, indique Fiable en el campo Nombre y seleccione
el color verde en el campo Color.

5.

En la pestaa Categora de URL/servicio, seleccione

servicio-http y servicio-https.

6.

En la pestaa Acciones, realice estas tareas:

a. Establezca Configuracin de accin como Permitir.
b. Adjunte los perfiles predeterminados para la proteccin
antivirus, antispyware y contra vulnerabilidades y para el
filtrado de URL, en Ajuste de perfil.

7.

Primeros pasos

Verifique que los logs estn habilitados al final de una sesin

bajo Opciones. nicamente se registrar el trfico que coincida
con una regla de seguridad.

27

Creacin del permetro de seguridad

Primeros pasos

Definicin de reglas de seguridad bsicas (Continuacin)

Paso 2

Permita que los usuarios de la red interna 1.

accedan a los servidores en DMZ.
2.

Asigne a la regla un nombre descriptivo en la pestaa General.

Zona: De fiable a DMZ

3.

En la pestaa Origen, establezca Zona de origen como Fiable.

4.

En la pestaa Destino, establezca Zona de destino como DMZ.

5.

En la pestaa Categora de URL/servicio, asegrese de

que Servicio est establecido como Valor predeterminado
de aplicacin.

6.

En la pestaa Acciones, establezca Configuracin de accin

como Permitir.

7.

Deje el resto de opciones con los valores predeterminados.

Si utiliza direcciones IP para

configurar el acceso a los
servidores en DMZ, asegrese
siempre de hacer referencia a las
direcciones IP originales del
paquete (es decir, las direcciones
anteriores a NAT) y la zona
posterior a NAT.

Paso 3

Restrinja el acceso desde Internet a los

servidores en DMZ nicamente a
direcciones IP de servidor especficas.
Por ejemplo, puede permitir que los
usuarios accedan a los servidores de
correo web nicamente desde fuera.
Zona: De no fiable a DMZ

Haga clic en Aadir en la seccin Polticas > Seguridad.

Para restringir el acceso entrante a DMZ desde Internet, configure

una regla que nicamente permita el acceso a direcciones IP de
servidores especficos y en los puertos predeterminados que utilicen
las aplicaciones.
1. Haga clic en Aadir para aadir una nueva regla y asignarle un
nombre descriptivo.
2.

En la pestaa Origen, establezca Zona de origen como

No fiable.

3.

En la pestaa Destino, establezca Zona de destino como DMZ.

4.

Establezca Direccin de destino como el objeto de direccin

Servidor web pblico que cre anteriormente. El objeto de
direccin de servidor web pblico hace referencia a la direccin
IP pblica (208.80.56.11/24) del servidor web accesible
en DMZ.

5.

Seleccione la aplicacin de correo web en la pestaa Aplicacin.

El Servicio est establecido como Valor
predeterminado de aplicacin de manera
predeterminada.

6.

28

Establezca Configuracin de accin como Permitir.

Primeros pasos

Primeros pasos

Creacin del permetro de seguridad

Definicin de reglas de seguridad bsicas (Continuacin)

Paso 4

Permita el acceso desde DMZ a su red

interna (zona fiable). Para reducir al
mnimo los riesgos, nicamente debe
permitir el trfico entre servidores y
direcciones de destino especficos. Por
ejemplo, si tiene un servidor de aplicacin
en DMZ que necesita comunicarse con
un servidor de base de datos especfico de
su zona fiable, cree una regla para permitir
el trfico entre un origen y un destino
especficos.

1.

Haga clic en Aadir para aadir una nueva regla y asignarle un

nombre descriptivo.

2.

Establezca Zona de origen como DMZ.

3.

Establezca Zona de destino como Fiable.

4.

Cree un objeto de direccin que especifique los servidores de su

zona fiable a los que se puede acceder desde DMZ.

5.

En la pestaa Destino de la regla de poltica de seguridad,

establezca Direccin de destino como el objeto Direccin que
cre anteriormente.

6.

En la pestaa Acciones, realice estas tareas:

Zona: De DMZ a fiable

a. Establezca Configuracin de accin como Permitir.

b. Adjunte los perfiles predeterminados para la proteccin
antivirus, antispyware y contra vulnerabilidades bajo Ajuste
de perfil.
c. En la seccin Otros ajustes, seleccione la opcin
Deshabilitar inspeccin de respuesta de servidor. Este

ajuste deshabilita el anlisis antivirus y antispyware en las

respuestas del lado del servidor, con lo que reduce la carga del
cortafuegos.

Primeros pasos

29

Creacin del permetro de seguridad

Primeros pasos

Definicin de reglas de seguridad bsicas (Continuacin)

Paso 5

Habilite los servidores de DMZ para

obtener actualizaciones y correcciones
urgentes de Internet. Por ejemplo,
digamos que desea permitir el servicio
Microsoft Update.

1.

Aada una nueva regla y asgnele una etiqueta descriptiva.

2.

Establezca Zona de origen como DMZ.

3.

Establezca Zona de destino como No fiable.

4.

Cree un grupo de aplicaciones para especificar las aplicaciones

que desee permitir. En este ejemplo, permitimos actualizaciones
de Microsoft (ms-update) y dns.

Zona: De DMZ a no fiable

El Servicio est establecido como Valor

predeterminado de aplicacin de manera
predeterminada. Esto har que el cortafuegos permita
las aplicaciones nicamente cuando utilicen los puertos
estndar asociados a estas aplicaciones.

Paso 6

30

Guarde sus polticas en la configuracin

que se est ejecutando en el dispositivo.

5.

Establezca Configuracin de accin como Permitir.

6.

Adjunte los perfiles predeterminados para la proteccin

antivirus, antispyware y contra vulnerabilidades, bajo Perfiles.

Haga clic en Confirmar.

Primeros pasos

Primeros pasos

Creacin del permetro de seguridad

Comprobacin de sus polticas de seguridad

Para verificar que ha configurado sus polticas bsicas de manera eficaz, compruebe si sus polticas de seguridad
se estn evaluando y determine qu regla de seguridad se aplica a un flujo de trfico.
Verificacin de coincidencia de poltica con un flujo

Para verificar la regla de poltica que coincide con

un flujo, utilice el siguiente comando de la CLI:
test security-policy-match source
<direccin_IP> destination <direccin_IP>
destination port <nmero_de_puerto>
protocol <nmero_de_protocolo>

El resultado muestra la regla que coincide mejor

con la direccin IP de origen y destino especificada
en el comando de la CLI.

Por ejemplo, para verificar la regla de poltica que se aplicar a

un servidor en DMZ con la direccin IP 208.90.56.11 cuando
accede al servidor de actualizacin de Microsoft, deber
probar con el comando siguiente:
test security-policy-match source 208.80.56.11
destination 176.9.45.70 destination-port 80
protocol 6
"Updates-DMZ to Internet" {
from dmz;
source any;
source-region any;
to untrust;
destination any;
destination-region any;
user any;
category any;
application/service[ dns/tcp/any/53
dns/udp/any/53 dns/udp/any/5353
ms-update/tcp/any/80 ms-update/tcp/any/443];
action allow;
terminal yes;

Supervisin del trfico de su red

Ahora que tiene establecida una poltica de seguridad bsica, podr revisar las estadsticas y los datos en el
Centro de comando de aplicacin (ACC), logs de trfico y logs de amenazas para observar tendencias en su red
y as identificar dnde necesita crear polticas ms especficas.
A diferencia de los cortafuegos tradicionales, que usan un puerto o un protocolo para identificar aplicaciones,
los cortafuegos de Palo Alto Networks usan la firma de aplicaciones (la tecnologa App-ID) para supervisar
aplicaciones. La firma de aplicaciones se basa en propiedades de aplicaciones exclusivas y caractersticas de
transacciones relacionadas junto con el puerto o protocolo. Por lo tanto, aunque el trfico utilice el
puerto/protocolo correcto, el cortafuegos puede denegar el acceso al contenido porque la firma de aplicacin
no coincide. Esta funcin le permite habilitar aplicaciones de manera segura permitiendo partes de la aplicacin
al mismo tiempo que bloquea o controla funciones dentro de la misma aplicacin. Por ejemplo, si permite la
aplicacin de exploracin web, un usuario podr acceder a contenido de Internet. As, si un usuario entra en
Facebook y luego juega al Scrabble en Facebook, el cortafuegos identificar los cambios de aplicacin y
reconocer Facebook como una aplicacin y Scrabble como una aplicacin de Facebook. Por lo tanto, si crea una regla
especfica que bloquee las aplicaciones de Facebook, se denegar el acceso a Scrabble para el usuario aunque
todava podr acceder a Facebook.

Primeros pasos

31

Creacin del permetro de seguridad

Primeros pasos

Supervisin del trfico de red

Uso del centro de comando de aplicacin.

En el ACC, revise las aplicaciones ms utilizadas y las aplicaciones de

alto riesgo en su red. El ACC resume grficamente la informacin de
logs para resaltar las aplicaciones que cruzan la red, quin las est
utilizando (con el ID de usuario habilitado) y el posible impacto en
la seguridad del contenido para ayudarle a identificar qu sucede en
la red en tiempo real. A continuacin, podr utilizar esta informacin
para crear polticas de seguridad adecuadas que bloqueen las
aplicaciones no deseadas y que permitan y habiliten aplicaciones de
manera segura.

Determine qu actualizaciones/modificaciones Por ejemplo:

son necesarias para sus reglas de seguridad de red Evale si desea permitir contenido basndose en la programacin,
e implemente los cambios.
los usuarios o los grupos.
Permita o controle determinadas aplicaciones o funciones dentro
de una aplicacin.
Descifre e inspeccione contenido.
Permita con exploracin en busca de amenazas y explotaciones.
Para obtener informacin sobre cmo ajustar sus polticas de
seguridad y para adjuntar perfiles de seguridad personalizados,
consulte Habilitacin de funciones de prevencin de amenazas
bsicas.
Visualizacin de los archivos log.

Especficamente, vea los logs de trfico y amenazas (Supervisar >

Logs).

Los logs de trfico dependen del modo en que sus polticas

de seguridad estn definidas y configuradas para registrar el
trfico. La pestaa ACC, sin embargo, registra aplicaciones y
estadsticas independientemente de la configuracin de la
poltica ; muestra todo el trfico permitido en su red, por lo
que incluye el trfico de intrazona que est permitido por la
poltica y el mismo trfico de zona que est permitido
implcitamente.
Interpretacin de los logs de filtrado de URL

32

Revise los logs de filtrado de URL para examinar alertas, URL y

categoras denegadas Los logs de URL se generan cuando un trfico
coincide con una regla de seguridad que tenga un perfil de filtrado
de URL adjunto con una accin de alertar, continuar, sobrescribir
o bloquear.

Primeros pasos

Primeros pasos

Habilitacin de funciones de prevencin de amenazas bsicas

Habilitacin de funciones de prevencin de amenazas

bsicas
El cortafuegos de prxima generacin de Palo Alto Networks tiene funciones exclusivas de prevencin de
amenazas que le permiten proteger su red de ataques frente a tcnicas de evasin, tunelizacin o elusin. Las
funciones de prevencin de amenazas del cortafuegos incluyen el servicio WildFire, los perfiles de seguridad
que admiten las funciones Antivirus, Antispyware, Proteccin contra vulnerabilidades, Filtrado de URL,
Bloqueo de archivos y Filtrado de datos y las funciones Denegacin de servicio (DoS) y Proteccin de zona.
Antes de que pueda aplicar funciones de prevencin de amenazas, primero debe configurar
zonas (para identificar una o ms interfaces de origen o destino) y polticas de seguridad. Para
configurar interfaces, zonas y las polticas necesarias para aplicar funciones de prevencin de
amenazas, consulte Configuracin de interfaces y zonas y Configuracin de polticas de
seguridad bsicas.

Para empezar a proteger su red ante amenazas, comience por aqu:

Habilitacin de WildFire

Exploracin del trfico en busca de amenazas

Control del acceso a contenido web

Primeros pasos

33

Habilitacin de funciones de prevencin de amenazas bsicas

Primeros pasos

Habilitacin de WildFire
El servicio WildFire como parte del producto base. El servicio WildFire permite que el cortafuegos reenve
archivos adjuntos a un entorno de Sandbox donde se ejecutan aplicaciones para detectar cualquier actividad
malintencionada. Cuando el sistema WildFire detecta software malintencionado, se generan automticamente
firmas de software malintencionado que estarn disponibles en las descargas diarias del antivirus en un plazo de
24-48 horas. Su suscripcin a la prevencin de amenazas le da derecho a actualizaciones de firmas de antivirus
que incluyen firmas detectadas por WildFire.
Considere adquirir el servicio de suscripcin a WildFire para obtener estas ventajas adicionales:

Actualizaciones de firmas de WildFire con una frecuencia inferior a una hora (hasta cada 15 minutos)

Reenvo de tipos de archivos avanzados (APK, Flash, PDF, Microsoft Office y Java Applet)

Capacidad para cargar archivos usando la API de WildFire

Capacidad para reenviar archivos a un dispositivo WF-500 WildFire privado

Aunque la capacidad de configurar un perfil de bloqueo de archivos para reenviar archivos Portable
Executable (PE) a la nube de WildFire para su anlisis es gratuita, para reenviar archivos a un dispositivo
WildFire privado se requiere una suscripcin a WildFire.

Habilitacin de WildFire

Paso 1

Paso 2

Confirme que su dispositivo est

registrado y que tiene una cuenta vlida
de asistencia tcnica, as como las
suscripciones que requiera.
Establezca las opciones de reenvo de
WildFire.

1.

Vaya al sitio de asistencia tcnica de Palo Alto Networks, inicie

sesin y seleccione Mis dispositivos.

2.

Verifique que el cortafuegos se incluye en la lista. Si no aparece,

consulte Registro del cortafuegos.

3.

(Opcional) Activacin de la licencia y suscripciones.

1.

Seleccione Dispositivo > Configuracin > WildFire y edite la

Configuracin general.

2.

(Opcional) Especifique el Servidor de WildFire al que reenviar

archivos. De forma predeterminada, el cortafuegos reenviar los
archivos a la nube pblica de WildFire alojada en EE. UU. Para
reenviar archivos a una nube de WildFire diferente, introduzca
un nuevo valor de la manera siguiente:
Para reenviar a una nube privada de WildFire, introduzca la
direccin IP o el nombre de dominio completo (FQDN) de
su dispositivo WF-500 WildFire.
Para reenviar archivos a la nube pblica de WildFire que se
ejecuta en Japn, introduzca
wildfire.paloaltonetworks.jp.

Si no tiene una suscripcin a

WildFire, nicamente podr
reenviar archivos ejecutables.

34

3.

(Opcional) Si desea cambiar el tamao de archivo mximo que

el cortafuegos puede reenviar para un tipo de archivo especfico,
modifique el valor en el campo correspondiente.

4.

Haga clic en ACEPTAR para guardar los cambios.

Primeros pasos

Primeros pasos

Habilitacin de funciones de prevencin de amenazas bsicas

Habilitacin de WildFire (Continuacin)

Paso 3

Paso 4

Configure un perfil de bloqueo de

archivos para reenviar archivos a
WildFire.

1.

Seleccione Objetos > Perfiles de seguridad > Bloqueo de

archivos y haga clic en Aadir.

2.

Introduzca un nombre y, opcionalmente, una descripcin para

el perfil.

3.

Haga clic en Aadir para crear una regla de reenvo e introduzca

un nombre.

4.

En la columna Accin, seleccione Reenviar.

5.

Deje los otros campos establecidos como Cualquiera para

reenviar cualquier tipo de archivo compatible desde cualquier
aplicacin.

6.

Haga clic en Aceptar para guardar el perfil.

Adjunte el perfil de bloqueo de archivos a 1.

las polticas de seguridad que permiten
acceder a Internet.

Seleccione Polticas > Seguridad y bien seleccione una poltica

existente o cree una nueva poltica segn se describe en
Creacin de reglas de seguridad.

2.

Haga clic en la pestaa Acciones dentro de la poltica de

seguridad.

3.

En la seccin de configuracin del perfil, haga clic en el men

desplegable y seleccione el perfil de bloqueo de archivos que
cre para el reenvo de WildFire. (Si no ve ningn men
desplegable en el que seleccionar un perfil, seleccione Perfiles
en el men desplegable Tipo de perfil.

Paso 5

Guarde la configuracin.

Haga clic en Confirmar.

Paso 6

Verifique que el cortafuegos est

reenviando archivos a WildFire.

1.

Seleccione Supervisar > Logs > Filtrado de datos.

2.

Compruebe en la columna Accin las siguientes acciones:

Reenviar: Indica que el perfil de bloqueo de archivos
adjuntado a la poltica de seguridad reenvi el archivo de
forma correcta.
Wildfire-upload-success: Indica que el archivo se ha
enviado a WildFire. Esto significa que el archivo no est
firmado por un firmante de archivo fiable y que WildFire no
lo ha analizado anteriormente.
Wildfire-upload-skip: Indica que el archivo se identific
como apto para enviarse a WildFire por un perfil de bloqueo
de archivos o una poltica de seguridad, pero que no fue
necesario que WildFire lo analizase porque ya se haba
analizado previamente. En este caso, la accin mostrar
reenviar aparecer en el registro de filtrado de datos porque
era una accin de reenvo vlida, pero que no se envi y
analiz en WildFire porque el archivo ya se envi a la nube de
WildFire desde otra sesin, posiblemente desde otro firewall.

3.

Primeros pasos

Consulte los registros de WildFire seleccionando Supervisar >

Logs > Envos de WildFire. Si aparecen nuevos logs de
WildFire, se debe a que el cortafuegos est reenviando
correctamente los archivos a WildFire y a que WildFire est
devolviendo los resultados del anlisis de archivos.

35

Habilitacin de funciones de prevencin de amenazas bsicas

Primeros pasos

Exploracin del trfico en busca de amenazas

Perfiles de seguridad ofrece proteccin de amenazas en polticas de seguridad. Por ejemplo, puede aplicar un
perfil de antivirus a una poltica de seguridad y todo el trfico que coincida con las polticas de seguridad se
analizar para buscar virus.
Las siguientes secciones indican los pasos necesarios para establecer una configuracin de prevencin de
amenazas bsica:

Configuracin de antivirus, antispyware y proteccin contra vulnerabilidades

Configuracin de bloqueo de archivos

Configuracin de antivirus, antispyware y proteccin contra vulnerabilidades

Todos los cortafuegos de prxima generacin de Palo Alto Networks incluyen perfiles predefinidos de antivirus,
antispyware y proteccin de vulnerabilidades que puede incluir en las polticas de seguridad. Incluye un perfil de
antivirus predefinido, predeterminado, que usa la accin predeterminada para cada protocolo (bloquear trfico
HTTP, FTP y SMB y alerta de trfico SMTP, IMAP y POP3). Hay dos perfiles predefinidos de antispyware y
proteccin de zonas:

predeterminado:

Aplica la accin predeterminada a todo el spyware y eventos de proteccin de

vulnerabilidades de gravedad crtica, alta y media de cliente y servidor. No detecta los niveles bajo e
informativo.

estricto:

Aplica la respuesta de bloqueo a todo el spyware y eventos de proteccin de vulnerabilidades de

gravedad crtica, alta y media de cliente y servidor y usa la accin predeterminada para los eventos bajos e
informativos.

Para garantizar que el trfico que entra en su red est libre de amenazas, incluya los perfiles predefinidos en sus
polticas bsicas de acceso web. Al supervisar el trfico en su red y ampliar su base de reglas de poltica, puede
disear perfiles ms granulares para hacer frente a sus necesidades de seguridad especficas.
Configuracin de antivirus/antispyware/proteccin contra vulnerabilidades

Paso 1

Compruebe que tiene una licencia de

prevencin de amenazas.

La licencia de prevencin de amenazas rene en una licencia las

funciones de antivirus, antispyware y proteccin contra
vulnerabilidades.
Seleccione Dispositivo > Licencias para comprobar que la licencia
de prevencin de amenazas est instalada y es vlida (compruebe
la fecha de vencimiento).

Paso 2

36

Descargue las firmas de amenazas de

antivirus ms recientes.

1.

Seleccione Dispositivo > Actualizaciones dinmicas y haga clic

en Comprobar ahora en la parte inferior de la pgina para
recuperar las firmas ms recientes.

2.

En la columna Acciones, haga clic en Descargar para instalar

las firmas ms recientes de antivirus y de aplicaciones y
amenazas.

Primeros pasos

Primeros pasos

Habilitacin de funciones de prevencin de amenazas bsicas

Configuracin de antivirus/antispyware/proteccin contra vulnerabilidades (Continuacin)

Paso 3

Programe actualizaciones de firmas.

1.

Realice una descarga e

instalacin diariamente para
recibir actualizaciones de antivirus
2.
y semanalmente para recibir
actualizaciones de aplicaciones y
amenazas.

Desde Dispositivo > Actualizaciones dinmicas, haga clic en el

texto que hay a la derecha de Programacin para recuperar
automticamente las actualizaciones de firmas de Antivirus y
Aplicaciones y amenazas.
Especifique la frecuencia y sincronizacin de las actualizaciones
y si la actualizacin se descargar e instalar o nicamente se
descargar. Si selecciona nicamente descargar, tendr que
entrar manualmente y hacer clic en el enlace Instalar de la
columna Accin para instalar la firma. Cuando hace clic en
ACEPTAR, se programa la actualizacin. No es necesario realizar
una compilacin.

3.

(Opcional) Tambin puede introducir un nmero de horas en

el campo Umbral para indicar el tiempo mnimo que debe
tener una firma antes de realizar la descarga. Por ejemplo,
si introduce 10, la firma debe tener al menos 10 horas de
antigedad antes de poder descargarla, independientemente
de la programacin.

4.

En una configuracin de HA, tambin puede hacer clic en la

opcin Sincronizar en el peer para sincronizar la actualizacin
de contenido con el peer de HA tras la descarga/instalacin.
Esto no har que se apliquen los ajustes de programacin al
dispositivo del peer, sino que tendr que configurar la
programacin en cada dispositivo.

Recomendaciones para configuraciones de HA:

HA activa/pasiva: Si el puerto de gestin se usa para descargar firmas de antivirus, configure una programacin en
ambos dispositivos y ambos dispositivos realizarn las descargas e instalaciones de forma independiente. Si usa un
puerto de datos para las descargas, el dispositivo pasivo no realizar descargas mientras est en estado pasivo. En este
caso debera establecer una programacin en ambos dispositivos y, a continuacin, seleccionar la opcin Sincronizar
en el peer. De este modo se garantiza que sea cual sea el dispositivo activo, se realizarn las actualizaciones y despus
se aplicarn al dispositivo pasivo.
HA activa/activa: Si el puerto de gestin se usa para descargas de firmas de antivirus en ambos dispositivos, programe
la descarga/instalacin en ambos dispositivos, pero no seleccione la opcin Sincronizar en el peer. Si usa un puerto
de datos, programe las descargas de firmas en ambos dispositivos y seleccione Sincronizar en el peer. De este modo
garantizar que si un dispositivo en la configuracin activa/activa pasa al estado activo secundario, el dispositivo activo
descargar/instalar la firma y despus la aplicar al dispositivo activo secundario.

Primeros pasos

37

Habilitacin de funciones de prevencin de amenazas bsicas

Primeros pasos

Configuracin de antivirus/antispyware/proteccin contra vulnerabilidades (Continuacin)

Paso 4

Aada los perfiles de seguridad a una

poltica de seguridad.

1.

Incluya un duplicado o un perfil

de seguridad bsico a sus polticas 2.
de seguridad bsicas. De ese
modo, si quiere personalizar el
perfil puede hacer sin eliminar los
perfiles de solo lectura
predefinidos estricto o
predeterminado e incluir un
perfil personalizado.

Paso 5

38

Guarde la configuracin.

Seleccione Polticas > Seguridad, seleccione la poltica deseada

para modificarla y, a continuacin, haga clic en la pestaa
Acciones.
En Ajuste de perfil, haga clic en el men desplegable junto a
cada perfil de seguridad que desea activar. En este ejemplo
seleccionamos el valor predeterminado de Antivirus,
Proteccin contra vulnerabilidades y Antispyware.
Si no ve mens desplegables para la seleccin de perfiles,
seleccione Perfiles del men desplegable Perfil Tipo.

Haga clic en Confirmar.

Primeros pasos

Primeros pasos

Habilitacin de funciones de prevencin de amenazas bsicas

Configuracin de bloqueo de archivos

Los Perfiles de bloqueo de archivo le permiten identificar tipos de archivos especficos que quiera bloquear o
supervisar. El siguiente flujo de trabajo muestra cmo configurar un perfil de bloqueo de archivos bsico que
impide que los usuarios descarguen archivos ejecutables de Internet.
Configuracin de bloqueo de archivos

Paso 1

Paso 2

Cree el perfil de bloqueo de archivos.

Configure las opciones de bloqueo de

archivos.

1.

Seleccione Objetos > Perfiles de seguridad > Bloqueo de

archivos y haga clic en Aadir.

2.

Introduzca un nombre para el perfil de bloqueo de archivos, por

ejemplo, Bloquear_EXE.

3.

Opcionalmente, introduzca una descripcin, como

Bloquear la descarga de archivos exe desde
sitios web por parte de usuarios.

1.

Haga clic en Aadir para definir estos ajustes de perfil.

2.

Introduzca un nombre, como BloquearEXE.

3.

Defina las aplicaciones a las que se aplicar el bloqueo de

archivos, o bien djelo definido en Cualquiera.

4.

Establezca los tipos de archivos que se bloquearn. Por

ejemplo, para bloquear la descarga de archivos ejecutables,
debera seleccionar exe.

5.

Especifique la direccin en la que se bloquearn los archivos:

descarga, carga o ambos.

6.

Establezca la accin como una de las siguientes:

Continuar: (solo trfico web) Los archivos que coincidan con
los criterios seleccionados activarn una pgina de respuesta
que requiere que los usuarios hagan clic en Continuar para
continuar con la descarga/carga. Debe habilitar las pginas
de respuesta en las interfaces asociadas si quiere usar esta
opcin (Paso 4).

Las acciones reenviar y

continuar y reenviar solo
reenvan archivos a WildFire.

Bloquear: Los archivos que coincidan con los criterios

seleccionados tendrn su descarga/carga bloqueada.
Alertar: Los archivos que coincidan con los criterios
seleccionados estarn permitidos, pero generarn una
entrada de log en el log de filtrado de datos.

7.

Primeros pasos

Haga clic en Aceptar para guardar el perfil.

39

Habilitacin de funciones de prevencin de amenazas bsicas

Primeros pasos

Configuracin de bloqueo de archivos (Continuacin)

Paso 3

Adjunte el perfil de bloqueo de archivos a 1.

las polticas de seguridad que permiten
acceder al contenido.

Seleccione Polticas > Seguridad y bien seleccione una poltica

existente o cree una nueva poltica segn se describe en
Creacin de reglas de seguridad.

2.

Haga clic en la pestaa Acciones dentro de la poltica de

seguridad.

3.

En la seccin de configuracin del perfil, haga clic en el men

desplegable y seleccione el perfil de bloqueo de archivos que cre.
Si no ve mens desplegables para la seleccin de perfiles,
seleccione Perfiles del men desplegable Perfil Tipo.

Paso 4

Paso 5

Habilitar las pginas de respuesta en el

perfil de gestin para cada interfaz en la
que incluye el perfil de bloqueo de
archivos con una accin continuar.

Probar la configuracin de bloqueo de

archivos

1.

Seleccione Red > Perfiles de red > Gestin de interfaz y, a

continuacin, seleccione un perfil de interfaz para editarlo o
haga clic en Aadir para crear un nuevo perfil.

2.

Seleccione Pginas de respuesta, as como cualquier otro

servicio de gestin necesario en la interfaz.

3.

Haga clic en Aceptar para guardar el perfil de gestin de

interfaz.

4.

Seleccione Red > Interfaces y seleccione la interfaz a la que se

adjuntar el perfil.

5.

En la pestaa Avanzada > Otra informacin, seleccione el perfil

de gestin de interfaz que acaba de crear.

6.

Haga clic en Aceptar para guardar la configuracin de la

interfaz.

Acceda al PC cliente en la zona de confianza del cortafuegos e

intente descargar un archivo .exe de un sitio web de la zona no fiable.
Asegrese de que el archivo est bloqueado como se espera en
funcin de la accin definida en el perfil de bloqueo de archivos:
Si ha seleccionado la accin alerta, compruebe el log de filtrado
de datos para asegurarse de que ve una entrada de log para la
solicitud.
Si ha seleccionado la accin bloquear, debera mostrarse la pgina
de respuesta Pgina de bloque de bloqueo de archivo.
Si ha seleccionado la accin continuar, debera mostrarse la
pgina de respuesta Pgina de opcin continua de bloqueo de
archivo. Haga clic en Continuar para descargar el archivo. A
continuacin se muestra la Pgina de opcin continua de bloqueo
de archivo.

40

Primeros pasos

Primeros pasos

Habilitacin de funciones de prevencin de amenazas bsicas

Control del acceso a contenido web

Filtrado de URL proporciona visibilidad y control sobre el trfico web de su red. Con el filtrado de URL
habilitado, el cortafuegos puede categorizar el trfico web en una o ms categoras (de aproximadamente 60). A
continuacin, puede crear polticas que especifiquen si se permite, bloquea o crea un log (alerta) para el trfico
basndose en la categora a la que pertenece. El siguiente flujo de trabajo muestra cmo habilitar PAN-DB para
el filtrado de URL, crear perfiles de seguridad y adjuntarlos a polticas de seguridad para aplicar una poltica de
filtrado de URL bsica.
Configuracin de filtrado de URL

Paso 1

Paso 2

Confirme la informacin de la licencia

para el filtrado de URL.

Descargue la base de datos de envos y

active la licencia.

1.

Obtenga e instale una licencia de filtrado de URL. Consulte

Activacin de la licencia y suscripciones para obtener
informacin detallada.

2.

Seleccione Dispositivo > Licencias y compruebe que la licencia

de filtrado de URL es vlida.

1.

Para descargar la base de datos de envos, haga clic en

Descargar junto a Descargar estado en la seccin Filtrado de

URL de PAN-DB de la pgina Licencias.

Paso 3

2.

Seleccione una regin (Norteamrica, Europa, APAC, Japn) y,

a continuacin, haga clic en Aceptar para iniciar la descarga.

3.

Cuando finalice la descarga, haga clic en Activar.

1.

Seleccione Objetos > Perfiles de seguridad > Filtrado de URL.

Dado que el perfil de filtrado de 2.

URL predeterminado bloquea el
contenido de riesgo y propenso a 3.
las amenazas, duplique este perfil
cuando cree un nuevo perfil para
conservar la configuracin
predeterminada.

Seleccione el perfil predeterminado y, a continuacin, haga clic

en Duplicar. El nuevo perfil se denominar predeterminado-1.

Cree un perfil de filtrado de URL.

Primeros pasos

Seleccione el nuevo perfil y cmbiele el nombre.

41

Habilitacin de funciones de prevencin de amenazas bsicas

Primeros pasos

Configuracin de filtrado de URL (Continuacin)

Paso 4

Defina cmo controlar el acceso al

contenido web.

1.

Si no est seguro de qu trfico desea

controlar, considere configurar las
categoras (excepto las bloqueadas de
forma predeterminada) en Alertar. A
continuacin puede utilizar las
herramientas de visibilidad en el
cortafuegos, como el Centro de comando
de aplicacin (ACC) y Appscope, para
determinar qu categoras web restringir a
grupos especficos o bloquear por
completo. A continuacin, puede volver y
modificar el perfil para bloquear y
permitir categoras del modo deseado.

En cada categora para la que quiera visibilidad o que quiera

controlar, seleccione un valor en la columna Accin de la
siguiente forma:
Si no le preocupa el trfico o una categora concreta (es decir,
no desea bloquear ni registrar), seleccione Permitir.
Para tener visibilidad del trfico de los sitios de una categora,
seleccione Alerta.
Para mostrar una pgina de respuesta a los usuarios que
intentan acceder a una categora particular para alertarles de
que el contenido al que estn accediendo puede no funcionar
correctamente, seleccione Continuar.
Para evitar el acceso al trfico que coincide con la poltica
asociada, seleccione bloquear (esta accin tambin genera
una entrada de log).

Tambin puede definir sitios web

especficos que deben permitirse siempre
o bloquearse siempre
independientemente de la categora y
habilitar la opcin de bsqueda segura
para filtrar los resultados de bsqueda al
definir el perfil de Filtrado de URL.

Paso 5

Adjunte el perfil de filtro de URL a una

poltica de seguridad.

2.

Haga clic en Aceptar para guardar el perfil de filtro de URL.

1.

Seleccione Polticas > Seguridad.

2.

Seleccione la poltica deseada para modificarla y despus haga

clic en la pestaa Acciones.

3.

Si es la primera vez que define un perfil de seguridad, seleccione

Perfiles en el men desplegable Tipo de perfil.

42

4.

En la lista de configuracin de perfiles, seleccione el perfil que

acaba de crear en el men desplegable Filtrado de URL. (Si no
ve mens desplegables para seleccionar perfiles, seleccione
Perfiles en el men desplegable Tipo de perfil).

5.

Haga clic en Aceptar para guardar el perfil.

6.

Compile la configuracin.

Primeros pasos

Primeros pasos

Habilitacin de funciones de prevencin de amenazas bsicas

Configuracin de filtrado de URL (Continuacin)

Paso 6

Habilite pginas de respuesta en el perfil 1.

de gestin en cada interfaz en la que filtre
trfico web.

Seleccione Red > Perfiles de red > Gestin de interfaz y, a

continuacin, seleccione un perfil de interfaz para editarlo o
haga clic en Aadir para crear un nuevo perfil.

2.

Seleccione Pginas de respuesta, as como cualquier otro

servicio de gestin necesario en la interfaz.

3.

Haga clic en Aceptar para guardar el perfil de gestin de interfaz.

4.

Seleccione Red > Interfaces y seleccione la interfaz a la que se

adjuntar el perfil.

5.

En la pestaa Avanzada > Otra informacin, seleccione el perfil

de gestin de interfaz que acaba de crear.

6.

Haga clic en Aceptar para guardar la configuracin de la interfaz.

Paso 7

Guarde la configuracin.

Haga clic en Confirmar.

Paso 8

Probar la configuracin de filtrado

de URL

Acceda al PC cliente en la zona de confianza del cortafuegos e

intente acceder a un sitio de la categora de bloqueados. Asegrese de
que el filtrado de URL se aplica basndose en la accin definida en el
perfil de filtrado de URL:
Si ha seleccionado alerta como la accin, compruebe el log de
filtrado de datos para asegurarse de que ve una entrada de log para
la solicitud.
Si ha seleccionado la accin continuar, debera mostrarse la
pgina de respuesta Pgina de continuacin y cancelacin de
filtrado de URL. Contine al sitio.
Si ha seleccionado la accin bloquear, debera mostrarse la pgina
de respuesta Pgina de bloque de coincidencia de categora y filtro
de URL.

Cmo obtener ms informacin

Si desea informacin ms detallada sobre cmo proteger su empresa ante amenazas, consulte Prevencin de
amenazas. Si desea informacin detallada sobre cmo explorar el trfico cifrado (SSH o SSL) en busca de
amenazas, consulte Descifrado.
Si desea ms informacin sobre las amenazas y aplicaciones que pueden identificar los productos de Palo Alto
Networks, visite los siguientes enlaces:

Applipedia: Ofrece informacin sobre las aplicaciones que Palo Alto Networks puede identificar.

Cmara de amenazas: Enumera todas las amenazas que pueden identificar los productos de Palo Alto
Networks. Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto al
nmero de ID para obtener ms informacin acerca de una amenaza.

Primeros pasos

43

Prcticas recomendadas para completar la implementacin del cortafuegos

Primeros pasos

Prcticas recomendadas para completar la implementacin

del cortafuegos
Ahora que ha integrado el cortafuegos en su red y ha habilitado las funciones de seguridad bsicas, puede
empezar a configurar funciones ms avanzadas. Estos son algunos aspectos que debera considerar a
continuacin:

Obtenga informacin sobre las diferentes Interfaces de gestin que estn a su disposicin y cmo acceder
a ellas y utilizarlas.

Configure la Alta disponibilidad: La alta disponibilidad (HA) es una configuracin en la que dos
cortafuegos se colocan en un grupo y su configuracin se sincroniza para prevenir el fallo de un nico
punto en su red. Una conexin de latido entre los peers del cortafuegos garantiza una conmutacin por
error sin problemas en el caso de que falle un peer. La configuracin de los cortafuegos en un clster de
dos dispositivos proporciona redundancia y le permite garantizar la continuidad empresarial.

Configuracin de la clave maestra: Cada cortafuegos de Palo Alto Networks tiene una clave maestra
predeterminada que cifra las claves privadas que se utilizan para autenticar administradores cuando
acceden a interfaces de gestin en el cortafuegos. La prctica recomendada para proteger las claves es
configurar la clave maestra en cada cortafuegos para que sea exclusiva.

Gestin de los administradores de cortafuegos: Cada cortafuegos y dispositivo de Palo Alto Networks
viene preconfigurado con una cuenta administrativa predeterminada (admin), que proporciona un acceso
completo de lectura-escritura (tambin conocido como acceso de superusuario) al dispositivo. Es
recomendable que cree una cuenta administrativa diferente para cada persona que necesite acceder a las
funciones de administracin o informes del cortafuegos. Esto le permite proteger mejor el dispositivo de
la configuracin (o modificacin) no autorizada y registrar en logs las acciones de cada uno de los
administradores.

Habilite la identificacin de usuarios (User-ID): User-ID es una funcin de cortafuegos de prxima

generacin de Palo Alto Networks que le permite crear polticas y realizar informes basndose en usuarios
y grupos en lugar de direcciones IP individuales.

Habilite el Descifrado: Los cortafuegos de Palo Alto Networks ofrecen la capacidad de descifrar e
inspeccionar el trfico para lograr visibilidad, control y seguridad detallada. Utilice el descifrado en un
cortafuegos para evitar que entre en su red contenido malicioso o que salga de ella contenido confidencial,
escondido como trfico cifrado o de tnel.

Habilitacin de la recopilacin de DNS pasivo para mejorar la inteligencia contra amenazas: Habilite esta
funcin opcional para habilitar que el cortafuegos acte como un sensor DNS pasivo seleccione enviar
informacin DNS escogida a Palo Alto Networks para su anlisis a fin de mejorar la inteligencia de
amenazas y las funciones de prevencin de amenazas.

Siga las Prcticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7.

44

Primeros pasos

Gestin de dispositivos
Los administradores pueden configurar, gestionar y supervisar los cortafuegos de Palo Alto Networks a travs
de la interfaz web, la CLI y las interfaces de gestin de la API. El acceso administrativo basado en funciones a
las interfaces de gestin puede personalizarse para delegar tareas o permisos especficos a determinados
administradores. Consulte los siguientes temas para obtener informacin sobre opciones de gestin de
dispositivos, incluido cmo empezar a utilizar las interfaces de gestin y cmo personalizar las funciones de
administrador:

Interfaces de gestin

Gestin de los administradores de cortafuegos

Referencia: acceso de administrador a la interfaz web

Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks

Restablecimiento del cortafuegos a los ajustes predeterminados de fbrica

Gestin de dispositivos

45

Interfaces de gestin

Gestin de dispositivos

Interfaces de gestin
Los cortafuegos PAN-OS y Panorama ofrecen tres interfaces de usuario: una interfaz web, una interfaz de lnea
de comando (CLI) y una API de gestin basada en XML. Consulte los siguientes temas para saber cmo acceder
a cada una de las interfaces de gestin de dispositivos y cmo empezar a utilizarlas:

Uso de la interfaz web para realizar tareas administrativas y generar informes desde la interfaz web con
relativa facilidad. Esta interfaz grfica le permite acceder al cortafuegos con HTTPS y es la mejor forma de
realizar tareas administrativas.

Uso de la interfaz de lnea de comandos (CLI) para escribir los comandos con rapidez para realizar una serie
de tareas. La CLI es una interfaz sencilla que admite dos modos de comandos, cada uno de los cuales con su
propia jerarqua de comandos e instrucciones. Cuando conoce la estructura de anidamiento y la sintaxis de
los comandos, la CLI permite tiempos de respuesta rpidos y ofrece eficacia administrativa.

Uso de la API XML para dinamizar las operaciones e integrarse con las aplicaciones y repositorios existentes
desarrollados internamente. La API XML se proporciona como servicio web implementado usando
solicitudes y respuestas de HTTP/HTTPS.

46

Gestin de dispositivos

Gestin de dispositivos

Interfaces de gestin

Uso de la interfaz web

Los siguientes temas describen cmo empezar a usar la interfaz web del cortafuegos. Si desea informacin
detallada sobre las pestaas y los campos que estn disponibles en la interfaz web, consulte Web Interface
Reference Guide (en ingls).

Inicio de la interfaz web

Navegacin en la interfaz web

Compilacin de cambios

Uso de pginas de configuracin

Campos obligatorios

Bloqueo de transacciones

Inicio de la interfaz web

Los siguientes exploradores web son compatibles para acceder a la interfaz web de cortafuegos de PAN-OS y
Panorama:

Internet Explorer 7+

Firefox 3.6+

Safari 5+

Chrome 11+

Abra un explorador de Internet e introduzca la direccin IP del cortafuegos. Introduzca sus credenciales de
usuario. Si inicia sesin en el cortafuegos por primera vez, escriba el administrador predeterminado (admin) en
los campos Nombre y Contrasea.
Para ver informacin sobre cmo utilizar una pgina especfica y una explicacin de los campos y opciones de
la pgina, haga clic en el icono Ayuda
del rea superior derecha de la pgina para abrir el sistema de ayuda
en lnea. Adems de mostrar ayuda contextual de una pgina, al hacer clic en el icono Ayuda se muestra un panel
de navegacin de ayuda con opciones para examinar todo el contenido de la ayuda y buscar en l.

Navegacin en la interfaz web

Se aplican las siguientes convenciones cuando utilice la interfaz web.

Para mostrar los elementos del men para una categora de funciones general, haga clic en la pestaa, como
Objetos o Dispositivo, junto a la parte superior de la ventana del explorador.

Haga clic en un elemento en el men lateral para mostrar un panel.

Gestin de dispositivos

47

Interfaces de gestin

Gestin de dispositivos

Para mostrar los elementos del men secundario, haga clic en el icono
a la izquierda de un elemento. Para
ocultar elementos del men secundario, haga clic en el icono
a la izquierda del elemento.

En la mayora de las pginas de configuracin, puede hacer clic en Aadir para crear un nuevo elemento.

Para eliminar uno o ms elementos, seleccione sus casillas de verificacin y haga clic en Eliminar. En la
mayora de los casos, el sistema le solicita confirmar haciendo clic en ACEPTAR o cancelar la eliminacin
haciendo clic en Cancelar.

En algunas pginas de configuracin, puede seleccionar la casilla de verificacin de un elemento y hacer clic
en Duplicar para crear un nuevo elemento con la misma informacin que el elemento seleccionado.

Para modificar un elemento, haga clic en su enlace subrayado.

Para ver la lista actual de tareas, haga clic en el icono Tareas en la esquina inferior derecha de la pgina. La
ventana Gestor de tareas se abre para mostrar la lista de tareas, junto con los estados, fechas de inicio,
mensajes asociados y acciones. Use el men desplegable Mostrar para filtrar la lista de tareas.

48

Gestin de dispositivos

Gestin de dispositivos

Interfaces de gestin

El lenguaje de la interfaz web se controla mediante el lenguaje actual del ordenador que gestiona el
dispositivo si no se ha definido una preferencia de lenguaje especfico. Por ejemplo, si el equipo que utiliza
para gestionar el cortafuegos tiene como idioma establecido el espaol, cuando inicia sesin en el
cortafuegos, la interfaz web estar en espaol.

Para especificar el lenguaje que siempre se usar para una cuenta especfica de la configuracin regional del
ordenador, haga clic en el icono Idioma en la esquina inferior derecha de la pgina para que se abra la ventana
Preferencia de idioma. Haga clic en el men desplegable para seleccionar el lenguaje deseado y haga clic en
ACEPTAR para guardar sus cambios.

En las pginas que muestran la informacin que puede modificar (por ejemplo, la pgina Configuracin en la
pestaa Dispositivos), haga clic en el icono de la esquina superior derecha de una seccin para editar los ajustes.

Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar para almacenar los cambios.
Cuando hace clic en ACEPTAR, la configuracin actual de candidato se actualiza.

Compilacin de cambios
Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de dilogo Compilar.

Gestin de dispositivos

49

Interfaces de gestin

Gestin de dispositivos

Las siguientes opciones estn disponibles en el cuadro de dilogo compilar. Haga clic en el enlace Avanzado, si
es necesario, para mostrar las opciones:

Incluir configuracin de dispositivo y red:

Incluir los cambios de configuracin de dispositivo y red en la

operacin de compilacin.

Incluir configuracin de objeto compartido: (solo cortafuegos de sistemas virtuales) Incluir los cambios de
configuracin de objetos compartidos en la operacin de compilacin.

Incluir polticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambios de configuracin de
objetos y polticas en la operacin de compilacin.

Incluir configuracin del sistema virtual:

sistemas virtuales.

Vista previa de cambios: Haga clic en este botn para devolver una ventana con dos paneles que muestra los

Incluir todos los sistemas virtuales o elegir Seleccionar uno o ms

cambios propuestos en la configuracin del candidato en comparacin con la configuracin actualmente en

ejecucin. Puede seleccionar el nmero de lneas de contexto para mostrar o mostrar todas las lneas. Los
cambios estn indicados con colores dependiendo de los elementos que se han agregado, modificado o
eliminado.

Uso de pginas de configuracin

Las tablas de las pginas de configuracin incluyen opciones de seleccin de clasificacin y columna. Haga clic
en el encabezado de una columna para ordenar en esa columna y haga clic de nuevo para cambiar el orden. Haga
clic en la flecha a la derecha de cualquier columna y seleccione casillas de verificacin para elegir qu columnas
mostrar.

Campos obligatorios
Los campos obligatorios se muestran con un fondo amarillo claro. Cuando pasa el ratn o hace clic en el rea
de entrada del campo, aparece un mensaje indicando que el campo es obligatorio.

50

Gestin de dispositivos

Gestin de dispositivos

Interfaces de gestin

Bloqueo de transacciones
La interfaz web proporciona asistencia para varios administradores permitiendo a un administrador bloquear un
conjunto actual de transacciones y de ese modo evitar cambios de configuracin o compilacin de informacin
por otro administrador hasta que se elimine el bloqueo. Se permiten los siguientes tipos de bloqueo:

Bloqueo de configuracin:

Bloquea la realizacin de cambios en la configuracin por otros administradores.

Se puede establecer este tipo de bloqueo de forma general o para un sistema virtual. Solo puede eliminarse
por el administrador que lo configur o por un superusuario del sistema.

Bloqueo de compilacin:

Bloquea los cambios de compilacin por parte de otros administradores hasta que
se liberen todos los bloqueos. Este tipo de bloqueo evita enfrentamientos que se pueden producir cuando
dos administradores estn realizando cambios a la vez y el primer administrador finaliza y compila cambios
antes de que finalice el segundo administrador. El bloqueo se libera cuando se compilan los cambios actuales
por el administrador que aplic el bloqueo o de forma manual.

Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transacciones actuales que estn
bloqueadas junto con una marca de tiempo para cada una.
Para bloquear una transaccin, haga clic en el icono desbloqueado en la barra superior para abrir el cuadro
de dilogo Bloqueos. Haga clic en Aplicacin de un bloqueo, seleccione el mbito del bloqueo desde la lista
desplegable y haga clic en ACEPTAR. Agregue bloqueos adicionales como sea necesario y vuelva a hacer clic en
Cerrar para cerrar el cuadro de dilogo Bloqueo.
La transaccin est bloqueada y el icono en la barra superior cambia por un icono bloqueado que muestra el
nmero de elementos bloqueados en las parntesis.
Para desbloquear una transaccin, haga clic en el icono bloqueado en la barra superior para abrir la ventana
Bloqueos. Haga clic en el icono
del bloqueo que quiere quitar y haga clic en S para confirmar. Haga clic en
Cerrar para cerrar el cuadro de dilogo Bloqueo.
Puede organizar la adquisicin de un bloqueo de compilacin de forma automtica seleccionando la casilla de
verificacin Adquirir bloqueo de compilacin automticamente en el rea de administracin de la pgina
Configuracin de dispositivo.

Gestin de dispositivos

51

Interfaces de gestin

Gestin de dispositivos

Uso de la interfaz de lnea de comandos (CLI)

La CLI de PAN-OS le permite acceder a cortafuegos y dispositivos de Panorama, ver informacin de estado y
configuracin y modificar configuraciones. El acceso a la CLI de PAN-OS se proporciona a travs de SSH,
Telnet o acceso directo a la consola.
Los siguientes temas describen cmo acceder a la CLI de PAN-OS y cmo empezar a utilizarla:

Acceso a la CLI de PAN-OS

Modos de operacin y configuracin

Para obtener ms informacin sobre la CLI, consulte la Gua de referencia de la interfaz de lnea de comandos de PAN-OS.

Acceso a la CLI de PAN-OS

Antes de empezar, verifique que el cortafuegos est instalado y que se ha establecido una conexin de SSH,
Telnet o directa con la consola.
Utilice la siguiente configuracin en la conexin directa de la consola:
Tasa de datos: 9600
Bits de datos: 8
Paridad: no
Bits de terminacin: 1
Control de flujo: Ninguno
Acceso a la CLI de PAN-OS

1.

Abra la conexin de la consola.

2.

Introduzca el nombre de usuario administrativo. El valor predeterminado es admin.

3.

Introduzca la contrasea administrativa. El valor predeterminado es admin.

4.

La CLI de PAN-OS se abre en el modo de operacin y se muestra el siguiente mensaje de la CLI:

username@hostname>

Modos de operacin y configuracin

Cuando inicie sesin, la CLI de PAN-OS se abre en el modo de operacin. Puede alternar entre los modos de
operacin y navegacin en cualquier momento. Utilice el modo de operacin para ver el estado del sistema,
navegar por la CLI de PAN-OS y acceder al modo de configuracin. Utilice el modo de configuracin para ver
y modificar la jerarqua de configuracin.

Para introducir el modo de configuracin desde el modo operativo, use el comando configure:
username@hostname> configure
Entering configuration mode
[editar]
username@hostname#

52

Gestin de dispositivos

Gestin de dispositivos

Interfaces de gestin

Para salir del modo de configuracin y regresar al modo de operacin, use el comando abandonar o el
comando salir:
username@hostname# quit
Exiting configuration mode
username@hostname>

Para introducir un comando de modo operativo cuando se est en el modo de configuracin, use el comando
run, por ejemplo:
username@hostname# run ping host 1.1.1.2
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data
...
username@hostname#

Para dirigir un comando de modo operativo a un VSYS particular, especifique el VSYS de destino con el
siguiente comando:
username@hostname# set system setting target-vsys <nombre_vsys>

Gestin de dispositivos

53

Interfaces de gestin

Gestin de dispositivos

Uso de la API XML

La API XML de Palo Alto Networks utiliza solicitudes HTTP estndar para enviar y recibir datos, lo que permite
el acceso a varios tipos de datos en el dispositivo para que los datos puedan integrarse fcilmente con otros
sistemas y utilizarse en ellos. Use la API de gestin basada en XML para ver un cortafuegos o una configuracin
de Panorama, extraiga los datos de informe en un formato XML y ejecute los comandos operativos. Las
llamadas de la API se pueden realizar directamente desde utilidades de la lnea de comandos como cURL o wget
o usando cualquier secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de la
REST. Al utilizar la API con herramientas de lneas de comandos, se admiten tanto el mtodo GET como el
mtodo POST de HTTP.
Debe generar una clave de API para empezar a utilizar la API XML. La clave de API autentica al usuario para
el cortafuegos, la aplicacin o Panorama. Despus de haber generado una clave de API, puede utilizar la clave
para realizar la configuracin del dispositivo y tareas de operacin, recuperar informes y logs e importar y
exportar archivos. Consulte Generacin de una clave de API para conocer los pasos necesarios para generar una
clave de API.
La siguiente tabla muestra la estructura de URL para solicitudes de la API:
Versin de PAN-OS

Estructura de URL de la API XML

Antes de PAN-OS 4.1.0

http(s)://hostname/esp/restapi.esp?request-parameters-values

PAN-OS 4.1.0 y posterior

http(s)://hostname/api/?request-parameters-values

Definiciones de elementos de la estructura de URL:

hostname: Direccin IP o nombre de dominio del dispositivo.
request-parameters-values: Serie de varios pares de parmetro=valor separados por el carcter &. Estos
valores pueden ser palabras clave o valores de datos en formato estndar o XML (los datos de respuesta siempre
estn en formato XML).

Existen diferentes API para productos PAN-OS, User-ID y WildFire. Para obtener ms informacin sobre
cmo utilizar la interfaz de la API, consulte la PAN-OS XML API Usage Guide (Gua de uso de la API XML
de PAN-OS). Para acceder a la comunidad en lnea para desarrollar secuencias de comandos, visite:
https://live.paloaltonetworks.com/community/devcenter.

Generacin de una clave de API

Para utilizar la API para gestionar un cortafuegos o una aplicacin, se necesita una clave de API para autenticar
todas las llamadas de la API. Se utilizan credenciales de cuenta de administrador para generar claves de API.
La prctica recomendada es crear una cuenta de administrador separada para la administracin
basada en XML.

54

Gestin de dispositivos

Gestin de dispositivos

Interfaces de gestin

Generacin de una clave de API

Paso 1

Paso 2

Cree una cuenta de administrador.

Solicite una clave de API.

5.

En la interfaz web de la pestaa Dispositivo > Administradores,

haga clic en Aadir.

6.

Introduzca un Nombre de inicio de sesin para el administrado.

7.

Introduzca y confirme una Contrasea para el administrador.

8.

Haga clic en ACEPTAR y Confirmar.

Sustituya los parmetros hostname, username y password de la

siguiente URL por los valores adecuados de sus credenciales de
cuenta de administrador:
http(s)://hostname/api/?type=keygen&user=username&pas
sword=password
La clave de API aparecer en un bloque XML. Por ejemplo:
<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>

Paso 3

1.

En la pestaa Dispositivo > Administradores, abra la cuenta de

administrador asociada a la clave de API.

2.
Para PAN-OS 4.1.0 y versiones
posteriores, cada vez que se genera una
clave de API con las mismas credenciales 3.
de cuenta de administrador, se devuelven
claves de API exclusivas; adems, todas
las claves son vlidas.
4.
Puede decidir revocar y, a continuacin,
cambiar una clave de API asociada a una
cuenta de administrador cambiando la
contrasea asociada a la cuenta de
administrador. Las claves de API
generadas con las credenciales anteriores
dejarn de ser vlidas.

Introduzca y confirme una nueva Contrasea para la cuenta de

administrador.

(Opcional) Revoque o cambie una clave

de API.

Haga clic en ACEPTAR y Confirmar.

Las claves de API asociadas a la cuenta de administrador antes
del cambio de contrasea se revocarn al seleccionar Confirmar.
(Opcional) Utilice las credenciales de cuenta de administrador
actualizadas para generar una nueva clave de API. Consulte
Paso 2.

Ejemplo de flujo de trabajo utilizando una clave de API:

Solicite una clave de API introduciendo la URL con los valores adecuados en un explorador web:
https://10.xx.10.50/esp/restapi.esp?type=keygen&user=admin&password=admin
Al introducir la URL, aparecer un bloque XML que contiene la clave de API:
<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
Siga utilizando la clave de API para crear solicitudes de la API. Por ejemplo, para generar un informe:
https://10.xx.10.50/esp/restapi.esp?type=report&reporttype=dynamic&reportname
=top-app-summary&period=last-hour&topn=5&key=0RgWc42Oi0vDx2WRUIUM6A=

Gestin de dispositivos

55

Gestin de los administradores de cortafuegos

Gestin de dispositivos

Gestin de los administradores de cortafuegos

Cada cortafuegos y dispositivo de Palo Alto Networks viene preconfigurado con una cuenta administrativa
predeterminada (admin), que proporciona un acceso completo de lectura-escritura (tambin conocido como
acceso de superusuario) al dispositivo.
Es recomendable que cree una cuenta administrativa diferente para cada persona que necesite
acceder a las funciones de administracin o informes del cortafuegos. Esto le permite proteger
mejor el dispositivo de la configuracin (o modificacin) no autorizada y registrar en logs las
acciones de cada uno de los administradores.

Los siguientes temas describen las diversas formas de configurar cuentas administrativas y ofrecen
procedimientos para configurar accesos administrativos bsicos:

Funciones administrativas

Autenticacin administrativa

Creacin de una cuenta administrativa

Funciones administrativas
El modo en que configure las cuentas de administrador depende de los requisitos de seguridad de su
organizacin, de que tenga servicios de autenticacin previos que desee integrar y del nmero de funciones
administrativas que necesite. Una funcin define el tipo de acceso al sistema que tiene el administrador asociado.
Se pueden asignar dos tipos de funciones:

Funciones dinmicas: Funciones integradas que proporcionan acceso al cortafuegos en las categoras de
superusuario, superusuario (solo lectura), administrador de dispositivo, administrador de dispositivo (solo
lectura), administrador de sistema virtual y administrador de sistema virtual (solo lectura). Con las funciones
dinmicas solo tendr que preocuparse de actualizar las definiciones de funcin, ya que se aaden nuevas
caractersticas cuando las funciones se actualizan automticamente.

Perfiles de funcin de administrador: Le permiten crear sus propias definiciones de funcin para ofrecer
un control de acceso ms granular a las diversas reas funcionales de la interfaz web, CLI o API XML. Por
ejemplo, podra crear un perfil de funcin de administrador para su personal de operaciones que proporcione
acceso a las reas de configuracin de red y dispositivo de la interfaz web y un perfil separado para los
administradores de seguridad que proporcione acceso a la definicin de poltica de seguridad, logs e
informes. Tenga en cuenta que con los perfiles de funcin de administrador deber actualizar los perfiles
para asignar privilegios de forma explcita para nuevos componentes/caractersticas que se aadan al
producto. Si desea informacin sobre los privilegios que puede configurar para las funciones de
administrador personalizado, consulte Referencia: acceso de administrador a la interfaz web.

56

Gestin de dispositivos

Gestin de dispositivos

Gestin de los administradores de cortafuegos

Autenticacin administrativa
Hay cuatro formas de autenticar a usuarios administrativos:

Cuenta de administrador local con autenticacin local: Tanto las credenciales de la cuenta de
administrador como los mecanismos de autenticacin son locales para el cortafuegos. Puede aadir un nivel
de proteccin adicional a la cuenta del administrador local creando un perfil de contrasea que defina un
perodo de validez para las contraseas y estableciendo ajustes de complejidad de la contrasea para todo el
dispositivo.

Cuenta de administrador local con autenticacin basada en SSL: Con esta opcin, puede crear las
cuentas de administrador en el cortafuegos, pero la autenticacin se basa en certificados SSH (para acceso a
CLI) o certificados de cliente/tarjetas de acceso comn (para la interfaz web). Consulte el artculo How to
Configure Certificate-based Authentication for the WebUI (Cmo configurar la autenticacin basada en certificados
para la IU web) para obtener informacin sobre cmo configurar este tipo de acceso administrativo.

Cuenta de administrador local con autenticacin externa: Las cuentas de administrador se gestionan en
el cortafuegos local, pero las funciones de autenticacin se derivan a un servicio LDAP, Kerberos o RADIUS
existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticacin que defina el modo
de acceso al servicio de autenticacin externa y despus crear una cuenta para cada administrador que haga
referencia al perfil.

Cuenta y autenticacin de administrador externas: La administracin y la autenticacin de la cuenta las

gestiona un servidor RADIUS externo. Para usar esta opcin, primero debe definir atributos especficos de
proveedor (VSA) en su servidor RADIUS que se asignen a la funcin de administrador y, de manera
opcional, los objetos del sistema virtual que ha definido en el dispositivo de Palo Alto Networks. Consulte
el artculo Radius Vendor Specific Attributes (VSA) (Atributos especficos de proveedor [VSA] en Radius) para
obtener informacin sobre cmo configurar este tipo de acceso administrativo.

Creacin de una cuenta administrativa

Cree cuentas administrativas para definir privilegios de acceso y administrativos para administradores de
cortafuegos. Como es comn delegar tareas administrativas especficas a administradores determinados con
funciones variables, Palo Alto Networks le recomienda que cree perfiles de funcin de administrador que
permitan que los administradores accedan nicamente a las reas de la interfaz de gestin que sean necesarias
para realizar sus trabajos. Puede asignar las distintas funciones que crea en cuentas de administrador individuales
y especificar los privilegios de acceso a cada interfaz de gestin: la interfaz web, la interfaz de la lnea de comando
(CLI) y la API de gestin basada en XML. Mediante la creacin de funciones de administrador con privilegios
de acceso muy detallados, puede garantizar la proteccin de los datos confidenciales de la empresa y la
privacidad de los usuarios finales.
El siguiente procedimiento describe cmo crear una cuenta de administrador local con autenticacin local, lo
que incluye cmo configurar el acceso de administrador para cada interfaz de gestin.

Gestin de dispositivos

57

Gestin de los administradores de cortafuegos

Gestin de dispositivos

Creacin de un administrador local

Paso 1

Cree los perfiles de funcin de

administrador que tenga la intencin de
asignar a sus administradores (esto no es
aplicable si tiene la intencin de utilizar
funciones dinmicas). Los perfiles de
funcin de administrador definen qu
tipo de acceso dar a las diferentes
secciones de la interfaz web, CLI y API
XML para cada administrador al que
asigne una funcin.

Complete los siguientes pasos para cada funcin que desee crear:
1. Seleccione Dispositivo > Funciones de administrador y, a
continuacin, haga clic en Aadir.
2.

Introduzca un nombre y, opcionalmente, una descripcin para

la funcin.

3.

En las pestaas Interfaz web, Lnea de comandos y/o API

XML, especifique el acceso que debe permitirse a cada interfaz
de gestin:
En las fichas Interfaz web y/o API XML, establezca los
niveles de acceso para cada rea funcional de la interfaz
haciendo clic en el icono para cambiarlo al ajuste deseado:
Habilitar, Solo lectura o Deshabilitar.

Puede utilizar este paso para establecer

privilegios de acceso especialmente
detallados para usuarios de la interfaz
web. Si desea informacin detallada sobre
qu habilita una opcin especfica en la
pestaa Interfaz web, consulte Privilegios
de acceso a la interfaz web.

En la ficha Lnea de comandos, especifique el tipo de acceso

que permitir a la CLI: superlector, deviceadmin o
devicereader (para funciones de dispositivo); vsysadmin o
vsysreader (para funciones de sistema virtual); o Ninguno
para deshabilitar completamente el acceso a la CLI.
4.

Haga clic en Aceptar para guardar el perfil.

Por ejemplo, conceda a un administrador un acceso completo a un

dispositivo mediante la API XML, con la excepcin de la
importacin o la exportacin de archivos:

58

Gestin de dispositivos

Gestin de dispositivos

Gestin de los administradores de cortafuegos

Creacin de un administrador local (Continuacin)

Paso 2

(Opcional) Establezca requisitos para

contraseas definidas por usuarios
locales.

Crear perfiles de contrasea: Defina la frecuencia con que los

administradores debern cambiar sus contraseas. Puede crear
varios perfiles de contrasea y aplicarlos a las cuentas de
administrador segn sea necesario para imponer la seguridad
deseada. Para crear un perfil de contrasea, seleccione
Dispositivo > Perfiles de la contrasea y haga clic en Aadir.
Configurar ajustes de complejidad mnima de la contrasea:
Defina reglas que rijan la complejidad de la contrasea, lo que
obligar a los administradores a crear contraseas ms difciles de
adivinar, descifrar o evitar. Al contrario de lo que pasa en los
perfiles de contraseas, que se pueden aplicar a cuentas
individuales, estas reglas se aplican a todo el dispositivo y a
todas las contraseas. Para configurar los ajustes, seleccione
Dispositivo > Configuracin y despus Editar en la seccin
Complejidad de contrasea mnima.

Paso 3

Cree una cuenta para cada administrador. 1.

Gestin de dispositivos

Seleccione Dispositivo > Administradores y, a continuacin,

haga clic en Aadir.

2.

Introduzca un Nombre de usuario y una Contrasea para el

administrador, o cree un Perfil de autenticacin para utilizarlo
para validar las credenciales de un usuario administrativo en un
servidor de autenticacin externo. Consulte el Paso 4 para
obtener detalles sobre cmo configurar un perfil de
autenticacin.

3.

Seleccione la funcin que se asignar a este administrador.

Puede seleccionar una de las funciones dinmicas predefinidas o
un perfil basado en funcin personalizado si ha creado uno en
el Paso 1.

4.

(Opcional) Seleccione un perfil de contrasea.

5.

Haga clic en ACEPTAR para guardar la cuenta.

59

Gestin de los administradores de cortafuegos

Gestin de dispositivos

Creacin de un administrador local (Continuacin)

Paso 4

(Opcional) Configure la autenticacin en 1.

un servidor externo: LDAP, RADIUS o
Kerberos.
2.
El perfil de servidor especifica el modo en
el que el cortafuegos puede conectarse al 3.
servicio de autenticacin que tiene la
intencin de utilizar.

Seleccione Dispositivo > Perfil de autenticacin y, a

continuacin, haga clic en Aadir.
Introduzca un nombre de usuario para identificar un perfil de
autenticacin.
Defina las condiciones para bloquear al usuario administrativo.
a. Introduzca el tiempo de bloqueo. Este es el nmero de
minutos que se bloquea a un usuario cuando alcanza el
nmero mximo de intentos fallidos ((0-60 minutos; de
forma predeterminada es 0). 0 significa que el bloqueo
continuar mientras que no se desbloquee manualmente.
b. Introduzca el valor en Intentos fallidos. Nmero de intentos
de inicio de sesin fallidos que se permiten antes de bloquear
la cuenta (1-10; de forma predeterminada es 0). De forma
predeterminada, el nmero de intentos fallidos es 0, por lo
que no se bloquea al usuario aunque la autenticacin falle
repetidamente.

4.

Especifique a los usuarios y grupos que tienen permiso explcito

para autenticar. Al aadir una Lista de permitidas a un perfil de
autenticacin, puede limitar el acceso a usuarios especficos de
un grupo/directorio de usuarios.
Seleccione la casilla de verificacin Todos para permitir a
todos los usuarios.
Haga clic en Aadir e introduzca los primeros caracteres de
un nombre en el campo para que aparezca una lista de todos
los usuarios y grupos de usuarios que empiezan por esos
caracteres. Repita el proceso para aadir tantos
usuarios/grupos de usuarios como sea necesario.

5.

En el men desplegable Autenticacin, seleccione el tipo de

autenticacin que tiene la intencin de utilizar en su red.
Si tiene la intencin de utilizar una autenticacin de base de
datos local, deber crear la base de datos local. Seleccione
Dispositivo > Base de datos de usuario local y aada los
usuarios y grupos que se autenticarn.

Paso 5

60

Compile los cambios.

6.

Para acceder a un servidor de autenticacin externo (que no sea

una base de datos local), seleccione el perfil de servidor
adecuado en el men desplegable Perfil de servidor. Para crear
un nuevo perfil de servidor, haga clic en el enlace junto a Nuevo
y contine con la configuracin del acceso al servidor LDAP,
RADIUS o Kerberos.

7.

Haga clic en ACEPTAR.

1.

Haga clic en Confirmar.

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Referencia: acceso de administrador a la interfaz web

Aunque los privilegios asociados con funciones de administrador dinmicos son fijos, puede configurar
privilegios a nivel granular para las funciones de administrador personalizadas. La configuracin de privilegios
a nivel granular garantiza que los administradores de nivel inferior no puedan a acceder a cierta informacin.
Puede crear funciones personalizadas para administradores de cortafuegos (consulte Creacin de una cuenta
administrativa), administradores de Panorama o administradores de grupo de dispositivos y plantilla (consulte
la Gua del administrador de Panorama). Los siguientes temas describen los privilegios que puede configurar
para las funciones de administrador personalizadas.

Privilegios de acceso a la interfaz web

Acceso a la interfaz web de Panorama

Privilegios de acceso a la interfaz web

Si desea impedir que un administrador basado en funciones acceda a pestaas especficas de la interfaz web,
puede deshabilitar la pestaa y el administrador ni siquiera la ver cuando inicie sesin con la cuenta
administrativa basada en funciones asociada. Por ejemplo, podra crear un perfil de funcin de administrador
para su personal de operaciones que nicamente proporcione acceso a las pestaas Dispositivo y Red y un perfil
separado para los administradores de seguridad que proporcione acceso a las pestaas Objetos, Poltica y
Supervisar.
La siguiente tabla describe los privilegios de acceso a nivel de pestaa que puede asignar al perfil de funcin de
administrador. Tambin proporciona referencias cruzadas a tablas adicionales que indican los privilegios
detallados dentro de una pestaa. Para obtener informacin especfica sobre cmo establecer el perfil de funcin
de administrador para proteger la privacidad del usuario final, consulte Definicin de ajustes de privacidad de
usuario en el perfil de funcin de administrador.
Nivel de acceso

Descripcin

Habilitar

Solo
lectura

Deshabilitar

Panel

Controla el acceso a la pestaa Panel. Si deshabilita

este privilegio, el administrador no ver la pestaa ni
tendr acceso a ninguno de los widgets del panel.

No

ACC

Controla el acceso al Centro de comando de aplicacin S

(ACC). Si deshabilita este privilegio, la pestaa ACC no
aparecer en la interfaz web. Recuerde que si quiere
proteger la privacidad de sus usuarios y a la vez seguir
proporcionando acceso al ACC, puede deshabilitar la
opcin Privacidad > Mostrar direcciones IP
completas y/o la opcin Mostrar nombres de
usuario en logs e informes.

No

Gestin de dispositivos

61

Referencia: acceso de administrador a la interfaz web

Nivel de acceso

Descripcin

Supervisar

Gestin de dispositivos

Solo
lectura

Deshabilitar

S
Controla el acceso a la pestaa Supervisar. Si
deshabilita este privilegio, el administrador no ver la
pestaa Supervisar ni tendr acceso a ninguno de los
logs, capturas de paquetes, informacin de sesin,
informes o Appscope. Para obtener un control ms
detallado sobre qu informacin de supervisin puede
ver el administrador, deje la opcin Supervisar
habilitada y, a continuacin, habilite o deshabilite nodos
especficos en la pestaa como se describe en Acceso
detallado a la pestaa Supervisar.

No

Polticas

Controla el acceso a la pestaa Polticas. Si deshabilita S

este privilegio, el administrador no ver la pestaa
Polticas ni tendr acceso a ninguna informacin de
poltica. Para obtener un control ms detallado sobre
qu informacin de polticas puede ver el
administrador, por ejemplo, para habilitar el acceso a un
tipo de poltica especfico o para habilitar el acceso de
solo lectura a informacin de polticas, deje la opcin
Polticas habilitada y, a continuacin, habilite o
deshabilite nodos especficos en la pestaa como se
describe en Acceso detallado a la pestaa Poltica.

No

Objetos

Controla el acceso a la pestaa Objetos. Si deshabilita S

este privilegio, el administrador no ver la pestaa
Objetos ni tendr acceso a ninguno de los objetos,
perfiles de seguridad, perfiles de reenvo de logs,
perfiles de descifrado o programaciones. Para obtener
un control ms detallado sobre qu objetos puede ver
el administrador, deje la opcin Objetos habilitada y, a
continuacin, habilite o deshabilite nodos especficos
en la pestaa como se describe en Acceso detallado a la
pestaa Objetos.

No

Red

Controla el acceso a la pestaa Red. Si deshabilita este S

privilegio, el administrador no ver la pestaa Red ni
tendr acceso a ninguna informacin de configuracin
de interfaz, zona, VLAN, Virtual Wire, enrutador
virtual, tnel de IPSec, DHCP, proxy DNS,
GlobalProtect o QoS o a los perfiles de red. Para
obtener un control ms detallado sobre qu objetos
puede ver el administrador, deje la opcin Red
habilitada y, a continuacin, habilite o deshabilite nodos
especficos en la pestaa como se describe en Acceso
detallado a la pestaa Red.

No

62

Habilitar

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Nivel de acceso

Descripcin

Habilitar

Dispositivo

S
Controla el acceso a la pestaa Dispositivo. Si
deshabilita este privilegio, el administrador no ver la
pestaa Dispositivo ni tendr acceso a ninguna
informacin de configuracin de todo el dispositivo,
como informacin de configuracin de User-ID, alta
disponibilidad, perfil de servidor o certificado. Para
obtener un control ms detallado sobre qu objetos
puede ver el administrador, deje la opcin Objetos
habilitada y, a continuacin, habilite o deshabilite nodos
especficos en la pestaa como se describe en Acceso
detallado a la pestaa Dispositivo.

Solo
lectura

Deshabilitar

No

No puede habilitar el acceso a los nodos

Funciones de administrador o
Administradores para un administrador

basado en funciones aunque habilite un acceso

completo a la pestaa Dispositivo.

Acceso detallado a la pestaa Supervisar

En algunos casos, puede que desee habilitar al administrador para que vea algunas pero no todas las reas de la
pestaa Supervisar. Por ejemplo, puede que desee restringir el acceso de los administradores de operaciones
nicamente a los logs de configuracin y sistema debido a que no contienen datos de usuario confidenciales.
Aunque esta seccin de la definicin de funcin de administrador especifica qu reas de la pestaa Supervisar
puede ver el administrador, tambin puede emparejar los privilegios de esta seccin con privilegios de
privacidad, como deshabilitar la capacidad de ver nombres de usuarios en logs e informes. Sin embargo, una
cosa que hay que tener en cuenta es que los informes generados por el sistema seguirn mostrando nombres de
usuario y direcciones IP incluso si desactiva esa funcionalidad en la funcin. Por este motivo, si no desea que el
administrador vea ninguna de la informacin de usuario privada, debera deshabilitar el acceso a informes
especficos como se indica en la tabla siguiente.
La siguiente tabla muestra las funciones de administrador y los niveles de acceso de la pestaa Supervisar para
las que estn disponibles.
Nivel de
acceso

Descripcin

Disponibilidad de la
Habilitar
funcin de administrador

Supervisar

Activa o desactiva el acceso a la pestaa

Supervisar. Si est deshabilitado, el
administrador no ver esta pestaa ni
ninguno de los logs o informes
asociados.

Cortafuegos: S

Gestin de dispositivos

Lectura DeshaSolo
bilitar
No

Panorama: S
Plantilla/grupo de
dispositivos: S

63

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Nivel de
acceso

Descripcin

Disponibilidad de la
Habilitar
funcin de administrador

Logs

Habilita o deshabilita el acceso a todos

los archivos de log. Tambin puede dejar
este privilegio habilitado y, a
continuacin, deshabilitar logs
especficos que no quiera que vea el
administrador. Tenga en cuenta que si
desea proteger la privacidad de sus
usuarios mientras sigue ofreciendo
acceso a uno o ms logs, puede
desactivar la opcin Privacidad >
Mostrar direcciones IP completas y la
opcin Mostrar nombres de usuario en
logs e informes.

Cortafuegos: S

Trfico

Lectura DeshaSolo
bilitar

No

No

No

No

Panorama: S
Plantilla/grupo de
dispositivos: S

Especifica si el administrador puede ver Cortafuegos: S

los logs de trfico.
Panorama: S
Plantilla/grupo de
dispositivos: S

Amenaza

Especifica si el administrador puede ver Cortafuegos: S

los logs de amenaza.
Panorama: S
Plantilla/grupo de
dispositivos: S

Filtrado de URL Especifica si el administrador puede ver Cortafuegos: S

los logs de filtrado de URL.

Panorama: S
Plantilla/grupo de
dispositivos: S

Envos a
WildFire

Especifica si el administrador puede ver Cortafuegos: S

los logs de WildFire. Estos logs
Panorama: S
solamente estn disponibles si tiene una
Plantilla/grupo de
suscripcin a WildFire.
dispositivos: S

No

Filtrado de
datos

Especifica si el administrador puede ver Cortafuegos: S

los logs de filtrado de datos.
Panorama: S

No

No

Plantilla/grupo de
dispositivos: S
Coincidencias
HIP

64

Especifica si el administrador puede ver

los logs de coincidencias HIP. Los logs
de coincidencias HIP solamente estn
disponibles si tiene una suscripcin a la
puerta de enlace y una licencia de portal
de GlobalProtect.

Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: S

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Nivel de
acceso

Descripcin

Disponibilidad de la
Habilitar
funcin de administrador

Configuracin

Especifica si el administrador puede ver Cortafuegos: S

los logs de configuracin.
Panorama: S

Lectura DeshaSolo
bilitar

No

No

No

No

No

Plantilla/grupo de
dispositivos: No
Sistema

Especifica si el administrador puede ver Cortafuegos: S

los logs de sistema.
Panorama: S
Plantilla/grupo de
dispositivos: No

Alarmas

Especifica si el administrador puede ver Cortafuegos: S

alarmas generadas por el sistema.
Panorama: S
Plantilla/grupo de
dispositivos: S

Captura de
paquetes

Appscope

Explorador de
sesin

Especifica si el administrador puede ver

capturas de paquetes (pcaps) de la
pestaa Supervisar. Recuerde que las
capturas de paquetes son datos de flujo
sin procesar y, por lo tanto, pueden
contener direcciones IP de usuarios. La
desactivacin de los privilegios Mostrar
direcciones IP completas no obstruir
la direccin IP en pcap y por ello deber
desactivar el privilegio Captura de
paquetes si le preocupa la privacidad de
los usuarios.

Cortafuegos: S
Panorama: No
Plantilla/grupo de
dispositivos: No

Especifica si el administrador puede ver

las herramientas de anlisis y visibilidad
de Appscope. La activacin de Appscope
permite acceder a todos los grficos de
Appscope.

Cortafuegos: S

Especifique si el administrador puede

examinar y filtrar las sesiones que se
estn ejecutando actualmente en el
cortafuegos. Recuerde que el explorador
de sesin muestra datos de flujo sin
procesar y, por lo tanto, puede contener
direcciones IP de usuarios. La
desactivacin de los privilegios Mostrar
direcciones IP completas no obstruir
la direccin IP en el navegador de sesin
y por ello deber desactivar el privilegio
Explorador de sesin si le preocupa la
privacidad de los usuarios.

Cortafuegos: S

Gestin de dispositivos

Panorama: S
Plantilla/grupo de
dispositivos: S

Panorama: No
Plantilla/grupo de
dispositivos: No

65

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Nivel de
acceso

Descripcin

Disponibilidad de la
Habilitar
funcin de administrador

Botnet

Especifica si el administrador puede

generar y ver informes de anlisis de
Botnet o ver informes de Botnet en
modo de solo lectura. La desactivacin
de los privilegios Mostrar direcciones IP
completas no obstruir la direccin IP
en los informes botnet programadas y
por ello deber desactivar el privilegio
Botnet si le preocupa la privacidad de los
usuarios.

Cortafuegos: S

Informes en
PDF

Gestionar
resumen de
PDF

Informes de
resumen en
PDF

66

Habilita o deshabilita el acceso a todos

los informes en PDF. Tambin puede
dejar este privilegio habilitado y, a
continuacin, deshabilitar informes en
PDF especficos que no quiera que vea el
administrador. Tenga en cuenta que si
desea proteger la privacidad de sus
usuarios mientras sigue ofreciendo
acceso a uno o ms informes, puede
desactivar la opcin Privacidad >
Mostrar direcciones Ip completas y la
opcin Mostrar nombres de usuario en
logs e informes.
Especifica si el administrador puede ver,
aadir o eliminar definiciones de
informes de resumen en PDF. Con el
acceso de solo lectura, el administrador
puede ver definiciones de informes de
resumen en PDF, pero no puede
aadirlas ni eliminarlas. Si desactiva esta
opcin, el administrador no puede ver las
definiciones de los informes ni
aadirlas/eliminarlas.
Especifica si el administrador puede ver
los informes de resumen PDF generado
en Supervisar > Informes. Si desactiva
esta opcin, la categora Informes de
resumen en PDF no muestra en el nodo
Informes.

Lectura DeshaSolo
bilitar

No

No

Panorama: No
Plantilla/grupo de
dispositivos: No

Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No

Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No

Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Nivel de
acceso

Descripcin

Disponibilidad de la
Habilitar
funcin de administrador

Informe de
actividad del
usuario

Especifica si el administrador puede ver,

aadir o eliminar definiciones de
informes de actividad del usuario y
descargar los informes. Con el acceso de
solo lectura, el administrador puede ver
definiciones de informes de actividad del
usuario, pero no puede aadirlas,
eliminarlas ni descargarlas. Si deshabilita
esta opcin, el administrador no podr
ver esta categora de informe en PDF.

Cortafuegos: S

Grupos de
informes

Programador
de correo
electrnico

Especifica si el administrador puede ver,

aadir o eliminar definiciones de grupos
de informes. Con el acceso de solo
lectura, el administrador puede ver
definiciones de grupos de informes, pero
no puede aadirlas ni eliminarlas. Si
deshabilita esta opcin, el administrador
no podr ver esta categora de informe
en PDF.
Especifica si el administrador puede
programar grupos de informes para
correo electrnico. Como los informes
generados que se envan por correo
pueden contener datos de usuario
confidenciales que no se eliminan al
desactivar la opcin Privacidad >
Mostrar direcciones Ip completas o las
opciones de Mostrar nombres de
usuario en logs e informes, y adems
tambin pueden mostrar datos de logs a
los que el administrador no tiene acceso,
deber desactivar la opcin
Programador de correo electrnico si
usa los requisitos de privacidad del
usuario.

Gestin de dispositivos

Lectura DeshaSolo
bilitar

Panorama: S
Plantilla/grupo de
dispositivos: No

Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No

Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No

67

Referencia: acceso de administrador a la interfaz web

Nivel de
acceso

Descripcin

Gestin de dispositivos

Disponibilidad de la
Habilitar
funcin de administrador

Gestionar
Habilita o deshabilita el acceso a toda la Cortafuegos: S
informes
funcionalidad de informe personalizado. Panorama: S
personalizados Tambin puede dejar este privilegio

Lectura DeshaSolo
bilitar

No

No

habilitado y, a continuacin, deshabilitar Plantilla/grupo de

dispositivos: No
categoras de informes personalizados
especficas a los que no quiera que el
administrador pueda acceder. Tenga en
cuenta que si desea proteger la privacidad
de sus usuarios mientras sigue
ofreciendo acceso a uno o ms informes,
puede desactivar la opcin Privacidad >
Mostrar direcciones Ip completas y la
opcin Mostrar nombres de usuario en
logs e informes.
Los informes programados para
ejecutarse en lugar de ejecutarse a
peticin mostrarn la direccin IP
e informacin de usuario. En este
caso, asegrese de restringir el
acceso a las reas de informe
correspondientes. Adems, la
funcin de informe personalizado
no restringe la capacidad de
generar informes que contengan
datos de log incluidos en logs que
estn excluidos de la funcin de
administrador.

Estadsticas de Especifica si el administrador puede

aplicacin
crear un informe personalizado que

incluya datos de la base de datos de

estadsticas de aplicacin.

Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No

Log de filtrado
de datos

Especifica si el administrador puede

Cortafuegos: S
crear un informe personalizado que
Panorama: S
incluya datos del log de filtrado de datos.
Plantilla/grupo de
dispositivos: No

No

Registro de
amenaza

Especifica si el administrador puede

crear un informe personalizado que
incluya datos del log de amenaza.

No

No

Resumen de
amenaza

68

Especifica si el administrador puede

crear un informe personalizado que
incluya datos de la base de datos de
resumen de amenaza.

Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Nivel de
acceso

Descripcin

Disponibilidad de la
Habilitar
funcin de administrador

Registro de
trfico

Especifica si el administrador puede

crear un informe personalizado que
incluya datos del log de trfico.

Cortafuegos: S

Lectura DeshaSolo
bilitar

No

No

No

No

Ver informes
Especifica si el administrador puede ver Cortafuegos: S
personalizados un informe personalizado que se haya
Panorama: S
programados
programado para su generacin.

No

Ver informes de Especifica si el administrador puede ver Cortafuegos: S

aplicacin
informes de aplicacin. Los privilegios Panorama: S
predefinidos
de privacidad no afectan a los informes

No

No

No

Resumen de
trfico

Especifica si el administrador puede

crear un informe personalizado que
incluya datos de la base de datos de
resumen de trfico.

Panorama: S
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No

Registro de Url

Especifica si el administrador puede

Cortafuegos: S
crear un informe personalizado que
Panorama: S
incluya datos del log de filtrado de URL.
Plantilla/grupo de
dispositivos: No

Coincidencia
HIP

Especifica si el administrador puede

crear un informe personalizado que
incluya datos del log de coincidencias
HIP.

Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No

Plantilla/grupo de
dispositivos: No

disponibles en el nodo Supervisar >

Informes y debe desactivar el acceso a
los informes si tienen los requisitos de
privacidad de usuario.
Ver informes de Especifica si el administrador puede ver
amenazas
informes de amenazas. Los privilegios de
predefinidos
privacidad no afectan a los informes
disponibles en el nodo Supervisar >
Informes y debe desactivar el acceso a

Plantilla/grupo de
dispositivos: No

Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No

los informes si tienen los requisitos de

privacidad de usuario.
Vista
predefinida
Informes de
filtrado de URL

Especifica si el administrador puede ver

informes de filtrado de URL. Los
privilegios de privacidad no afectan a los
informes disponibles en el nodo
Supervisar > Informes y debe desactivar
el acceso a los informes si tienen los
requisitos de privacidad de usuario.

Gestin de dispositivos

Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No

69

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Nivel de
acceso

Descripcin

Disponibilidad de la
Habilitar
funcin de administrador

Vista
predefinida
Informes de
trfico

Especifica si el administrador puede ver

informes de trfico. Los privilegios de
privacidad no afectan a los informes
disponibles en el nodo Supervisar >
Informes y debe desactivar el acceso a
los informes si tienen los requisitos de
privacidad de usuario.

Cortafuegos: S

Lectura DeshaSolo
bilitar
No

Panorama: S
Plantilla/grupo de
dispositivos: No

Acceso detallado a la pestaa Poltica

Si habilita la opcin Poltica en el perfil de funcin de administrador, a continuacin podr habilitar, deshabilitar
o proporcionar acceso de solo lectura a nodos especficos dentro de la pestaa como sea necesario para la
funcin de administrador que est definiendo. Al habilitar el acceso a un tipo de poltica especfico, habilita la
capacidad de ver, aadir o eliminar reglas de poltica. Al habilitar un acceso de solo lectura a una poltica
especfica, habilita al administrador para que pueda ver la base de reglas de poltica correspondiente, pero no
aadir ni eliminar reglas. Al deshabilitar el acceso a un tipo de poltica especfico, impide que el administrador
vea la base de reglas de poltica.
Dado que la poltica basada en usuarios especficos (por nombre de usuario o direccin IP) debe definirse
explcitamente, los ajustes de privacidad que deshabiliten la capacidad de ver direcciones IP completas o
nombres de usuario no se aplican a la pestaa Poltica. Por lo tanto, solamente debera permitir el acceso a la
pestaa Poltica a administradores excluidos de restricciones de privacidad de usuario.
Nivel de acceso

Descripcin

Seguridad

NAT

70

Habilitar

Solo
lectura

Deshabilitar

S
Habilite este privilegio para permitir que el
administrador vea, aada y/o elimine reglas de polticas
de seguridad. Establezca el privilegio como de solo
lectura si desea que el administrador pueda ver las
reglas, pero no modificarlas. Para impedir que el
administrador vea la base de reglas de polticas de
seguridad, deshabilite este privilegio.

S
Habilite este privilegio para permitir que el
administrador vea, aada y/o elimine reglas de poltica
NAT. Establezca el privilegio como de solo lectura
si desea que el administrador pueda ver las reglas,
pero no modificarlas. Para impedir que el
administrador vea la base de reglas de poltica NAT,
deshabilite este privilegio.

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Nivel de acceso

Descripcin

QoS

Reenvo basado en
polticas

Active este privilegio para permitir que el

administrador visualice, aada o elimine las reglas
de poltica reenvo basado en polticas (PBF).
Establezca el privilegio como de solo lectura si desea
que el administrador pueda ver las reglas, pero
no modificarlas. Para impedir que el administrador
vea la base de reglas de poltica de PBF, deshabilite
este privilegio.

Descifrado

Solo
lectura

Deshabilitar

S
Habilite este privilegio para permitir que el
administrador vea, aada y/o elimine reglas de poltica
de QoS. Establezca el privilegio como de solo lectura si
desea que el administrador pueda ver las reglas, pero no
modificarlas. Para impedir que el administrador vea la
base de reglas de poltica de QoS, deshabilite este
privilegio.

S
Habilite este privilegio para permitir que el
administrador vea, aada y/o elimine reglas de poltica
de descifrado. Establezca el privilegio como de solo
lectura si desea que el administrador pueda ver las
reglas, pero no modificarlas. Para impedir que el
administrador vea la base de reglas de poltica de
descifrado, deshabilite este privilegio.

S
Habilite este privilegio para permitir que el
administrador vea, aada y/o elimine reglas de poltica
de portal cautivo. Establezca el privilegio como de solo
lectura si desea que el administrador pueda ver las
reglas, pero no modificarlas. Para impedir que el
administrador vea la base de reglas de poltica de portal
cautivo, deshabilite este privilegio.

Proteccin contra ataques Habilite este privilegio para permitir que el

S
por denegacin de
administrador vea, aada y/o elimine reglas de poltica
servicio
de proteccin contra ataques por denegacin de

Cancelacin de aplicacin Habilite este privilegio para permitir que el

Habilitar

administrador vea, aada y/o elimine reglas de poltica

de cancelacin de aplicacin. Establezca el privilegio
como de solo lectura si desea que el administrador
pueda ver las reglas, pero no modificarlas. Para impedir
que el administrador vea la base de reglas de poltica de
cancelacin de aplicacin, deshabilite este privilegio.
Portal cautivo

servicio. Establezca el privilegio como de solo lectura si

desea que el administrador pueda ver las reglas, pero no
modificarlas. Para impedir que el administrador vea la
base de reglas de poltica de proteccin contra ataques
por denegacin de servicio, deshabilite este privilegio.

Gestin de dispositivos

71

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Acceso detallado a la pestaa Objetos

Un objeto es un contenedor que agrupa valores de filtros de polticas especficos (como direcciones IP, URL,
aplicaciones o servicios) para una definicin de reglas simplificada. Por ejemplo, un objeto de direccin puede
contener definiciones de direcciones IP especficas para servidores web y de aplicaciones en su zona DMZ.
Al decidir si desea permitir el acceso a la pestaa Objetos en su totalidad, determine si el administrador tendr
responsabilidades de definicin de polticas. Si no, probablemente el administrador no necesite acceder a la
pestaa. Sin embargo, si el administrador necesitar crear polticas, podr habilitar el acceso a la pestaa y, a
continuacin, otorgar privilegios de acceso detallados a nivel de nodo.
Al habilitar el acceso a un nodo especfico, otorga al administrador el privilegio de ver, aadir y eliminar el tipo
de objeto correspondiente. Al otorgar un acceso de solo lectura, permitir que el administrador vea los objetos
ya definidos, pero no podr crear o eliminar ninguno. Al deshabilitar un nodo, impide que el administrador vea
el nodo en la interfaz web.
Nivel de acceso

Descripcin

Habilitar

Solo
lectura

Deshabilitar

Direcciones

Especifica si el administrador puede ver, aadir o

eliminar objetos de direcciones para su uso en una
poltica de seguridad.

Grupos de direcciones

S
Especifica si el administrador puede ver, aadir o
eliminar objetos de grupos de direcciones para su uso
en una poltica de seguridad.

Regiones

S
Especifica si el administrador puede ver, aadir o
eliminar objetos de regiones para su uso en una poltica
de seguridad, de descifrado o DoS.

Aplicaciones

Especifica si el administrador puede ver, aadir o

eliminar objetos de aplicaciones para su uso en una
poltica.

Grupos de aplicaciones

S
Especifica si el administrador puede ver, aadir o
eliminar objetos de grupos de aplicaciones para su uso
en una poltica.

Filtros de aplicacin

Especifica si el administrador puede ver, aadir o

eliminar filtros de aplicacin para la simplificacin de
bsquedas repetidas.

Servicios

S
Especifica si el administrador puede ver, aadir o
eliminar objetos de servicio para su uso en la creacin
de polticas que limiten los nmeros de puertos que
puede utilizar una aplicacin.

Grupos de servicios

S
Especifica si el administrador puede ver, aadir o
eliminar objetos de grupos de servicios para su uso en
una poltica de seguridad.

72

Gestin de dispositivos

Gestin de dispositivos

Nivel de acceso

Referencia: acceso de administrador a la interfaz web

Descripcin

Etiquetas (nicamente en Especifica si el administrador puede ver, aadir o

Panorama)
eliminar etiquetas que se hayan definido en el

Habilitar

Solo
lectura

Deshabilitar

dispositivo.
GlobalProtect

Especifica si el administrador puede ver, aadir o

eliminar objetos y perfiles HIP. Puede restringir el
acceso a ambos tipos de objetos a nivel de
GlobalProtect, o bien proporcionar un control ms
detallado habilitando el privilegio GlobalProtect y
restringiendo el acceso a objetos HIP o perfiles HIP.

No

Objetos HIP

S
Especifica si el administrador puede ver, aadir o
eliminar objetos HIP, que se utilizan para definir
perfiles HIP. Los objetos HIP tambin generan logs de
coincidencias HIP.

Perfiles HIP

S
Especifica si el administrador puede ver, aadir o
eliminar perfiles HIP para su uso en una poltica de
seguridad y/o para generar logs de coincidencias HIP.

Objetos personalizados

S
Especifica si el administrador puede ver las firmas
personalizadas de spyware y vulnerabilidad. Puede
restringir el acceso para habilitar o deshabilitar el acceso
a todas las firmas personalizadas a este nivel, o bien
proporcionar un control ms detallado habilitando el
privilegio Objetos personalizados y, a continuacin,
restringiendo el acceso a cada tipo de firma.

No

Patrones de datos

Especifica si el administrador puede ver, aadir o

eliminar firmas de patrones de datos personalizadas
para su uso en la creacin de perfiles de proteccin
contra vulnerabilidades personalizados.

Spyware

S
Especifica si el administrador puede ver, aadir o
eliminar firmas de spyware personalizadas para su uso
en la creacin de perfiles de proteccin contra
vulnerabilidades personalizados.

Vulnerabilidades

Especifica si el administrador puede ver, aadir o

eliminar firmas de vulnerabilidad personalizadas para
su uso en la creacin de perfiles de proteccin contra
vulnerabilidades personalizados.

Categora de URL

S
Especifica si el administrador puede ver, aadir o
eliminar categoras de URL personalizadas para su uso
en una poltica.

Listas de bloque dinmico Especifica si el administrador puede ver, aadir o

eliminar listas de bloqueos dinmicos para su uso en

una poltica de seguridad.

Gestin de dispositivos

73

Referencia: acceso de administrador a la interfaz web

Nivel de acceso

Descripcin

Perfiles de seguridad

Antivirus

Gestin de dispositivos

Solo
lectura

Deshabilitar

S
Especifica si el administrador puede ver perfiles de
seguridad. Puede restringir el acceso para habilitar o
deshabilitar el acceso a todos los perfiles de seguridad a
este nivel, o bien proporcionar un control ms
detallado habilitando el privilegio Perfiles de seguridad
y, a continuacin, restringiendo el acceso a cada tipo de
perfil.

No

Especifica si el administrador puede ver, aadir o

eliminar perfiles de antivirus.

Antispyware

Especifica si el administrador puede ver, aadir o

eliminar perfiles de antispyware.

Proteccin de
vulnerabilidades

S
Especifica si el administrador puede ver, aadir o
eliminar perfiles de proteccin contra vulnerabilidades.

Filtrado de URL

Especifica si el administrador puede ver, aadir o

eliminar perfiles de filtrado de URL.

Bloqueo de archivo

Especifica si el administrador puede ver, aadir o

eliminar perfiles de bloqueo de archivos.

Filtrado de datos

Especifica si el administrador puede ver, aadir o

eliminar perfiles de filtrado de datos.

Proteccin contra ataques Especifica si el administrador puede ver, aadir o

por denegacin de
eliminar perfiles de proteccin contra ataques por
servicio
denegacin de servicio.

Grupos de perfiles de
seguridad

Especifica si el administrador puede ver, aadir o

eliminar grupos de perfiles de seguridad.

Reenvo de logs

Especifica si el administrador puede ver, aadir o

eliminar perfiles de reenvo de logs.

Perfil de descifrado

Especifica si el administrador puede ver, aadir o

eliminar perfiles de descifrado.

Programaciones

S
Especifica si el administrador puede ver, aadir o
eliminar programaciones para limitar una poltica de
seguridad a una fecha y/o rango de tiempo especfico.

74

Habilitar

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Acceso detallado a la pestaa Red

Al decidir si desea permitir el acceso a la pestaa Red en su totalidad, determine si el administrador tendr
responsabilidades de administracin de red, incluida la administracin de GlobalProtect. Si no, probablemente
el administrador no necesite acceder a la pestaa.
Tambin puede definir el acceso a la pestaa Red a nivel de nodo. Al habilitar el acceso a un nodo especfico,
otorga al administrador el privilegio de ver, aadir y eliminar las configuraciones de red correspondientes. Al
tener un acceso de solo lectura el administrador puede visualizar la configuracin ya definida, pero no crear ni
eliminar ninguna. Al deshabilitar un nodo, impide que el administrador vea el nodo en la interfaz web.
Nivel de acceso

Descripcin

Habilitar

Solo
lectura

Deshabilitar

Interfaces

Especifica si el administrador puede ver, aadir o

eliminar configuraciones de interfaces.

Zonas

Especifica si el administrador puede ver, aadir o

eliminar zonas.

VLAN

Especifica si el administrador puede ver, aadir o

eliminar VLAN.

Cables virtuales

Especifica si el administrador puede ver, aadir o

eliminar cables virtuales.

Enrutadores virtuales

Especifica si el administrador puede ver, aadir,

modificar o eliminar enrutadores virtuales.

Tneles de IPSec

Especifica si el administrador puede ver, aadir,

modificar o eliminar configuraciones de tneles de
IPSec.

DHCP

Especifica si el administrador puede ver, aadir,

modificar o eliminar configuraciones de servidor
DHCP y retransmisin DHCP.

Proxy DNS

Especifica si el administrador puede ver, aadir,

modificar o eliminar configuraciones de proxy DNS.

GlobalProtect

S
Especifica si el administrador puede ver, aadir o
modificar configuraciones de portal y puerta de enlace
de GlobalProtect. Puede deshabilitar el acceso a las
funciones de GlobalProtect por completo, o bien
puede habilitar el privilegio GlobalProtect y, a
continuacin, restringir la funcin a las reas de
configuracin del portal o de la puerta de enlace.

No

Portales

Especifica si el administrador puede ver, aadir,

modificar o eliminar configuraciones de portales de
GlobalProtect.

Puertas de enlace

Especifica si el administrador puede ver, aadir,

modificar o eliminar configuraciones de puertas de
enlace de GlobalProtect.

Gestin de dispositivos

75

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Nivel de acceso

Descripcin

Habilitar

Solo
lectura

Deshabilitar

MDM

Especifica si el administrador puede ver, aadir,

modificar o eliminar configuraciones de servidores
MDM de GlobalProtect.

No

S
Controla el acceso al nodo Perfiles de red >
Criptogrfico de IPSec. Si deshabilita este privilegio, el
administrador no ver el nodo Perfiles de red >
Criptogrfico de IPSec ni especificar protocolos y
algoritmos para la identificacin, autenticacin y
cifrado en tneles de VPN basndose en la negociacin
de SA de IPSec.

QoS
Perfiles de red

Establece el estado predeterminado para habilitar o

deshabilitar para todos los ajustes de red descritos a
continuacin.

Puertas de enlace de IKE Controla el acceso al nodo Perfiles de red > Puertas
de enlace de IKE. Si deshabilita este privilegio, el
administrador no ver el nodo Puertas de enlace de
IKE ni definir puertas de enlace que incluyan la

informacin de configuracin necesaria para realizar la

negociacin del protocolo IKE con la puerta de enlace
del peer.
Si el estado del privilegio est establecido como de solo
lectura, podr ver las puertas de enlace de IKE
actualmente configuradas, pero no podr aadir ni
editar puertas de enlace.
Criptogrfico de IPSec

Si el estado del privilegio est establecido como de solo

lectura, podr ver la configuracin criptogrfica de
IPSec actualmente establecida, pero no podr aadir ni
editar una configuracin.
Criptogrfico de IKE

76

Controla el modo en que los dispositivos intercambian S

informacin para garantizar una comunicacin segura.
Especifique los protocolos y algoritmos para la
identificacin, autenticacin y cifrado en tneles de
VPN basndose en la negociacin de SA de IPSec
(IKEv1 de fase 1).

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Nivel de acceso

Descripcin

Habilitar

Supervisar

S
Controla el acceso al nodo Perfiles de red >
Supervisar. Si deshabilita este privilegio, el
administrador no ver el nodo Perfiles de red >
Supervisar ni podr crear o editar un perfil de
supervisin que se utilice para supervisar tneles de
IPSec y supervisar un dispositivo de siguiente salto para
reglas de reenvo basado en polticas (PBF).

Solo
lectura

Deshabilitar

Si el estado del privilegio est establecido como de solo

lectura, podr ver la configuracin de perfil de
supervisin actualmente establecida, pero no podr
aadir ni editar una configuracin.
Gestin de interfaz

Controla el acceso al nodo Perfiles de red > Gestin S

de interfaz. Si deshabilita este privilegio, el
administrador no ver el nodo Perfiles de red >
Gestin de interfaz ni podr especificar los protocolos
que se utilizan para gestionar el cortafuegos.
Si el estado del privilegio est establecido como de solo
lectura, podr ver la configuracin de perfil de gestin
de interfaz actualmente establecida, pero no podr
aadir ni editar una configuracin.

Proteccin de zona

S
Controla el acceso al nodo Perfiles de red >
Proteccin de zonas. Si deshabilita este privilegio, el
administrador no ver el nodo Perfiles de red >
Proteccin de zonas ni podr configurar un perfil que
determine cmo responde el cortafuegos ante ataques
desde zonas de seguridad especificadas.

Si el estado del privilegio est establecido como de solo

lectura, podr ver la configuracin de perfil de
proteccin de zonas actualmente establecida, pero no
podr aadir ni editar una configuracin.
Perfil de QoS

Controla el acceso al nodo Perfiles de red > QoS. Si S

deshabilita este privilegio, el administrador no ver el
nodo Perfiles de red > QoS ni podr configurar un
perfil de QoS que determine cmo se tratan las clases
de trfico de QoS.
Si el estado del privilegio est establecido como de solo
lectura, podr ver la configuracin de perfil de QoS
actualmente establecida, pero no podr aadir ni editar
una configuracin.

Gestin de dispositivos

77

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Acceso detallado a la pestaa Dispositivo

Nivel de acceso

Descripcin

Habilitar

Solo
lectura

Deshabilitar

Configuracin

Controla el acceso al nodo Configuracin.

Si deshabilita este privilegio, el administrador no
ver el nodo Configuracin ni tendr acceso a
informacin de configuracin de todo el dispositivo,
como informacin de configuracin de gestin,
operaciones, servicio, Content-ID, Wildfire o sesin.

No

No

No

Si el estado del privilegio est establecido como de solo

lectura, podr ver la configuracin actual, pero no
podr realizar ningn cambio.
Auditora de
configuraciones

Controla el acceso al nodo Auditora de

configuraciones. Si deshabilita este privilegio, el
administrador no ver el nodo Auditora de
configuraciones ni tendr acceso a ninguna
informacin de configuracin de todo el dispositivo.

Funciones de
administrador

Controla el acceso al nodo Funciones de gestor.

Esta funcin solamente puede permitirse para un
acceso de solo lectura.
Si deshabilita este privilegio, el administrador no
ver el nodo Funciones de gestor ni tendr acceso
a ninguna informacin de todo el dispositivo relativa
a la configuracin de funciones de gestor.
Si establece este privilegio como de solo lectura, podr
ver la informacin de configuracin de todas las
funciones de gestor configuradas en el dispositivo.

Administradores

Controla el acceso al nodo Administradores.

Esta funcin solamente puede permitirse para un
acceso de solo lectura.
Si deshabilita este privilegio, el administrador no ver el
nodo Administradores ni tendr acceso a informacin
sobre su propia cuenta de administrador.
Si establece este privilegio como de solo lectura, el
administrador podr ver la informacin de
configuracin de su propia cuenta de administrador.
No ver informacin sobre las cuentas de otros
administradores configuradas en el dispositivo.

78

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Nivel de acceso

Descripcin

Habilitar

Solo
lectura

Deshabilitar

Sistemas virtuales

Controla el acceso al nodo Sistemas virtuales.

Si deshabilita este privilegio, el administrador no ver
ni podr configurar sistemas virtuales.

Identificacin de usuarios Controla el acceso al nodo Identificacin de usuarios. S

Si el estado del privilegio est establecido como de solo

lectura, podr ver los sistemas virtuales actualmente
configurados, pero no podr aadir ni editar una
configuracin.
Puertas de enlace
compartidas

Controla el acceso al nodo Puertas de enlace

compartidas. Las puertas de enlace compartidas
permiten que los sistemas virtuales compartan una
interfaz comn para las comunicaciones externas.
Si deshabilita este privilegio, el administrador no ver ni
podr configurar puertas de enlace compartidas.
Si el estado del privilegio est establecido como de solo
lectura, podr ver las puertas de enlace compartidas
actualmente configuradas, pero no podr aadir ni
editar una configuracin.
Si deshabilita este privilegio, el administrador no ver el
nodo Identificacin de usuarios ni tendr acceso a
informacin de configuracin de identificacin de
usuarios de todo el dispositivo, como asignacin de
usuario, agentes de User-ID, servicio, agentes de
servicios de terminal, configuracin de asignacin de
grupo o configuracin de portal cautivo.
Si establece este privilegio como de solo lectura, el
administrador podr ver informacin de configuracin
del dispositivo, pero no tendr permiso para realizar
ningn procedimiento de configuracin.

Origen de informacin
de VM

Controla el acceso al nodo Origen de informacin de S

VM que le permite configurar el agente de User-ID de
Windows/cortafuegos que recopilar el inventario de
VM automticamente. Si deshabilita este privilegio, el
administrador no ver el nodo Origen de informacin
de VM.
Si establece este privilegio como de solo lectura, el
administrador podr ver los orgenes de informacin
de VM configurados, pero no podr aadir, editar o
eliminar ningn origen.
Este privilegio no est disponible para los
administradores Grupo de dispositivos
y plantilla.

Gestin de dispositivos

79

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Nivel de acceso

Descripcin

Habilitar

Alta disponibilidad

S
Controla el acceso al nodo Alta disponibilidad.
Si deshabilita este privilegio, el administrador no
ver el nodo Alta disponibilidad ni tendr acceso
a informacin de configuracin de alta disponibilidad
de todo el dispositivo, como informacin de
configuracin general o supervisin de enlaces y rutas.

Solo
lectura

Deshabilitar

Si establece este privilegio como de solo lectura, el

administrador podr ver informacin de configuracin
de alta disponibilidad del dispositivo, pero no tendr
permiso para realizar ningn procedimiento de
configuracin.
Gestin de certificados

Establece el estado predeterminado para habilitar o

deshabilitar para todos los ajustes de certificados
descritos a continuacin.

No

Certificados

Controla el acceso al nodo Certificados. Si deshabilita S

este privilegio, el administrador no ver el nodo
Certificados ni podr configurar o acceder a
informacin relativa a certificados de dispositivos o
entidades de certificacin de confianza
predeterminadas.

Si establece este privilegio como de solo lectura, el

administrador podr ver informacin de configuracin
de certificados del dispositivo, pero no tendr permiso
para realizar ningn procedimiento de configuracin.
Perfil del certificado

Controla el acceso al nodo Perfil del certificado.

Si deshabilita este privilegio, el administrador no ver
el nodo Perfil del certificado ni podr crear perfiles
del certificado.
Si establece este privilegio como de solo lectura, el
administrador podr ver perfiles del certificado
actualmente configurados para el dispositivo, pero no
tendr permiso para crear o editar un perfil del
certificado.

OCSP responder

Controla el acceso al nodo OCSP responder.

Si deshabilita este privilegio, el administrador no
ver el nodo OCSP responder ni podr definir un
servidor que se utilizar para verificar el estado de
revocacin de los certificados emitidos por el
dispositivo PAN-OS.
Si establece este privilegio como de solo lectura, el
administrador podr ver la configuracin de OCSP
responder del dispositivo, pero no tendr permiso
para crear o editar una configuracin de OCSP
responder.

80

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Nivel de acceso

Descripcin

Habilitar

Solo
lectura

Deshabilitar

Pginas de respuesta

Controla el acceso al nodo Pginas de respuesta.

Si deshabilita este privilegio, el administrador no ver
el nodo Pginas de respuesta ni podr definir un
mensaje HTML personalizado que se descarga y se
visualiza en lugar de una pgina web o archivo
solicitado.

Si establece este privilegio como de solo lectura, el

administrador podr ver la configuracin de Pginas
de respuesta del dispositivo, pero no tendr permiso
para crear o editar una configuracin de pginas de
respuesta.
Configuracin de log

Establece el estado predeterminado para habilitar o

deshabilitar para todos los ajustes de log descritos a
continuacin.

No

Sistema

S
Controla el acceso al nodo Configuracin de log >
Sistema. Si deshabilita este privilegio, el administrador
no ver el nodo Configuracin de log > Sistema ni

podr especificar los niveles de gravedad de las entradas

de logs del sistema que se registran de manera remota
con Panorama y se envan como traps SNMP, mensajes
de Syslog y/o notificaciones por correo electrnico.
Si establece este privilegio como de solo lectura, el
administrador podr ver la configuracin de
Configuracin de log > Sistema del dispositivo, pero
no tendr permiso para crear o editar una
configuracin.
Configurar

S
Controla el acceso al nodo Configuracin de log >
Configuracin. Si deshabilita este privilegio, el
administrador no ver el nodo Configuracin de log >
Configuracin ni podr especificar las entradas de logs

de configuracin que se registran de manera remota

con Panorama y se envan como mensajes de Syslog
y/o notificaciones por correo electrnico.
Si establece este privilegio como de solo lectura, el
administrador podr ver la configuracin de
Configuracin de log > Configuracin del dispositivo,
pero no tendr permiso para crear o editar una
configuracin.

Gestin de dispositivos

81

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Nivel de acceso

Descripcin

Habilitar

Coincidencias HIP

S
Controla el acceso al nodo Configuracin de log >
Coincidencias HIP. Si deshabilita este privilegio, el
administrador no ver el nodo Configuracin de log >
Coincidencias HIP ni podr especificar los ajustes de
log de coincidencias de perfil de informacin de host
(HIP) que se utilizan para proporcionar informacin
sobre polticas de seguridad que se aplican a clientes de
GlobalProtect.

Solo
lectura

Deshabilitar

No

Si establece este privilegio como de solo lectura, el

administrador podr ver la configuracin de
Configuracin de log > Coincidencias HIP del
dispositivo, pero no tendr permiso para crear o editar
una configuracin.
Alarmas

S
Controla el acceso al nodo Configuracin de log >
Alarmas. Si deshabilita este privilegio, el administrador
no ver el nodo Configuracin de log > Alarmas ni
podr configurar notificaciones que se generan cuando
una regla de seguridad (o un grupo de reglas) se
incumple repetidas veces en un perodo de tiempo
establecido.

Si establece este privilegio como de solo lectura, el

administrador podr ver la configuracin de
Configuracin de log > Alarmas del dispositivo, pero
no tendr permiso para crear o editar una
configuracin.
Gestionar logs

S
Controla el acceso al nodo Configuracin de log >
Gestionar logs. Si deshabilita este privilegio, el
administrador no ver el nodo Configuracin de log >
Gestionar logs ni podr borrar los logs indicados.

Si establece este privilegio como de solo lectura, el

administrador podr ver la informacin de
Configuracin de log > Gestionar logs, pero no podr
borrar ninguno de los logs.
Perfiles de servidor

82

Establece el estado predeterminado para habilitar o

deshabilitar para todos los ajustes de perfiles de
servidor descritos a continuacin.

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Nivel de acceso

Descripcin

Habilitar

Traps SNMP

S
Controla el acceso al nodo Perfiles de servidor >
Traps SNMP. Si desactiva este privilegio, el
administrador no ver el nodo Perfiles de servidor >
Traps SNMP ni podr especificar uno o ms destinos
de trap SNMP que deben usarse para las entradas de
log de sistema.

Solo
lectura

Deshabilitar

Si define este privilegio como de solo lectura, el

administrador puede ver la informacin de Perfiles de
servidor > Logs de trap SNMP, pero no puede
especificar los destinos de trap SNMP.
Syslog

S
Controla el acceso al nodo Perfiles de servidor >
Syslog. Si desactiva este privilegio, el administrador no
ver el nodo Perfiles de servidor > Syslog ni podr
especificar uno o ms servidores de syslog.

Si define este privilegio como de solo lectura, el

administrador puede ver la informacin de Perfiles de
servidor > Syslog, pero no puede especificar los
servidores de syslog.
Correo electrnico

S
Controla el acceso al nodo Perfiles de servidor >
Correo electrnico. Si desactiva este privilegio, el
administrador no ver el nodo Perfiles de servidor >
Correo electrnico ni podr especificar un perfil de
correo electrnico que pueda usarse para activar una
notificacin de correo electrnico para las entradas de
log de sistema y configuracin.

Si define este privilegio como de solo lectura, el

administrador puede ver la informacin de Perfiles de
servidor > Correo electrnico, pero no puede
configurar ni enviar un correo electrnico de perfil.
Flujo de red

Controla el acceso al nodo Perfiles de servidor > Flujo S

de red. Si desactiva este privilegio, el administrador no
ver el nodo Perfiles de servidor > Flujo de red ni se
podr definir un perfil de servidor de NetFlow, que
especifica la frecuencia de la exportacin con los
servidores de NetFlow que recibir los datos
exportados.
Si define este privilegio como de solo lectura, el
administrador puede ver la informacin de Perfiles de
servidor > Flujo de red, pero no puede definir un perfil
de Netflow.

Gestin de dispositivos

83

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Nivel de acceso

Descripcin

Habilitar

Solo
lectura

Deshabilitar

RADIUS

Controla el acceso al nodo Perfiles de servidor >

RADIUS. Si desactiva este privilegio, el administrador
no ver el nodo Perfiles de servidor > RADIUS ni
podr configurar los ajustes para los servidores
RADIUS que se identifican en perfiles de
autenticacin.

S
Controla el acceso al nodo Perfiles de servidor >
LDAP. Si desactiva este privilegio, el administrador no
ver el nodo Perfiles de servidor > LDAP ni podr
configurar los ajustes para los servidores LDAP que se
usar para la autenticacin mediante los perfiles de
autenticacin.

No

Si define este privilegio como de solo lectura, el

administrador puede ver la informacin de Perfiles de
servidor > RADIUS, pero no puede especificar los
ajustes de servidores RADIUS.
LDAP

Si define este privilegio como de solo lectura, el

administrador puede visualizar Perfiles de servidor >
LDAP pero no se pueden configurar los ajustes para los
servidores LDAP.
Kerberos

S
Controla el acceso al nodo Perfiles de servidor >
Kerberos. Si desactiva este privilegio, el administrador
no ver el nodo Perfiles de servidor > Kerberos ni
podr configurar un servidor Kerberos que permite a
los usuarios para autenticarse nativamente en un
controlador de dominios.

Si define este privilegio como de solo lectura, el

administrador puede visualizar Perfiles de servidor >
Kerberos pero no se pueden configurar los ajustes para
los servidores Kerberos.
Base de datos de usuario Establece el estado predeterminado para habilitar o
local
deshabilitar para todos los ajustes de base de datos de

usuario local descritos a continuacin.

84

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Nivel de acceso

Descripcin

Habilitar

Usuarios

Controla el acceso al nodo Base de datos de usuario S

local > Usuarios. Si deshabilita este privilegio, el
administrador no ver el nodo Base de datos de
usuario local > Usuarios ni configurar una base de
datos local en el cortafuegos para almacenar
informacin de autenticacin para usuarios con acceso
remoto, administradores de dispositivos y usuarios de
portal cautivo.

Solo
lectura

Deshabilitar

Si establece este privilegio como de solo lectura, el

administrador podr ver la informacin de Base de
datos de usuario local > Usuarios, pero no podr
configurar una base de datos local en el cortafuegos
para almacenar informacin de autenticacin.
Grupos de usuarios

Controla el acceso al nodo Base de datos de usuario S

local > Usuarios. Si deshabilita este privilegio, el
administrador no ver el nodo Base de datos de
usuario local > Usuarios ni podr aadir informacin
de grupos de usuarios a la base de datos local.
Si establece este privilegio como de solo lectura, el
administrador podr ver la informacin de Base de
datos de usuario local > Usuarios, pero no podr
aadir informacin de grupos de usuarios a la base de
datos local.

Perfil de autenticacin

S
Controla el acceso al nodo Perfil de autenticacin.
Si deshabilita este privilegio, el administrador no ver
el nodo Perfil de autenticacin ni podr crear o
editar perfiles de autenticacin que especifiquen ajustes
de base de datos local, RADIUS, LDAP o Kerberos
que se pueden asignar a cuentas de administrador.

Si establece este privilegio como de solo lectura, el

administrador podr ver la informacin de Perfil de
autenticacin, pero no podr crear o editar un perfil de
autenticacin.
Secuencia de
autenticacin

S
Controla el acceso al nodo Secuencia de
autenticacin. Si deshabilita este privilegio, el
administrador no ver el nodo Secuencia de
autenticacin ni podr crear o editar una secuencia de
autenticacin.

Si establece este privilegio como de solo lectura, el

administrador podr ver la informacin de Perfil de
autenticacin, pero no podr crear o editar una
secuencia de autenticacin.

Gestin de dispositivos

85

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Nivel de acceso

Descripcin

Habilitar

Solo
lectura

Deshabilitar

Dominio de acceso

Controla el acceso al nodo Dominio de acceso.

Si desactiva este privilegio, el administrador no ver
el nodo Dominio de acceso ni crear o editar un
dominio de acceso.

S
Controla el acceso al nodo Programacin de la
exportacin de logs. Si deshabilita este privilegio, el
administrador no ver el nodo Programacin de la
exportacin de logs ni podr programar exportaciones
de logs y guardarlas en un servidor File Transfer
Protocol (FTP) en formato CSV o usar Secure Copy
(SCP) para transferir datos de forma segura entre el
dispositivo y un host remoto.

No

Si define este privilegio como de solo lectura, el

administrador puede visualizar la informacin de
Dominio de acceso pero no se pueden crear ni estudiar
un dominio de acceso.
Programacin de la
exportacin de logs

Si establece este privilegio como de solo lectura, el

administrador podr ver la informacin de Perfil de
programacin de la exportacin de logs, pero no
podr programar la exportacin de logs.
Software

Controla el acceso al nodo Software. Si deshabilita este S

privilegio, el administrador no ver el nodo Software,
no ver las versiones ms recientes del software
PAN-OS disponibles desde Palo Alto Networks, no
leer las notas de cada versin ni seleccionar una
versin para su descarga e instalacin.
Si establece este privilegio como de solo lectura, el
administrador podr ver la informacin de Software,
pero no podr descargar ni instalar software.

Cliente de GlobalProtect

Controla el acceso al nodo Cliente de GlobalProtect. S

Si deshabilita este privilegio, el administrador no ver el
nodo Cliente de GlobalProtect, no ver las versiones
de GlobalProtect disponibles, no descargar el cdigo
ni activar el agente de GlobalProtect.
Si establece este privilegio como de solo lectura, el
administrador podr ver las versiones de Cliente de
GlobalProtect disponibles, pero no podr descargar ni
instalar el software de agente.

86

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Nivel de acceso

Descripcin

Habilitar

Solo
lectura

Deshabilitar

Actualizaciones
dinmicas

Controla el acceso al nodo Actualizaciones

dinmicas. Si deshabilita este privilegio, el
administrador no ver el nodo Actualizaciones
dinmicas, no podr ver las actualizaciones ms
recientes, no podr leer las notas de versin de cada
actualizacin ni podr seleccionar una actualizacin
para su carga e instalacin.

S
Controla el acceso al nodo Asistencia tcnica. Si
deshabilita este privilegio, el administrador no ver el
nodo Asistencia tcnica, no podr acceder a alertas de
productos y seguridad de Palo Alto Networks ni
generar archivos de asistencia tcnica o de volcado de
estadsticas.

Si establece este privilegio como de solo lectura, el

administrador podr ver las versiones de
Actualizaciones dinmicas disponibles y leer las notas
de versin, pero no podr cargar ni instalar el software.
Licencias

Controla el acceso al nodo Licencias. Si deshabilita

este privilegio, el administrador no ver el nodo
Licencias ni podr ver las licencias instaladas o las
licencias activas.
Si establece este privilegio como de solo lectura, el
administrador podr ver las Licencias instaladas, pero
no podr realizar funciones de gestin de licencias.

Asistencia tcnica

Si establece este privilegio como de solo lectura, el

administrador podr ver el nodo Asistencia tcnica y
acceder a alertas de productos y seguridad, pero no
podr generar archivos de asistencia tcnica o de
volcado de estadsticas.
Clave maestra y
diagnstico

S
Controla el acceso al nodo Clave maestra y
diagnstico. Si deshabilita este privilegio, el
administrador no ver el nodo Clave maestra y
diagnstico ni podr especificar una clave maestra para
cifrar claves privadas en el cortafuegos.

Si establece este privilegio como de solo lectura, el

administrador podr ver el nodo Clave maestra y
diagnstico y ver informacin sobre claves maestras
que se han especificado, pero no podr aadir ni editar
una nueva configuracin de clave maestra.

Gestin de dispositivos

87

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Definicin de ajustes de privacidad de usuario en el perfil de funcin de administrador

Nivel de acceso

Descripcin

Habilitar

Solo
lectura

Deshabilitar

Privacidad

Establece el estado predeterminado para habilitar o

deshabilitar para todos los ajustes de privacidad
descritos a continuacin.

N/D

Mostrar direcciones IP
completas

S
Cuando se establece como deshabilitado, las
direcciones IP completas obtenidas a travs del trfico
que pasa por el cortafuegos de Palo Alto Networks no
se muestran en logs ni informes. En lugar de las
direcciones IP que suelen mostrarse, aparecer la
subred relevante.

N/D

N/D

N/D

Los informes programados se muestran en la

interfaz a travs de Supervisar > Informes, y
los informes que se envan a travs de correos
electrnicos programados seguirn mostrando
direcciones IP completas. Debido a esta
excepcin, recomendamos deshabilitar los
siguientes ajustes en la pestaa Supervisar:
Informes personalizados, Informes de
aplicacin, Informes de amenazas, Informes de
filtrado de URL, Informes de trfico y
Programador de correo electrnico.
Visualizacin de los
Cuando se establece como deshabilitado, los nombres S
nombres de usuario en los de usuario obtenidos a travs del trfico que pasa por el
logs e informes
cortafuegos de Palo Alto Networks no se muestran en

logs ni informes. Las columnas donde normalmente

apareceran los nombres de usuario estn vacas.
Los informes programados que se muestran en la
interfaz a travs de Supervisar > Informes o que
se envan a travs del programador de correo
electrnico seguirn mostrando los nombres de
usuario. Debido a esta excepcin, recomendamos
deshabilitar los siguientes ajustes en la pestaa
Supervisar: Informes personalizados, Informes de
aplicacin, Informes de amenazas, Informes de
filtrado de URL, Informes de trfico y Programador
de correo electrnico.
Ver archivos de captura
de paquetes

88

Cuando se establece como deshabilitado, los archivos S

de captura de paquetes que suelen estar disponibles en
los logs de trfico, amenaza y filtrado de datos no se
muestran.

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Restriccin del acceso de administrador a funciones de confirmacin

Restriccin del acceso de los usuarios con el ajuste Compilar
Nivel de acceso

Descripcin

Habilitar

Solo
lectura

Deshabilitar

Compilar

Cuando se establece como deshabilitado, un

administrador no puede confirmar ningn cambio en
una configuracin.

N/D

Habilitar

Solo
lectura

Deshabilitar

Acceso detallado a ajustes globales

Restriccin del acceso de los usuarios con ajustes globales
Nivel de acceso

Descripcin

Global

S
Establece el estado predeterminado para habilitar o
deshabilitar para todos los ajustes globales descritos a
continuacin. En este momento, este ajuste solamente
es efectivo para Alarmas del sistema.

N/D

Alarmas del sistema

Cuando se establece como deshabilitado, un

administrador no puede ver ni reconocer alarmas que
se generen.

N/D

Concesin de acceso granular a la pestaa Panorama

La siguiente tabla muestra los niveles de acceso de pestaa Panorama y las funciones de administrador Panorama
personalizado para los que estn disponibles. Los administradores del cortafuegos no pueden acceder a ninguno
de esos privilegios.
Nivel de
acceso

Descripcin

Disponibilidad de Habilitar
la funcin de
administrador

Configuracin

S
Panorama: S
Especifica si el administrador puede
visualizar o editar la informacin de
Plantilla/grupo de
configuracin Panorama, como Gestin,
dispositivos: No
Operaciones, Servicios, WildFire o HSM.

Solo
lectura

Deshabilitar

Si define este privilegio como de solo

lectura, el administrador puede ver la
informacin pero no editarla.
Si desactiva este privilegio, el administrador
no podr ver ni editar la informacin.

Gestin de dispositivos

89

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Nivel de
acceso

Descripcin

Disponibilidad de Habilitar
la funcin de
administrador

Plantillas

Especifica si el administrador puede ver,

editar, aadir o eliminar plantillas.

Panorama: S

Si define este privilegio como de solo

lectura, el administrador puede ver las
configuraciones de plantilla, pero no
gestionarlas.

Solo
lectura

Deshabilitar

No

Plantilla/grupo de (No para los

administradores
dispositivos: S
de Grupo de
dispositivo y
plantilla)

Si desactiva este privilegio, el administrador

no podr ver ni gestionar las
configuraciones de plantilla.
Auditora de
Especifica si el administrador puede
configuraciones ejecutar las auditoras de configuracin de

Panorama. Si desactiva este privilegio, el

administrador no podr ejecutar las
auditoras de configuracin de Panorama.
Dispositivos
gestionados

Panorama: S
Plantilla/grupo de
dispositivos: No

Panorama: S
Especifica si el administrador puede ver,
aadir, editar, etiquetar o eliminar
Plantilla/grupo de
cortafuegos como dispositivos gestionados, dispositivos: S
e instalar actualizaciones de contenido o
software en ellos.
Si define este privilegio como de solo
lectura, el administrador puede ver los
cortafuegos gestionados pero no aadir,
eliminar, etiquetar ni instalar
actualizaciones.

(No para las

funciones de
Grupo de
dispositivo y
plantilla)

Si desactiva este privilegio, el administrador

no puede ver, aadir, editar, etiquetar,
eliminar ni instalar actualizaciones en los
cortafuegos gestionados.
Este privilegio solo se aplica a la
pgina Panorama > Dispositivos
gestionados. Un administrador con
privilegios de Implementacin de
dispositivos podr seguir usando las
pginas Panorama >
Implementacin de dispositivo

para instalar actualizaciones en

cortafuegos gestionados.

90

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Nivel de
acceso

Descripcin

Disponibilidad de Habilitar
la funcin de
administrador

Solo
lectura

Deshabilitar

Grupos de
dispositivos

Especifica si el administrador puede ver,

editar, aadir o eliminar grupos de
dispositivos.

Panorama: S

Plantilla/grupo de (No para las

funciones de
dispositivos: S
Grupo de
Si define este privilegio como de solo
dispositivo y
lectura, el administrador puede ver las
plantilla)
configuraciones de grupos de dispositivos,
pero no gestionarlas.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar las
configuraciones de grupos de dispositivos.

Recopiladores
gestionados

Especifica si el administrador puede ver,

editar, aadir o eliminar recopiladores
gestionados.

Panorama: S
Plantilla/grupo de
dispositivos: No

Si define este privilegio como de solo

lectura, el administrador puede ver las
configuraciones de recopiladores
gestionados, pero no gestionarlas.
Si desactiva este privilegio, el administrador
no podr ver, editar, aadir ni eliminar las
configuraciones de recopiladores
gestionados.
Este privilegio solo se aplica a la
pgina Panorama > Recopiladores
gestionados. Un administrador con
privilegios de Implementacin de
dispositivos podr seguir usando las
pginas Panorama >
Implementacin de dispositivo

para instalar actualizaciones en

recopiladores de log.
Grupos de
recopiladores

Especifica si el administrador puede ver,

editar, aadir o eliminar grupos de
recopiladores.

Panorama: S
Plantilla/grupo de
dispositivos: No

Si define este privilegio como de solo

lectura, el administrador puede ver los
grupos de recopiladores pero no
gestionarlas.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar los grupos de
recopiladores.

Gestin de dispositivos

91

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Nivel de
acceso

Descripcin

Disponibilidad de Habilitar
la funcin de
administrador

Funciones de
administrador

No
Especifica si el administrador puede ver las Panorama: S
funciones de administrador de Panorama. Plantilla/grupo de
No puede activar el acceso completo a esta dispositivos: No
funcin: solo un acceso de solo lectura.
(Solo los administradores con Panorama
con una funcin dinmica pueden aadir,
editar o eliminar funciones personalizadas
de Panorama.) Con un acceso de solo
lectura, el administrador puede ver
configuraciones de funcin de
administrador de Panorama, pero no puede
configurarlas.

Solo
lectura

Deshabilitar

Si desactiva este privilegio, el administrador

no podr ver ni gestionar las funciones de
administrador de Panorama.
Administradores

No
Especifica si el administrador puede ver los Panorama: S
detalles de la cuenta de administrador de
Plantilla/grupo de
Panorama.
dispositivos: No
No puede activar el acceso completo a esta
funcin: solo un acceso de solo lectura.
(Solo los administradores con Panorama
con una funcin dinmica pueden aadir,
editar o eliminar administradores de
Panorama.) Con un acceso de solo lectura,
el administrador puede ver la informacin
sobre su cuenta, pero ninguna otra cuenta
de administrador de Panorama.

Si desactiva este privilegio, el administrador

no puede ver informacin sobre ninguna
cuenta de administrador de Panorama,
incluyendo la suya propia.
Alta
disponibilidad

Especifica si el administrador puede ver y

gestionar los ajustes de alta disponibilidad
(HA) para el servidor de gestin de
Panorama.

Panorama: S

Plantilla/grupo de
dispositivos: No

Si define este privilegio como de solo

lectura, el administrador puede ver la
informacin de configuracin de HA para
el servidor de gestin de Panorama pero no
puede gestionar la configuracin.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar los ajustes de
configuracin de HA para el servidor de
gestin de Panorama.

92

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Nivel de
acceso

Descripcin

Disponibilidad de Habilitar
la funcin de
administrador

Administrador
de servicios
VMware

S
Especifica si el administrador puede ver y Panorama: S
editar ajustes de VMware Service Manager. Plantilla/grupo de
Si define este privilegio como de solo
dispositivos: No
lectura, el administrador puede ver los
ajustes pero no realizar ningn
procedimiento operativo o de
configuracin relacionado.

Solo
lectura

Deshabilitar

Si desactiva este privilegio, el administrador

no puede ver los ajustes ni realizar ningn
procedimiento operativo o de
configuracin relacionado.
Gestin de
certificados

S
Define el estado predeterminado, activado Panorama: S
o desactivado de todos los privilegios de
Plantilla/grupo de
gestin de certificados de Panorama.
dispositivos: No

No

Certificados

S
Panorama: S
Especifica si el administrador puede ver,
editar, generar, eliminar, revocar, renovar o Plantilla/grupo de
exportar certificados. Este privilegio
dispositivos: No
tambin especifica si el administrador
puede importar o exportar claves HA.

No

Si define este privilegio como de solo

lectura, el administrador puede ver los
certificados de Panorama pero no gestionar
los certificados o las claves HA.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar los certificador de
Panorama ni las claves HA.
Perfil del
certificado

S
Panorama: S
Especifica si el administrador puede ver,
aadir, editar, eliminar o clonar los perfiles Plantilla/grupo de
de certificados de Panorama.
dispositivos: No
Si define este privilegio como de solo
lectura, el administrador puede ver los
perfiles de certificados de Panorama, pero
no gestionarlos.

Si desactiva este privilegio, el administrador

no podr ver ni gestionar los perfiles de
certificados de Panorama.
Configuracin
de log

S
Define el estado predeterminado, activado Panorama: S
o desactivado de todos los privilegios de
Plantilla/grupo de
ajuste de logs.
dispositivos: No

Gestin de dispositivos

93

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Nivel de
acceso

Descripcin

Disponibilidad de Habilitar
la funcin de
administrador

Solo
lectura

Deshabilitar

Sistema

Especifica si el administrador puede ver y

configurar los ajustes que controlan el
reenvo de los logs de sistema a servicios
externos (Syslog, correo o servidores trap
SNMP).

Panorama: S

S
Especifica si el administrador puede ver y Panorama: S
configurar los ajustes que controlan el
Plantilla/grupo de
reenvo de los logs de configuracin tema a dispositivos: No
servicios externos (Syslog, correo
electrnico o servidores trap SNMP).

Plantilla/grupo de
dispositivos: No

Si define este privilegio como de solo

lectura, el administrador puede ver los
ajustes de reenvo de logs de sistema, pero
no gestionarlos.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar los ajustes.
En un dispositivo Panorama M-100,
este privilegio pertenece
nicamente a los logs de sistema
que Panorama genera por s mismo.
En un dispositivo virtual Panorama,
este privilegio se aplica a los logs de
sistema que genera Panorama y a los
logs de sistema que recopila
Panorama a partir de los
cortafuegos.
Configurar

Si define este privilegio como de solo

lectura, el administrador puede ver los
ajustes de reenvo de logs de configuracin,
pero no gestionarlos.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar los ajustes.
En un dispositivo Panorama M-100,
este privilegio pertenece
nicamente a los logs de
configuracin que Panorama genera
por s mismo. En un dispositivo
virtual Panorama, este privilegio se
aplica a los logs de configuracin
que genera Panorama y a los logs de
configuracin que recopila
Panorama a partir de los
cortafuegos.

94

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Nivel de
acceso

Descripcin

Disponibilidad de Habilitar
la funcin de
administrador

Solo
lectura

Deshabilitar

Coincidencias
HIP

Especifica si el administrador puede ver y

configurar los ajustes que controlan el
reenvo de los logs de coincidencia HIP
desde un dispositivo virtual Panorama a
servicios externos (Syslog, correo
electrnico o servidores trap SNMP).

Panorama: S

Plantilla/grupo de
dispositivos: No

La pgina Panorama > Grupos de

recopiladores controla el reenvo
de logs de coincidencia HIP desde
un dispositivo Panorama M-100. La
pgina Dispositivo > Configuracin
de log > Coincidencias HIP

controla el reenvo de logs de

coincidencia HIP directamente
desde los cortafuegos a los servicios
externos (sin agregacin en
Panorama).
Si define este privilegio como de solo
lectura, el administrador puede ver los
ajustes de reenvo de logs de coincidencia
HIP, pero no gestionarlos.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar los ajustes.
Trfico

Especifica si el administrador puede ver y

configurar los ajustes que controlan el
reenvo de los logs de trfico desde un
dispositivo virtual Panorama a servicios
externos (Syslog, correo electrnico o
servidores trap SNMP).

Panorama: S
Plantilla/grupo de
dispositivos: No

La pgina Panorama > Grupos de

recopiladores controla el reenvo
de logs de trfico desde un
dispositivo Panorama M-100. La
pgina Objetos > Reenvo de logs
controla el reenvo de logs de trfico
directamente desde los cortafuegos
a los servicios externos (sin
agregacin en Panorama).
Si define este privilegio como de solo
lectura, el administrador puede ver los
ajustes de reenvo de logs de trfico, pero
no gestionarlos.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar los ajustes.

Gestin de dispositivos

95

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Nivel de
acceso

Descripcin

Disponibilidad de Habilitar
la funcin de
administrador

Solo
lectura

Deshabilitar

Amenaza

Especifica si el administrador puede ver y

configurar los ajustes que controlan el
reenvo de los logs de amenazas desde un
dispositivo virtual Panorama a servicios
externos (Syslog, correo electrnico o
servidores trap SNMP).

Panorama: S

Plantilla/grupo de
dispositivos: No

La pgina Panorama > Grupos de

recopiladores controla el reenvo
de logs de amenazas desde un
dispositivo Panorama M-100. La
pgina Objetos > Reenvo de logs
controla el reenvo de logs de
amenazas directamente desde los
cortafuegos a los servicios externos
(sin agregacin en Panorama).
Si define este privilegio como de solo
lectura, el administrador puede ver los
ajustes de reenvo de logs de amenazas,
pero no gestionarlos.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar los ajustes.
WildFire

Especifica si el administrador puede ver y

configurar los ajustes que controlan el
reenvo de los logs de WildFire desde un
dispositivo virtual Panorama a servicios
externos (Syslog, correo electrnico o
servidores trap SNMP).

Panorama: S
Plantilla/grupo de
dispositivos: No

La pgina Panorama > Grupos de

recopiladores controla el reenvo
de logs de WildFire desde un
dispositivo Panorama M-100. La
pgina Objetos > Reenvo de logs
controla el reenvo de logs de
WildFire directamente desde los
cortafuegos a los servicios externos
(sin agregacin en Panorama).
Si define este privilegio como de solo
lectura, el administrador puede ver los
ajustes de reenvo de logs de WildFire, pero
no gestionarlos.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar los ajustes.

96

Gestin de dispositivos

Gestin de dispositivos

Nivel de
acceso

Descripcin

Perfiles de
servidor

Traps SNMP

Especifica si el administrador puede ver y

configurar perfiles de servidor de trap
SNMP.

Referencia: acceso de administrador a la interfaz web

Disponibilidad de Habilitar
la funcin de
administrador

Solo
lectura

Deshabilitar

S
Define el estado predeterminado, activado Panorama: S
o desactivado de todos los privilegios de
Plantilla/grupo de
perfil de servidor.
dispositivos: No
Estos privilegios solo pertenecen a
los perfiles de servidor que se usan
para reenviar logs que Panorama
genera o recopila de cortafuegos y
los perfiles de servidor que se usan
para autenticar a los
administradores de Panorama. Las
pginas Dispositivo > Perfiles de
servidor controlan los perfiles de
servidor que se usan para reenviar
logs directamente desde los
cortafuegos a servicios externos
(sin agregacin en Panorama) y para
autenticar administradores de
cortafuegos.

No

Panorama: S
Plantilla/grupo de
dispositivos: No

Si define este privilegio como de solo

lectura, el administrador puede ver los
perfiles de servidor de trap SNMP, pero no
gestionarlos.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar los perfiles de
servidor de trap SNMP.
Syslog

Especifica si el administrador puede ver y

configurar perfiles de servidor Syslog.
Si define este privilegio como de solo
lectura, el administrador puede ver los
perfiles de servidor Syslog, pero no
gestionarlos.

Panorama: S
Plantilla/grupo de
dispositivos: No

Si desactiva este privilegio, el administrador

no podr ver ni gestionar los perfiles de
servidor Syslog.

Gestin de dispositivos

97

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Nivel de
acceso

Descripcin

Disponibilidad de Habilitar
la funcin de
administrador

Solo
lectura

Deshabilitar

Correo
electrnico

Especifica si el administrador puede ver y

configurar perfiles de servidor de correo
electrnico.

Panorama: S

S
Especifica si el administrador puede ver y Panorama: S
configurar los perfiles de servidor RADIUS Plantilla/grupo de
que se usan para autenticar a los
dispositivos: No
administradores de Panorama.

S
Especifica si el administrador puede ver y Panorama: S
configurar los perfiles de servidor Kerberos Plantilla/grupo de
que se usan para autenticar a los
dispositivos: No
administradores de Panorama.

Plantilla/grupo de
dispositivos: No

Si define este privilegio como de solo

lectura, el administrador puede ver los
perfiles de servidor de correo electrnico,
pero no gestionarlos.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar los perfiles de
servidor de correo electrnico.
RADIUS

Si define este privilegio como de solo

lectura, el administrador puede ver los
perfiles de servidor RADIUS, pero no
gestionarlos.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar los perfiles de
servidor RADIUS.
LDAP

Especifica si el administrador puede ver y

configurar los perfiles de servidor LDAP
que se usan para autenticar a los
administradores de Panorama.

Panorama: S
Plantilla/grupo de
dispositivos: No

Si define este privilegio como de solo

lectura, el administrador puede ver los
perfiles de servidor LDAP, pero no
gestionarlos.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar los perfiles de
servidor LDAP.
Kerberos

Si define este privilegio como de solo

lectura, el administrador puede ver los
perfiles de servidor Kerberos, pero no
gestionarlos.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar los perfiles de
servidor Kerberos.

98

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Nivel de
acceso

Descripcin

Disponibilidad de Habilitar
la funcin de
administrador

Solo
lectura

Deshabilitar

Perfil de
autenticacin

S
Panorama: S
Especifica si el administrador puede ver,
aadir, editar, eliminar o clonar los perfiles Plantilla/grupo de
de autenticacin de los administradores de dispositivos: No
Panorama.

S
Panorama: S
Especifica si el administrador puede ver,
aadir, editar, eliminar o clonar los
Plantilla/grupo de
dominios de acceso de los administradores dispositivos: No
de Panorama.

Si define este privilegio como de solo

lectura, el administrador puede ver los
perfiles de autenticacin de Panorama, pero
no gestionarlos.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar los perfiles de
autenticacin de Panorama.
Secuencia de
autenticacin

Especifica si el administrador puede ver,

aadir, editar, eliminar o clonar las
secuencias de autenticacin de los
administradores de Panorama.

Panorama: S
Plantilla/grupo de
dispositivos: No

Si define este privilegio como de solo

lectura, el administrador puede ver las
secuencias de autenticacin de Panorama,
pero no gestionarlas.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar las secuencias de
autenticacin de Panorama.
Dominio de
acceso

Si define este privilegio como de solo

lectura, el administrador puede ver los
dominios de acceso de Panorama, pero no
gestionarlos.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar los dominios de
acceso de Panorama.

Gestin de dispositivos

99

Referencia: acceso de administrador a la interfaz web

Gestin de dispositivos

Nivel de
acceso

Descripcin

Disponibilidad de Habilitar
la funcin de
administrador

Solo
lectura

Deshabilitar

Exportacin de
configuracin
programada

Especifica si el administrador puede ver,

aadir, editar, eliminar o clonar las
exportaciones de configuracin
programada de Panorama.

Panorama: S

No

S
Panorama: S
Especifica si el administrador puede: ver
informacin sobre las actualizaciones de
Plantilla/grupo de
software de Panorama; descargar, cargar o dispositivos: No
instalar actualizaciones; y ver las notas de la
versin asociadas.

Plantilla/grupo de
dispositivos: No

Si define este privilegio como de solo

lectura, el administrador puede ver las
exportaciones programadas, pero no
gestionarlas.
Si desactiva este privilegio, el administrador
no podr ver ni gestionar las exportaciones
programadas.
Software

Si define este privilegio como de solo

lectura, el administrador puede ver
informacin sobre las actualizaciones de
software de Panorama y ver las notas de
versin asociadas, pero no puede realizar
ninguna operacin relacionada.
Si desactiva este privilegio, el administrador
no puede ver las actualizaciones de software
Panorama, consulte las notas de versin
asociadas o realizar ninguna operacin
relacionada.
Este privilegio solo pertenece a
software instalado en un servidor de
gestin de Panorama. La pgina
Panorama > Implementacin de
dispositivo > Software controla el

acceso al software PAN-OS

implementado en cortafuegos y el
software Panorama en
recopiladores de log dedicados.

100

Gestin de dispositivos

Gestin de dispositivos

Nivel de
acceso

Referencia: acceso de administrador a la interfaz web

Descripcin

Solo
lectura

Deshabilitar

S
Panorama: S
Especifica si el administrador puede: ver
informacin de asistencia de Panorama,
Plantilla/grupo de
alertas de productos y de seguridad; activar dispositivos: No
una licencia de asistencia, generar archivos
de asistencia tecnolgica y gestionar casos.

Actualizaciones Especifica si el administrador puede: ver

dinmicas
informacin sobre las actualizaciones de

Disponibilidad de Habilitar
la funcin de
administrador

Panorama: S

Plantilla/grupo de
contenido de Panorama (por ejemplo,
dispositivos: No
actualizaciones de WildFire); descargar,
cargar, instalar o revertir las actualizaciones;
y ver las notas de la versin asociadas.
Si define este privilegio como de solo
lectura, el administrador puede ver
informacin sobre las actualizaciones de
contenido de Panorama y ver las notas de
versin asociadas, pero no puede realizar
ninguna operacin relacionada.
Si desactiva este privilegio, el administrador
no puede ver las actualizaciones de
contenido de Panorama, consulte las notas
de versin asociadas o realizar ninguna
operacin relacionada.
Este privilegio solo pertenece al
contenido instalado en un servidor
de gestin de Panorama. La pgina
Panorama > Implementacin de
dispositivo > Actualizaciones
dinmicas controla el acceso a las

actualizaciones de contenido
implementadas en los cortafuegos y
los recopiladores de log dedicados.
Asistencia
tcnica

Si define este privilegio como de solo

lectura, el administrador puede ver
informacin de asistencia de Panorama,
alertas de productos y de seguridad; pero no
activar una licencia de asistencia, generar
archivos de asistencia tecnolgica ni
gestionar casos.
Si desactiva este privilegio, el administrador
no puede: ver informacin de asistencia de
Panorama, alertas de productos y de
seguridad; activar una licencia de asistencia,
generar archivos de asistencia tecnolgica ni
gestionar casos.

Gestin de dispositivos

101

Referencia: acceso de administrador a la interfaz web

Nivel de
acceso

Descripcin

Gestin de dispositivos

Solo
lectura

Deshabilitar

No

S
Panorama: S
Especifica si el administrador puede: ver
informacin sobre las actualizaciones de
Plantilla/grupo de
software instaladas en cortafuegos y
dispositivos: S
recopiladores de logs; descargar, cargar o
instalar actualizaciones; y ver las notas de la
versin asociadas.

Implementacin Define el estado predeterminado, activado

de dispositivos o desactivado de todos los privilegios de

implementacin de dispositivos.

Disponibilidad de Habilitar
la funcin de
administrador

Panorama: S
Plantilla/grupo de
dispositivos: S

Este privilegio pertenece solo a las

actualizaciones de software y
contenido que los administradores
de Panorama implementan en los
cortafuegos y los recopiladores de
logs dedicados. Las pginas
Panorama > Software y
Panorama > Actualizaciones
dinmicas controlan las

actualizaciones de software y
contenido instaladas en un servidor
de gestin de Panorama.
Software

Si define este privilegio como de solo

lectura, el administrador puede ver
informacin sobre las actualizaciones de
software de Panorama y ver las notas de
versin asociadas, pero no puede
implementar las actualizaciones en
cortafuegos o recopiladores de logs
dedicados.
Si desactiva este privilegio, el administrador
no podr ver informacin sobre las
actualizaciones de software ni las notas de
versin asociadas, como tampoco podr
implementar las actualizaciones en el
cortafuegos o los recopiladores de logs
dedicados.

102

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Nivel de
acceso

Descripcin

Disponibilidad de Habilitar
la funcin de
administrador

Solo
lectura

Deshabilitar

Cliente SSL
VPN

Especifica si el administrador puede: ver

informacin sobre las actualizaciones de
software de cliente SSL VPN; descargar,
cargar o activar actualizaciones; y ver las
notas de la versin asociadas.

Panorama: S

S
Panorama: S
Especifica si el administrador puede: ver
informacin sobre las actualizaciones de
Plantilla/grupo de
software de cliente GlobalProtect;
dispositivos: S
descargar, cargar o activar actualizaciones, y
ver las notas de la versin asociadas.

Plantilla/grupo de
dispositivos: S

Si define este privilegio como de solo

lectura, el administrador puede ver
informacin sobre las actualizaciones de
software de cliente SSL VPN y ver las notas
de versin asociadas, pero no puede activar
las actualizaciones en cortafuegos.
Si desactiva este privilegio, el administrador
no puede ver informacin sobre las
actualizaciones de software de cliente SSL
VPN, ver las notas de versin asociadas, ni
activar las actualizaciones en cortafuegos.
Cliente de
GlobalProtect

Si define este privilegio como de solo

lectura, el administrador puede ver
informacin sobre las actualizaciones de
software de cliente GlobalProtect y ver las
notas de versin asociadas, pero no puede
activar las actualizaciones en cortafuegos.
Si desactiva este privilegio, el administrador
no puede ver informacin sobre las
actualizaciones de software de cliente
GlobalProtect, ver las notas de versin
asociadas ni activar las actualizaciones en
cortafuegos.

Gestin de dispositivos

103

Referencia: acceso de administrador a la interfaz web

Nivel de
acceso

Descripcin

Gestin de dispositivos

Solo
lectura

Deshabilitar

S
Panorama: S
Especifica si el administrador puede ver,
actualizar y activar licencias de cortafuegos. Plantilla/grupo de
Si define este privilegio como de solo
dispositivos: S
lectura, el administrador puede ver las
licencias de cortafuegos pero no actualizar
ni activar esas licencias.

Actualizaciones Especifica si el administrador puede: ver

dinmicas
informacin sobre las actualizaciones de

Disponibilidad de Habilitar
la funcin de
administrador

Panorama: S

Plantilla/grupo de
contenido (por ejemplo, actualizaciones de dispositivos: S
aplicaciones) instaladas en cortafuegos y
recopiladores de logs dedicados; descargar,
cargar o instalar actualizaciones, y ver las
notas de la versin asociadas.
Si define este privilegio como de solo
lectura, el administrador puede ver
informacin sobre las actualizaciones de
contenido y ver las notas de versin
asociadas, pero no puede implementar las
actualizaciones en cortafuegos o
recopiladores de logs dedicados.
Si define este privilegio como de solo
lectura, el administrador puede ver
informacin sobre las actualizaciones de
contenido de Panorama y ver las notas de
versin asociadas, pero no puede
implementar las actualizaciones en
cortafuegos o recopiladores de logs
dedicados.

Licencias

Si desactiva este privilegio, el administrador

no podr ver, actualizar o activar licencias
de cortafuegos.
Clave maestra
y diagnstico

Especifica si el administrador puede ver y

configurar una clave maestra con la que
cifrar claves privadas en Panorama.

Panorama: S

Plantilla/grupo de
dispositivos: No

Si define este privilegio como de solo

lectura, el administrador puede ver la
configuracin de clave maestra de
Panorama, pero no cambiarla.
Si desactiva este privilegio, el administrador
no podr ver ni editar la configuracin de
clave maestra Panorama.

104

Gestin de dispositivos

Gestin de dispositivos

Referencia: acceso de administrador a la interfaz web

Acceso a la interfaz web de Panorama

Las funciones personalizadas de administrador de Panorama le permiten definir el acceso a las opciones de
Panorama y le dan la capacidad de dar acceso nicamente a los grupos de dispositivos y plantillas (pestaas
Polticas, Objetos, Red y Dispositivo).
Las funciones administrativas que puede crear son Panorama y Grupo de dispositivo y plantilla. No puede
conceder privilegios de acceso a la CLI a una funcin administrativa Grupo de dispositivo y plantilla. Si asigna
privilegios de superusuario para la CLI a una funcin de administrador Panorama, los administradores con esa
funcin pueden acceder a todas las funciones, independientemente de los privilegios de interfaz web que asigne.
Nivel de acceso

Descripcin

Habilitar

Solo
lectura

Deshabilitar

Panel

Controla el acceso a la pestaa Panel. Si deshabilita

este privilegio, el administrador no ver la pestaa ni
tendr acceso a ninguno de los widgets del panel.

No

ACC

Controla el acceso al Centro de comando de aplicacin S

(ACC). Si deshabilita este privilegio, la pestaa ACC no
aparecer en la interfaz web. Recuerde que si quiere
proteger la privacidad de sus usuarios y a la vez seguir
proporcionando acceso al ACC, puede deshabilitar la
opcin Privacidad > Mostrar direcciones IP
completas y/o la opcin Mostrar nombres de
usuario en logs e informes.

No

Supervisar

S
Controla el acceso a la pestaa Supervisar. Si
deshabilita este privilegio, el administrador no ver la
pestaa Supervisar ni tendr acceso a ninguno de los
logs, capturas de paquetes, informacin de sesin,
informes o Appscope. Para obtener un control ms
detallado sobre qu informacin de supervisin puede
ver el administrador, deje la opcin Supervisar
habilitada y, a continuacin, habilite o deshabilite nodos
especficos en la pestaa como se describe en Acceso
detallado a la pestaa Supervisar.

No

Polticas

Controla el acceso a la pestaa Polticas. Si deshabilita S

este privilegio, el administrador no ver la pestaa
Polticas ni tendr acceso a ninguna informacin de
poltica. Para obtener un control ms detallado sobre
qu informacin de polticas puede ver el
administrador, por ejemplo, para habilitar el acceso a un
tipo de poltica especfico o para habilitar el acceso de
solo lectura a informacin de polticas, deje la opcin
Polticas habilitada y, a continuacin, habilite o
deshabilite nodos especficos en la pestaa como se
describe en Acceso detallado a la pestaa Poltica.

No

Gestin de dispositivos

105

Referencia: acceso de administrador a la interfaz web

Nivel de acceso

Descripcin

Objetos

Gestin de dispositivos

Habilitar

Solo
lectura

Deshabilitar

Controla el acceso a la pestaa Objetos. Si deshabilita S

este privilegio, el administrador no ver la pestaa
Objetos ni tendr acceso a ninguno de los objetos,
perfiles de seguridad, perfiles de reenvo de logs,
perfiles de descifrado o programaciones. Para obtener
un control ms detallado sobre qu objetos puede ver
el administrador, deje la opcin Objetos habilitada y, a
continuacin, habilite o deshabilite nodos especficos
en la pestaa como se describe en Acceso detallado a la
pestaa Objetos.

No

Red

Controla el acceso a la pestaa Red. Si deshabilita este S

privilegio, el administrador no ver la pestaa Red ni
tendr acceso a ninguna informacin de configuracin
de interfaz, zona, VLAN, Virtual Wire, enrutador virtual,
tnel de IPSec, DHCP, proxy DNS, GlobalProtect o
QoS o a los perfiles de red. Para obtener un control ms
detallado sobre qu objetos puede ver el administrador,
deje la opcin Red habilitada y, a continuacin, habilite o
deshabilite nodos especficos en la pestaa como se
describe en Acceso detallado a la pestaa Red.

No

Dispositivo

S
Controla el acceso a la pestaa Dispositivo. Si
deshabilita este privilegio, el administrador no ver la
pestaa Dispositivo ni tendr acceso a ninguna
informacin de configuracin de todo el dispositivo,
como informacin de configuracin de User-ID, alta
disponibilidad, perfil de servidor o certificado. Si desea
un control ms granular de los objetos que puede ver el
administrador, deje activada la opcin Dispositivo y
active o desactive nodos especficos de la pestaa tal y
como se describe en Acceso detallado a la pestaa
Dispositivo.

No

No

No puede habilitar el acceso a los nodos

Funciones de administrador o
Administradores para un administrador

basado en funciones aunque habilite un acceso

completo a la pestaa Dispositivo.
Panorama

Controla el acceso a la pestaa Panorama. Si desactiva S

este privilegio, el administrador no ver la pestaa de
Panorama y no tendr acceso a ninguna informacin
en toda Panorama, como los Dispositivos gestionados,
Recopiladores gestionados o Grupos de recopiladores.
Si desea un control ms granular de los objetos que
puede ver el administrador, deje activada la opcin
Panorama y active o desactive nodos especficos de la
pestaa tal y como se describe en Concesin de acceso
granular a la pestaa Panorama.

106

Gestin de dispositivos

Gestin de dispositivos

Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks

Referencia: Nmeros de puerto usados por los dispositivos

de Palo Alto Networks
Las siguientes tablas enumeran los puertos que usan los dispositivos de Palo Alto Networks para comunicarse
entre s o con otros servicios de la red.

Puertos usados para funciones de gestin

Puertos usados para HA

Puertos usados para Panorama

Puertos usados para User-ID

Puertos usados para funciones de gestin

Puerto de
destino

Protocolo

Descripcin

22

TCP

Se usa para comunicarse desde un sistema cliente con la interfaz CLI del
cortafuegos.

80

TCP

Puerto que escucha el cortafuegos para recibir actualizaciones de OCSP cuando

acta como OCSP responder.

123

UDP

Puerto que usa el cortafuegos para las actualizaciones NTP.

443

TCP

Se usa para comunicarse desde un sistema cliente con la interfaz web del
cortafuegos. Este es tambin el puerto en el que escucha el cortafuegos o el agente
User-ID para las actualizaciones de origen de informacin de VM. Este es el nico
puerto que se usa para la supervisin de un entorno AWS. Para supervisar un
entorno VMware vCenter/ESXi, el puerto de escucha cambia de forma
predeterminada a 443, aunque puede configurarse.

162

UDP

Puerto que el cortafuegos, Panorama o el recopilador de logs usa para enviar Traps
SNMP a un receptor de traps SNMP.
Este puerto no tiene que estar abierto en el dispositivo Palo Alto Networks.
El receptor de trap SNMP debe estar configurado para escuchar en este
puerto.

161

UDP

Puerto que escucha el cortafuegos para las solicitudes de sondeo SNMP del NMS.

514

TCP

514

UDP

6514

SSL

Puerto que usan el cortafuegos, Panorama o el Recopilador de logs para enviar logs
a un servidor de Syslog y los puertos a los que escucha el agente de User-ID (en el
cortafuegos o en un servidor de Windows) para la autenticacin Mensajes de syslog
que se usan con User-ID.

2055

UDP

Gestin de dispositivos

Puerto predeterminado que usa el cortafuegos para enviar registros de NetFlow,

aunque puede configurarse.

107

Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks

Gestin de dispositivos

Puerto de
destino

Protocolo

Descripcin

5008

TCP

Puerto que el gestor de seguridad mvil de GlobalProtect escucha para recibir

solicitudes HIP de las puertas de enlace de GlobalProtect.
Si est usando un sistema MDM de terceros, puede configurar la puerta de enlace
para que use un puerto distinto, tal y como requiera el proveedor de MDM.

6081

TCP

6082

TCP

Puertos usados para Portal cautivo.

Puertos usados para HA

Los cortafuegos configurados como peers HA (Alta disponibilidad) deben poder comunicarse entre s para
mantener la informacin de estado (enlace de control HA1) y sincronizar los datos (enlace de datos HA2). En
las implementaciones de HA activa/activa, las implementaciones de los cortafuegos peer tambin deben
reenviar paquetes a los peer HA que posee la sesin. El enlace HA3 es un enlace de capa 2 (MAC en MAC) y
no admite cifrado ni direcciones de capa 3.
Puerto de
destino

Protocolo

Descripcin

28769

TCP

28260

TCP

Se usa para el enlace de control HA1 para una comunicacin de texto clara entre los
cortafuegos de peer de HA. El enlace de HA1 es un enlace de capa 3 y requiere una
direccin IP.

28

TCP

Se usa para el enlace de control HA1 para una comunicacin cifrada (SSH en TCP)
entre los cortafuegos de peer de HA.

28770

TCP

Puerto de escucha para enlaces de copia de seguridad HA1.

28771

TCP

Usado para copias de seguridad de heartbeat. Palo Alto Networks recomienda

activar la copia de seguridad de heartbeat en la interfaz de MGT si usa un puerto en
banda para HA1 o los enlaces de copia de seguridad HA1.

99

IP

29281

UDP

Se usa para el enlace HA2 para sincronizar sesiones, reenviar tablas, las asociaciones
de la seguridad IPSec y las tablas ARP entre los cortafuegos en un par de HA. El
flujo de datos en el enlace HA2 siempre es unidireccional (excepto para el
mantenimiento de HA2); fluye desde el dispositivo activo (activo/pasivo), o el
activo-principal (activo/activo) al dispositivo pasivo (activo/pasivo) o activo
secundario (activo/activo). El enlace de HA2 es un enlace de capa 2 y utiliza el tipo
0x7261 de manera predeterminada.
El enlace de datos HA tambin puede configurarse para usar el IP (nmero de
protocolo 99) o UDP (puerto 29281) como el transporte, y por lo tanto permite que
el enlace de datos de HA abarque las subredes.

108

Gestin de dispositivos

Gestin de dispositivos

Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks

Puertos usados para Panorama

Puerto de destino

Protocolo Descripcin

22

TCP

Se usa para comunicarse desde un sistema cliente con la interfaz CLI de Panorama.

443

TCP

Se usa para comunicarse desde un sistema cliente con la interfaz web de Panorama.

3978

TCP

Se usa para la comunicacin entre Panorama y los dispositivos gestionados o

recopiladores de logs gestionados, as como la comunicacin entre los recopiladores
de logs en un grupo de recopiladores como sigue:
La comunicacin entre Panorama y los dispositivos gestionados es una conexin
bidireccional en la que los cortafuegos gestionados reenvan logs a Panorama y
Panorama enva los cambios de configuracin a los dispositivos gestionados. Los
comandos de cambio de contexto se envan a travs de la misma conexin.
Los recopiladores de logs usan este puerto de destino para reenviar los logs a
Panorama.
Para una comunicacin entre el recopilador de logs predeterminado en un
Panorama en modo Panorama y para la comunicacin con los recopiladores de
logs en un modo de arquitectura DLC.

28769 (5.1 o posterior)

TCP

28260 (5.0 o posterior)

TCP

49160 (5.0 o anterior)

TCP

28

TCP

Se usa para una conectividad HA y la sincronizacin entre los peers HA de

Panorama usando una comunicacin cifrada (SSH en TCP). Cualquiera de los peers
puede iniciar la comunicacin.

28270 (6.0 o posterior)

TCP

Se usa para la comunicacin entre recopiladores de logs en un grupo de

recopiladores para la distribucin de logs.

TCP

La usa el dispositivo virtual Panorama para escribir logs en el almacn de datos NFS.

49190 (5.1 o posterior)

2049

Gestin de dispositivos

Se usa para una conectividad HA y la sincronizacin entre los peers HA de

Panorama usando una comunicacin de texto clara. Cualquiera de los peers puede
iniciar la comunicacin.

109

Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks

Gestin de dispositivos

Puertos usados para User-ID

User-ID es una funcin que permite la asignacin de direcciones IP de usuario a nombres de usuario y miembros
de grupo, permitiendo polticas basadas en grupo o usuario y visibilidad sobre las actividades de sus usuarios en su
red (por ejemplo, poder seguir rpidamente a un usuario que puede ser vctima de una amenaza). Para realizar esta
asignacin, el cortafuegos, el agente User-ID (instalado o en un sistema Windows, o el agente integrado de
PAN-OS que funciona en el cortafuegos) o el agente de servicios de terminal debe poder conectar con los servicios
de directorio de su red para realizar Asignacin de grupos y Asignacin de usuario. Adems, si los agentes
funcionan en sistemas externos al cortafuegos, deben poder conectar con el cortafuegos para comunicar la
direccin IP con las asignaciones de nombre de usuario al cortafuegos. La siguiente tabla muestra los requisitos de
comunicacin para User-ID junto con los nmeros de puerto necesarios para establecer las conexiones.
Puerto de
destino

Protocolo

Descripcin

389

TCP

Puerto que usa el cortafuegos para conectar con el servidor LDAP (texto normal o
StartTLS) para Asignacin de usuarios a grupos.

636

TCP

Puerto que usa el cortafuegos para conectar con el servidor LDAP (LDAP por SSL)
para Asignacin de usuarios a grupos. Se usa para las conexiones LDAP por SSL.

514
514
6514

TCP
UDP
SSL

Puertos en los que escucha el agente User-ID (e el cortafuegos o en un servidor de

Windows) para recibir mensajes Syslog de autenticacin para usar con User-ID.

5007

TCP

Puerto en el que escucha el cortafuegos para conocer informacin de asignacin

desde el agente User-ID o el agente de servidor de terminal. El agente enva la
asignacin de direccin IP y nombre de usuario junto con una marca de tiempo
cuando sabe de una asignacin nueva o actualizada. Adems, conecta con el
cortafuegos a intervalos regulares para actualizar las actualizaciones conocidas.

5006

TCP

Puerto al que escucha el agente User-ID para recibir solicitudes de API XML de
User-ID. El origen de esta comunicacin suele ser el sistema que ejecuta una
secuencia de comandos que invoque la API.

88

UDP

Puerto que usa el agente User-ID para autenticarse en un servidor Kerberos.

1812

UDP

Puerto que usa el agente User-ID para autenticarse en un servidor RADIUS.

135

TCP

Puerto que usa el agente User-ID para establecer conexiones WMI basadas en TC
con el asignador de extremos de llamada a procedimiento remoto (RPC) de
Microsoft. El asignador de extremos asigna al agente un puerto asignado
aleatoriamente en el intervalo de puertos 49152-65535. El agente usa esta conexin
para crear consultas RPC para las tablas de sesin y los logs de seguridad del
servidor AD o servidor Exchange. Este es tambin el puerto que se usa para acceder
a los servicios de terminal.
El agente User-ID tambin usa este puerto para conectar con sistemas cliente y
realizar sondeos de WMI.

110

Gestin de dispositivos

Gestin de dispositivos

Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks

Puerto de
destino

Protocolo

Descripcin

139

TCP

Puerto que usa el agente User-ID para establecer conexiones NetBIOS basadas en
TCP con el servidor AD, de modo que pueda enviar consultas RPC sobre logs de
seguridad e informacin de sesin.
El agente User-ID tambin usa este puerto para conectar con sistemas cliente para
sondeos de NetBIOS (admitidos nicamente en el agente User-ID basado en
Windows).

445

TCP

Gestin de dispositivos

Puerto que usa el agente User-ID para conectar con Active Directory (AD)
mediante conexiones SMB basadas en TCP al servidor AD para acceder a la
informacin de inicio de sesin de usuario (administrador de trabajos de impresin
y Net Logon).

111

Restablecimiento del cortafuegos a los ajustes predeterminados de fbrica

Gestin de dispositivos

Restablecimiento del cortafuegos a los ajustes

predeterminados de fbrica
El restablecimiento del cortafuegos a los ajustes predeterminados de fbrica producir la prdida de todos los
ajustes y logs de configuracin.
Restablecimiento del cortafuegos a los ajustes predeterminados de fbrica

Paso 1

Configure una conexin de consola con

el cortafuegos.

1.

Conecte un cable serie desde su ordenador al puerto de la

consola y conecte con el cortafuegos usando el software de
emulacin de terminal (9600-8-N-1).
Si su ordenador no tiene un puerto de serie de 9 clavijas,
use un conector de puerto USB a serie.

2.

Introduzca sus credenciales de inicio de sesin.

3.

Introduzca el siguiente comando de la CLI:

debug system maintenance-mode

El cortafuegos se reinicia en el modo de mantenimiento.

Paso 2

Restablezca el sistema a los ajustes

predeterminados de fbrica.

1.

2.

Cuando el dispositivo reinicia, pulse Intro para continuar hacia

el men de modo de mantenimiento.

Seleccione Restablecimiento de la configuracin

y pulse Intro.

predeterminada de fbrica

3.

De nuevo, seleccione Restablecimiento de la

configuracin predeterminada de fbrica y pulse Intro.

El cortafuegos se reinicia sin ningn ajuste de configuracin. El

nombre de usuario y contrasea predeterminados para iniciar
sesin en el cortafuegos es admin/admin.
Para realizar una configuracin inicial del cortafuegos y
configurar la conectividad de red, consulte Integracin del
cortafuegos en su red de gestin.

112

Gestin de dispositivos

Gestin de certificados
Los siguientes temas describen los distintos certificados y claves que utilizan los dispositivos de Palo Alto
Networks, as como el modo de obtenerlos y gestionarlos:

Claves y certificados

Revocacin de certificados

Implementacin de certificados

Configuracin de la verificacin del estado de revocacin de certificados

Configuracin de la clave maestra

Obtencin de certificados

Configuracin de un perfil de certificado

Configuracin del tamao de clave para los certificados de servidor proxy SSL de reenvo

Revocacin y renovacin de certificados

Claves seguras con un mdulo de seguridad de hardware

Gestin de certificados

113

Claves y certificados

Gestin de certificados

Claves y certificados
Para garantizar la confianza entre las partes de una sesin de comunicacin segura, los dispositivos de Palo Alto
Networks utilizan certificados digitales. Cada certificado contiene una clave criptogrfica para cifrar el texto sin
formato o descifrar el texto cifrado. Cada certificado tambin incluye una firma digital para autenticar la
identidad del emisor. Este debe estar incluido en la lista de entidades de certificacin (CA) de confianza de la
parte que realiza la autenticacin. De manera opcional, la parte que realiza la autenticacin verifica que el emisor
no haya revocado el certificado (consulte Revocacin de certificados).
Los dispositivos de Palo Alto Networks utilizan certificados en las siguientes aplicaciones:

Autenticacin de usuarios para portal cautivo, GlobalProtect, gestor de seguridad mvil y acceso a la interfaz
web del cortafuegos/Panorama.

Autenticacin de dispositivos para VPN de GlobalProtect (de usuario remoto a sitio o gran escala).

Autenticacin de dispositivos para VPN de sitio a sitio de IPSec con intercambio de claves de Internet (IKE).

Descifrado de trfico SSL entrante y saliente. Un cortafuegos descifra el trfico para aplicar polticas de
seguridad y reglas y, a continuacin, vuelve a cifrarlo antes de reenviar el trfico al destino definitivo. Para el
trfico saliente, el cortafuegos acta como servidor proxy de reenvo, estableciendo una conexin SSL/TLS
con el servidor de destino. Para proteger una conexin entre s mismo y el cliente, el cortafuegos utiliza un
certificado de firma para generar automticamente una copia del certificado del servidor de destino.

La tabla siguiente describe las claves y los certificados que utilizan los dispositivos de Palo Alto Networks. Una
prctica recomendada es utilizar diferentes claves y certificados para cada uso.
Tabla: Claves/certificados de dispositivo de Palo Alto Networks
Uso de clave/certificado

Descripcin

Acceso administrativo

Un acceso seguro a las interfaces de administracin de dispositivos (acceso HTTPS a la

interfaz web) requiere un certificado de servidor para la interfaz de gestin (o una interfaz
designada en el plano de datos si el dispositivo no utiliza una interfaz de gestin) y,
opcionalmente, un certificado para autenticar al administrador.

Portal cautivo

En las implementaciones en las que el portal cautivo identifique a los usuarios que accedan
a recursos HTTPS, designe un certificado de servidor para la interfaz de portal cautivo. Si
configura el portal cautivo para que utilice certificados (en lugar o adems de credenciales
de nombre de usuario/contrasea) para la identificacin de usuarios, designe tambin un
certificado de usuario. Si desea obtener ms informacin sobre el portal cautivo, consulte
Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo.

Reenvo fiable

Para el trfico SSL/TLS saliente, si un cortafuegos que acta como proxy de reenvo confa
en la CA que firm el certificado del servidor de destino, el cortafuegos utiliza el certificado
de CA fiable de reenvo para generar una copia del certificado del servidor de destino y
enviarla al cliente. Para definir el tamao de clave, consulte Configuracin del tamao de
clave para los certificados de servidor proxy SSL de reenvo Para mayor seguridad, almacene
la clave en un mdulo de seguridad de hardware (si desea informacin detallada, consulte
Claves seguras con un mdulo de seguridad de hardware).

114

Gestin de certificados

Gestin de certificados

Claves y certificados

Uso de clave/certificado

Descripcin

Reenvo no fiable

Para el trfico SSL/TLS saliente, si un cortafuegos que acta como proxy de reenvo no
confa en la CA que firm el certificado del servidor de destino, el cortafuegos utiliza el
certificado de CA no fiable de reenvo para generar una copia del certificado del servidor de
destino y enviarla al cliente.

Inspeccin de entrada SSL

Claves que descifran el trfico SSL/TLS entrante para su inspeccin y la aplicacin de la

poltica. Para esta aplicacin, importe en el cortafuegos una clave privada para cada servidor
que est sujeto a una inspeccin entrante SSL/TLS. Consulte Configuracin de la
inspeccin de entrada SSL.

Certificado SSL de exclusin Certificados de servidores que deben excluirse del descifrado SSL/TLS. Por ejemplo, si

habilita el descifrado SSL pero su red incluye servidores para los que el cortafuegos no
debera descifrar el trfico (por ejemplo, servicios web para sus sistemas de RR. HH.),
importe los correspondientes certificados en el cortafuegos y configrelos como
certificados SSL de exclusin. Consulte Configuracin de excepciones de descifrado.
GlobalProtect

Todas las interacciones entre componentes de GlobalProtect se producen en conexiones de

SSL/TLS. Por lo tanto, como parte de la implementacin de GlobalProtect, implemente
certificados de servidor para todos los portales, puertas de enlace y gestores de seguridad
mvil de GlobalProtect. Opcionalmente, implemente certificados tambin para los usuarios
que realizan la autenticacin.
Observe que la funcin de VPN a gran escala (LSVPN) de GlobalProtect requiere que una
CA firme el certificado.

VPN de sitio a sitio (IKE)

En una implementacin de VPN de sitio a sitio de IPSec, los dispositivos de peer utilizan
puertas de enlace de intercambio de claves de Internet (IKE) para establecer un canal
seguro. Las puertas de enlace de IKE utilizan certificados o claves precompartidas para
autenticar los peers entre s. Los certificados o las claves se configuran y asignan al definir
una puerta de enlace de IKE en un cortafuegos. Consulte Descripcin general de VPN de
sitio a sitio.

Clave maestra

El cortafuegos utiliza una clave maestra para cifrar todas las claves privadas y contraseas.
Si su red requiere una ubicacin segura para almacenar claves privadas, puede utilizar una
clave de cifrado (ajuste) almacenada en un mdulo de seguridad de hardware (HSM) para
cifrar la clave maestra. Para obtener ms informacin, consulte Cifrado de una clave maestra
con HSM.

Syslog seguro

Certificado para habilitar conexiones seguras entre el cortafuegos y un servidor Syslog.

Consulte Configuracin del cortafuegos para autenticarlo con el servidor Syslog.

CA raz de confianza

Designacin de un certificado raz emitido por una CA en la que confa el cortafuegos. El

cortafuegos puede utilizar un certificado de CA raz autofirmado para emitir certificados
automticamente para otras aplicaciones (por ejemplo, Proxy SSL de reenvo).
Asimismo, si un cortafuegos debe establecer conexiones seguras con otros cortafuegos, la
CA raz que emite sus certificados debe estar incluida en la lista de CA raz de confianza del
cortafuegos.

Gestin de certificados

115

Revocacin de certificados

Gestin de certificados

Revocacin de certificados
Los dispositivos de Palo Alto Networks utilizan certificados digitales para garantizar la confianza entre las partes
de una sesin de comunicacin segura. La configuracin de un dispositivo para que compruebe el estado de
revocacin de certificados ofrece una seguridad adicional. Una parte que presente un certificado revocado no
es fiable. Cuando un certificado forma parte de una cadena, el dispositivo comprueba el estado de cada
certificado de la cadena, excepto el certificado de CA raz, cuyo estado de revocacin no puede verificar el
dispositivo.
Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos son
un cambio de nombre, un cambio de asociacin entre el sujeto y la entidad de certificacin (por ejemplo, un
empleado cuyo contrato se resuelva) y la revelacin (confirmada o sospechada) de la clave privada. En estas
circunstancias, la entidad de certificacin que emiti el certificado deber revocarlo.
Los dispositivos de Palo Alto Networks admiten los siguientes mtodos para verificar el estado de revocacin
de certificados. Si configura los dos, los dispositivos primero intentarn utilizar el mtodo OCSP; si el servidor
OCSP no est disponible, los dispositivos utilizarn el mtodo CRL.

Lista de revocacin de certificados (CRL)

Protocolo de estado de certificado en lnea (OCSP)

En PAN-OS, la verificacin del estado de revocacin de certificados es una funcin opcional. La
prctica recomendada es habilitarla para perfiles de certificados, que definen la autenticacin de
usuarios y dispositivos para portal cautivo, GlobalProtect, VPN de sitio a sitio de IPSec y acceso
a la interfaz web del cortafuegos/Panorama.

Lista de revocacin de certificados (CRL)

Cada entidad de certificacin (CA) emite peridicamente una lista de revocacin de certificados (CRL) en un
repositorio pblico. La CRL identifica los certificados revocados por su nmero de serie. Despus de que la CA
revoque un certificado, la siguiente actualizacin de la CRL incluir el nmero de serie de ese certificado.
El cortafuegos de Palo Alto Networks descarga y guarda en cach la ltima emisin de la CRL de cada CA
incluida en la lista de CA de confianza del cortafuegos. El almacenamiento en cach solamente se aplica a
certificados validados; si un cortafuegos nunca valid un certificado, el cortafuegos no almacenar la CRL para
la CA de emisin. Asimismo, la cach solamente almacena una CRL hasta que vence.
El cortafuegos admite las CRL solo en formato de reglas de codificacin distinguida (DER). Si el cortafuegos
descarga una CRL en cualquier otro formato (como en formato de correo con privacidad mejorada o PEM),
cualquier proceso de verificacin de revocaciones que use esa CRL fallar cuando un usuario realice una
actividad que active el proceso (por ejemplo, el envo de datos SSL salientes). El cortafuegos generar un log de
sistema para el fallo de verificacin. Si la verificacin se aplicaba a un certificado SSL, el cortafuegos tambin
mostrar la pgina de respuesta de notificacin de errores de certificados SSL al usuario.
Para usar CRL para comprobar el estado de verificacin de los certificados usados para el descifrado de trfico
SSL/TLS entrante/saliente, consulte Configuracin de la verificacin de estado de certificados usados para la
descifrado de SSL/TLS.
Para utilizar las CRL para verificar el estado de revocacin de certificados que autentiquen usuarios y
dispositivos, configure un perfil de certificado y asgnelo a las interfaces especficas de la aplicacin: portal
cautivo, GlobalProtect (de usuario remoto a sitio o gran escala), VPN de sitio a sitio de IPSec o acceso a la

116

Gestin de certificados

Gestin de certificados

Revocacin de certificados

interfaz web del cortafuegos/Panorama. Para obtener ms informacin, consulte Configuracin de la

verificacin del estado de revocacin de certificados utilizados para la autenticacin de usuarios/dispositivos.

Protocolo de estado de certificado en lnea (OCSP)

Al establecer una sesin SSL/TLS, los clientes pueden utilizar el protocolo de estado de certificado en lnea
(OCSP) para comprobar el estado de revocacin del certificado de autenticacin. El cliente que realiza la
autenticacin enva una solicitud que contiene el nmero de serie del certificado al OCSP responder (servidor).
El respondedor busca en la base de datos de la entidad de certificacin (CA) que emiti el certificado y devuelve
una respuesta con el estado (Correcto, Revocado o Desconocido) al cliente. La ventaja del mtodo OCSP es que puede
verificar el estado en tiempo real, en lugar de depender de la frecuencia de emisin (cada hora, diariamente o
semanalmente) de las CRL.
El cortafuegos de Palo Alto Networks descarga y guarda en cach informacin de estado de OCSP de cada CA
incluida en la lista de CA de confianza del cortafuegos. El almacenamiento en cach solamente se aplica a
certificados validados; si un cortafuegos nunca valid un certificado, la cach del cortafuegos no almacenar la
informacin de OCSP para la CA de emisin. Si su empresa tiene su propia infraestructura de clave pblica
(PKI), puede configurar el cortafuegos como un OCSP responder (consulte Configuracin de un OCSP
Responder).
Para utilizar el OCSP para verificar el estado de revocacin de certificados cuando el cortafuegos funcione como
proxy SSL de reenvo, realice los pasos que se indican en Configuracin de la verificacin de estado de
certificados usados para la descifrado de SSL/TLS.
Las siguientes aplicaciones utilizan certificados para autenticar usuarios y/o dispositivos: portal cautivo,
GlobalProtect (de usuario remoto a sitio o gran escala), VPN de sitio a sitio de IPSec y acceso a la interfaz web
del cortafuegos/Panorama. Para utilizar OCSP para verificar el estado de revocacin de los certificados:

Configure un OCSP responder.

Habilite el servicio OCSP de HTTP en el cortafuegos.
Cree u obtenga un certificado para cada aplicacin.
Configure un perfil de certificado para cada aplicacin.
Asigne el perfil de certificado a la aplicacin relevante.

Para cubrir situaciones en las que el OCSP responder no est disponible, configure la CRL como mtodo de
retroceso. Para obtener ms informacin, consulte Configuracin de la verificacin del estado de revocacin de
certificados utilizados para la autenticacin de usuarios/dispositivos.

Gestin de certificados

117

Implementacin de certificados

Gestin de certificados

Implementacin de certificados
Los enfoques bsicos de implementacin de certificados para dispositivos de Palo Alto Networks son los
siguientes:

Obtenga certificados de una CA externa de confianza: La ventaja de obtener un certificado de una

entidad de certificacin (CA) externa de confianza como VeriSign o GoDaddy es que los clientes finales ya
confiarn en el certificado debido a que los exploradores comunes incluyen certificados de CA raz de CA
conocidas en sus almacenes de certificados raz de confianza. Por lo tanto, para aplicaciones que requieran
que los clientes finales establezcan conexiones seguras con un dispositivo de Palo Alto Networks, adquiera
un certificado de una CA en la que confen los clientes finales para no tener que implementar previamente
certificados de CA raz en los clientes finales. (Algunas de estas aplicaciones son un portal de GlobalProtect
o gestor de seguridad mvil de GlobalProtect.) Sin embargo, observe que la mayora de CA externas no
pueden emitir certificados de firma. Por lo tanto, este tipo de certificado no es adecuado para las aplicaciones
(por ejemplo, descifrado SSL/TLS y VPN a gran escala) que requieran que el cortafuegos emita certificados.
Consulte Obtencin de un certificado desde una CA externa.

Obtenga certificados de una CA de empresa: Las empresas que tengan su propia CA interna podrn
utilizarla para emitir certificados para aplicaciones de cortafuegos e importarlos en el cortafuegos. La ventaja
es que los clientes finales probablemente ya confen en la CA de empresa. Puede generar los certificados
necesarios e importarlos en el cortafuegos o generar una solicitud de firma de certificado (CSR) en el
cortafuegos y enviarla a la CA de empresa para que la firme. La ventaja de este mtodo es que la clave privada
no abandona el cortafuegos. Un CA de empresa tambin puede emitir un certificado de firma, que el
cortafuegos utiliza para generar certificados automticamente (por ejemplo, para VPN a gran escala de
GlobalProtect o sitios que requieran un descifrado SSL/TLS). Consulte Importacin de un certificado y una
clave privada.

Generacin de certificados autofirmados: Puede Creacin de un certificado de CA raz autofirmado en

el cortafuegos y usarlo para emitir automticamente certificados para otras aplicaciones de cortafuegos.
Observe que si utiliza este mtodo para generar certificados para una aplicacin que requiera que un cliente
final confe en el certificado, los usuarios finales vern un error de certificado debido a que el certificado de
CA raz no est en su almacn de certificados raz de confianza. Para evitar esto, implemente el certificado
de CA raz autofirmado en todos los sistemas de usuario final. Puede implementar los certificados
manualmente o utilizar un mtodo de implementacin centralizado como un objeto de directiva de grupo
(GPO) de Active Directory.

118

Gestin de certificados

Gestin de certificados

Configuracin de la verificacin del estado de revocacin de certificados

Configuracin de la verificacin del estado de revocacin

de certificados
Para verificar el estado de revocacin de certificados, el cortafuegos utiliza el protocolo de estado de certificado
en lnea (OCSP) y/o listas de revocacin de certificados (CRL). Si desea informacin detallada de estos
mtodos, consulte Revocacin de certificados Si configura ambos mtodos, el cortafuegos primero intentar
utilizar el OCSP y solamente retroceder al mtodo CRL si el OCSP responder no est disponible. Si su empresa
tiene su propia infraestructura de clave pblica (PKI), puede configurar el cortafuegos para que funcione como
el OCSP responder.
Los siguientes temas describen cmo configurar el cortafuegos para verificar el estado de revocacin de
certificados:

Configuracin de un OCSP Responder

Configuracin de la verificacin del estado de revocacin de certificados utilizados para la

autenticacin de usuarios/dispositivos

Configuracin de la verificacin de estado de certificados usados para la descifrado de SSL/TLS

Configuracin de un OCSP Responder

Para utilizar el protocolo de estado de certificado en lnea (OCSP) para verificar el estado de revocacin de
certificados, debe configurar el cortafuegos para que acceda a un OCSP responder (servidor). La entidad que
gestiona el OCSP responder puede ser una entidad de certificacin (CA) externa o, si su empresa tiene su propia
infraestructura de clave pblica (PKI), el propio cortafuegos. Si desea informacin detallada sobre OCSP,
consulte Revocacin de certificados

Gestin de certificados

119

Configuracin de la verificacin del estado de revocacin de certificados

Gestin de certificados

Configuracin de un OCSP responder

Paso 1

Defina un OCSP responder.

1.

En un cortafuegos, seleccione Dispositivo > Gestin de

certificados > OCSP responder y haga clic en Aadir.
En Panorama, seleccione Dispositivo > Gestin de
certificados > OCSP responder, seleccione una Plantilla y
haga clic en Aadir.

2.

Introduzca un Nombre para identificar al respondedor (hasta

31 caracteres). El nombre distingue entre maysculas y
minsculas. Debe ser exclusivo y utilizar nicamente letras,
nmeros, espacios, guiones y guiones bajos.

3.

Si el cortafuegos admite varios sistemas virtuales, el cuadro de

dilogo muestra el men desplegable Ubicacin. Seleccione el
sistema virtual donde el respondedor estar disponible o
seleccione Compartido para habilitar la disponibilidad en todos
los sistemas virtuales.

4.

En el campo Nombre de host, introduzca el nombre de host

(recomendado) o la direccin IP del OCSP responder. A partir
de este valor, PAN-OS deriva automticamente una URL y la
aade al certificado que se est verificando.
Si configura el propio cortafuegos como OCSP responder, el
nombre de host debe resolverse en una direccin IP de la
interfaz que utiliza el cortafuegos para servicios de OCSP
(especificado en el Paso 3).

5.
Paso 2

Habilite la comunicacin de OCSP en el

cortafuegos.

1.

Haga clic en ACEPTAR.

En un cortafuegos, seleccione Dispositivo > Configuracin >
Gestin.

En Panorama, seleccione Dispositivo > Configuracin >

Gestin y seleccione una Plantilla.
2.

Paso 3

120

Opcionalmente, para configurar el propio 1.

cortafuegos como OCSP responder,
2.
aada un perfil de gestin de interfaz a la
interfaz utilizada para servicios OCSP.
3.

En la seccin Configuracin de interfaz de gestin, edite para

seleccionar la casilla de verificacin OCSP de HTTP y haga clic
en ACEPTAR.
Seleccione Red > Perfiles de red > Gestin de interfaz.
Haga clic en Aadir para crear un nuevo perfil o haga clic en el
nombre de un perfil existente.
Seleccione la casilla de verificacin OCSP de HTTP y haga clic
en ACEPTAR.

4.

Seleccione Red > Interfaces y haga clic en el nombre de la

interfaz que utilizar el cortafuegos para servicios OCSP. El
Nombre de host de OCSP que se especific en el Paso 1 debe
resolverse con una direccin IP en esta interfaz.

5.

Seleccione Avanzada > Otra informacin y seleccione el perfil

de gestin de interfaz que configur.

6.

Haga clic en ACEPTAR y Confirmar.

Gestin de certificados

Gestin de certificados

Configuracin de la verificacin del estado de revocacin de certificados

Configuracin de la verificacin del estado de revocacin de certificados

utilizados para la autenticacin de usuarios/dispositivos
El cortafuegos utiliza certificados para autenticar usuarios y dispositivos para aplicaciones tales como portal
cautivo, GlobalProtect, VPN de sitio a sitio de IPSec y acceso a la interfaz web del cortafuegos/Panorama. Para
mejorar la seguridad, la prctica recomendada es configurar el cortafuegos para que verifique el estado de
revocacin de certificados que utilice para la autenticacin de dispositivos/usuarios.
Configuracin de la verificacin del estado de revocacin de certificados utilizados para la autenticacin de
usuarios/dispositivos

Paso 1

Configuracin de un perfil de certificado Asigne uno o ms certificados CA raz al perfil y seleccione el modo
para cada aplicacin.
en que el cortafuegos verifica el estado de revocacin de certificados.
El nombre comn (FQDN o direccin IP) de un certificado debe
coincidir con una interfaz en la que aplique el perfil del Paso 2.
Si desea informacin detallada sobre los certificados que utilizan las
distintas aplicaciones, consulte Claves y certificados

Paso 2

Asigne los perfiles de certificados a las

aplicaciones relevantes.

Los pasos para asignar un perfil de certificado dependen de la

aplicacin que lo requiera.

Configuracin de la verificacin de estado de certificados usados para la

descifrado de SSL/TLS
El cortafuegos descifra el trfico SSL/TLS entrante y saliente para aplicar reglas y polticas de seguridad y
despus vuelve a cifrar el trfico antes de reenviarlo. (Si desea informacin detallada, consulte Inspeccin de
entrada SSL y Proxy SSL de reenvo.) Puede configurar el cortafuegos para comprobar el estado de revocacin
de los certificados usados para la descripcin como sigue.
Si habilita la verificacin del estado de revocacin de certificados de descifrado SSL/TLS,
aadir tiempo al proceso de establecimiento de la sesin. El primer intento de acceder a un sitio
puede fallar si la verificacin no termina antes de que se acabe el tiempo de espera de la sesin.
Por estos motivos, la verificacin est deshabilitada de manera predeterminada.

Configuracin de la verificacin de estado de certificados usados para la descifrado de SSL/TLS

Paso 1

Acceda a la pgina
Configuracin de revocacin
de certificado de descifrado.

En un cortafuegos, seleccione Dispositivo > Configuracin > Sesin y, en la

seccin Caractersticas de sesin, seleccione Configuracin de revocacin de
certificado de descifrado.
En Panorama, seleccione Dispositivo > Configuracin > Sesin, seleccione
una Plantilla y, en la seccin Caractersticas de sesin, seleccione
Configuracin de revocacin de certificado de descifrado.

Gestin de certificados

121

Configuracin de la verificacin del estado de revocacin de certificados

Gestin de certificados

Configuracin de la verificacin de estado de certificados usados para la descifrado de SSL/TLS

Paso 2

Defina los intervalos de tiempo

de espera especficos de
servicio para las solicitudes de
estado de revocacin.

Realice uno de los siguientes pasos o ambos, en funcin de su el cortafuegos

va a usar Protocolo de estado de certificado en lnea (OCSP) o el mtodo Lista
de revocacin de certificados (CRL) para comprobar el estado de revocacin
de los certificados. Si el cortafuegos utiliza ambos, primero intentar utilizar
OCSP; si el OCSP responder no est disponible, entonces el cortafuegos
intenta utilizar el mtodo CRL.
1. En la seccin CRL, seleccione la casilla de verificacin Habilitar e
introduzca el Tiempo de espera de recepcin. Este es el intervalo
(1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta
del servicio CRL.
2.

En la seccin OCSP, seleccione la casilla de verificacin Habilitar e

introduzca el Tiempo de espera de recepcin. Este es el intervalo
(1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta
del OCSP responder.

Dependiendo del valor de Tiempo de espera del estado del certificado que
especifique en el Paso 3, puede que el cortafuegos registre un tiempo de espera
antes de que pase cualquiera de los intervalos de Tiempo de espera de
recepcin o ambos.
Paso 3

Defina el intervalo de tiempo

de espera total para las
solicitudes de estado de
revocacin.

Introduzca el Tiempo de espera del estado del certificado. Este es el

intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una
respuesta de cualquier servicio de estado de certificado y aplica la lgica de
bloqueo de sesin que puede definir en el Paso 4. El Tiempo de espera del
estado del certificado se relaciona con el Tiempo de espera de recepcin de
OCSP/CRL de la manera siguiente:
Si habilita tanto OCSP como CRL: El cortafuegos registra un tiempo de
espera de solicitud despus de que pase el menor de dos intervalos: el valor
de Tiempo de espera del estado del certificado o la suma de los dos
valores de Tiempo de espera de recepcin.
Si habilita nicamente OCSP: El cortafuegos registra un tiempo de espera
de solicitud despus de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepcin de OCSP.
Si habilita nicamente CRL: El cortafuegos registra un tiempo de espera de
solicitud despus de que pase el menor de dos intervalos: el valor de Tiempo
de espera del estado del certificado o el valor de Tiempo de espera de
recepcin de CRL.

Paso 4

Defina el comportamiento de
bloqueo para el estado de
certificado Desconocido o un
tiempo de espera de solicitud
de estado de revocacin.

Si desea que el cortafuegos bloquee sesiones SSL/TLS cuando el servicio

OCSP o CRL devuelva el estado de revocacin de certificados Desconocido,
seleccione la casilla de verificacin Bloquear sesin con estado de certificado
desconocido. De lo contrario, el cortafuegos continuar con la sesin.
Si desea que el cortafuegos bloquee sesiones SSL/TLS despus de que registre
un tiempo de espera de solicitud, seleccione la casilla de verificacin Bloquear
sesin al agotar el tiempo de espera de comprobacin de estado de
certificado. De lo contrario, el cortafuegos continuar con la sesin.

Paso 5

122

Guarde y aplique sus entradas. Haga clic en ACEPTAR y Confirmar.

Gestin de certificados

Gestin de certificados

Configuracin de la clave maestra

Configuracin de la clave maestra

Cada cortafuegos tiene una clave maestra predeterminada que cifra las claves privadas y otros secretos (como
contraseas y claves compartidas). La clave privada autentica a los usuarios cuando acceden a interfaces
administrativas del cortafuegos. La prctica recomendada para proteger las claves es configurar la clave maestra
en cada cortafuegos para que sea exclusiva y cambiarla peridicamente. Para mayor seguridad, utilice una clave
de ajuste almacenada en un mdulo de seguridad de hardware (HSM) para cifrar la clave maestra. Para obtener
ms informacin, consulte Cifrado de una clave maestra con HSM.
En una configuracin de alta disponibilidad (HA), asegrese de que ambos dispositivos del par
utilizan la misma clave maestra para cifrar claves privadas y certificados. Si las claves maestras
son diferentes, la sincronizacin de la configuracin de HA no funcionar correctamente.
Cuando exporta una configuracin de cortafuegos, la clave maestra cifra las contraseas de los
usuarios gestionados en servidores externos. Para los usuarios gestionados localmente, el
cortafuegos aade hash a las contraseas pero la clave maestra no las cifra.

Configuracin de una clave maestra

1.

En un cortafuegos, seleccione Dispositivo > Clave maestra y diagnstico y, en la seccin Clave maestra, haga clic
en el icono Editar.
En Panorama, seleccione Panorama > Clave maestra y diagnstico y, en la seccin Clave maestra, haga clic en el
icono Editar.

2.

Introduzca la Clave maestra actual, si existe.

3.

Defina una Nueva clave principal y, a continuacin, seleccione la accin Confirmar clave maestra. La clave debe
contener exactamente 16 caracteres.

4.

(Opcional) Para especificar la Duracin de la clave maestra, introduzca el nmero de Das y/u Horas tras los cuales
vencer la clave. Si establece una duracin, cree una nueva clave maestra antes de que venza la clave anterior.

5.

(Opcional) Si establece la duracin de una clave, introduzca un Tiempo para el recordatorio que especifique el
nmero de Das y Horas que precedan al vencimiento de la clave maestra cuando el cortafuegos le enviar un
recordatorio por correo electrnico.

6.

(Opcional) Seleccione si desea utilizar un HSM para cifrar la clave maestra. Para obtener ms informacin, consulte
Cifrado de una clave maestra con HSM.

7.

Haga clic en ACEPTAR y Confirmar.

Gestin de certificados

123

Obtencin de certificados

Gestin de certificados

Obtencin de certificados

Creacin de un certificado de CA raz autofirmado

Generacin de un certificado en un cortafuegos

Importacin de un certificado y una clave privada

Obtencin de un certificado desde una CA externa

124

Gestin de certificados

Gestin de certificados

Obtencin de certificados

Creacin de un certificado de CA raz autofirmado

Un certificado de una entidad de certificacin (CA) raz autofirmado es el certificado de mayor nivel de una
cadena de certificados. Un cortafuegos puede utilizar este certificado para emitir certificados automticamente
para otros usos. Por ejemplo, el cortafuegos emite certificados para el descifrado SSL/TLS y para dispositivos
satlite de una VPN a gran escala de GlobalProtect.
Al establecer una conexin segura con el cortafuegos, el cliente remoto debe confiar en la CA raz que emiti el
certificado. De lo contrario, el explorador del cliente mostrar una advertencia indicando que el certificado no
es vlido y podra (dependiendo de la configuracin de seguridad) bloquear la conexin. Para evitar esto, despus
de generar el certificado de CA raz autofirmado, imprtelo en los sistemas cliente.
Generacin de un certificado de CA raz autofirmado

1.

En un cortafuegos, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.

2.

Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione un
sistema virtual para el certificado. Para que el certificado est disponible para todos los sistemas virtuales, seleccione
la opcin compartida descrita en el Paso 6.

3.

Haga clic en Generar.

4.

Introduzca un Nombre de certificado, como GlobalProtect_CA. El nombre distingue entre maysculas y minsculas
y puede tener hasta 31 caracteres. Debe ser exclusivo y utilizar nicamente letras, nmeros, guiones y guiones bajos.

5.

En el campo Nombre comn, introduzca el FQDN (recomendado) o la direccin IP de la interfaz en la que

configurar el servicio que utilizar este certificado.

6.

Para que el certificado est disponible para todos los sistemas virtuales, seleccione la casilla de verificacin
Compartido. Esta casilla de verificacin solo aparece si el dispositivo admite mltiples sistemas virtuales.

7.

Deje el campo Firmado por en blanco para designar el certificado como autofirmado.

8.

Seleccione la casilla de verificacin Autoridad del certificado.

9.

No seleccione un OCSP responder. La verificacin del estado de revocacin de certificados no se aplica a certificados
de CA raz.

10. Haga clic en Generar y Confirmar.

Gestin de certificados

125

Obtencin de certificados

Gestin de certificados

Generacin de un certificado en un cortafuegos

El cortafuegos utiliza certificados para autenticar clientes, servidores, usuarios y dispositivos en varias
aplicaciones, entre las que se incluyen descifrado SSL/TLS, portal cautivo, GlobalProtect, VPN de sitio a sitio
de IPSec y acceso a la interfaz web del cortafuegos/Panorama. Genere certificados para cada uso. Si desea
informacin detallada sobre certificados especficos de aplicaciones, consulte Claves y certificados
Para generar un certificado, primero debe crear o importar un certificado de CA raz para firmarlo. Si desea
informacin detallada, consulte Creacin de un certificado de CA raz autofirmado o Importacin de un
certificado y una clave privada.
Para utilizar el protocolo de estado de certificado en lnea (OCSP) para verificar el estado de revocacin de
certificados, realice la accin de Configuracin de un OCSP Responder antes de generar el certificado. Si desea
informacin detallada sobre la verificacin del estado, consulte Revocacin de certificados
Generacin de un certificado en el cortafuegos

1.

En un cortafuegos, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.

2.

Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione un
sistema virtual para el certificado. Para que el certificado est disponible para todos los sistemas virtuales, seleccione
la opcin compartida descrita en el Paso 6.

3.

Haga clic en Generar.

4.

Introduzca un nombre de certificado. El nombre distingue entre maysculas y minsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar nicamente letras, nmeros, guiones y guiones bajos.

5.

En el campo Nombre comn, introduzca el FQDN (recomendado) o la direccin IP de la interfaz en la que

configurar el servicio que utilizar este certificado.

6.

Para que el certificado est disponible para todos los sistemas virtuales, seleccione la casilla de verificacin
Compartido. Esta casilla de verificacin solo aparece si el dispositivo admite mltiples sistemas virtuales.

7.

En el campo Firmado por, seleccione el certificado de CA raz que emitir el certificado.

8.

Si es aplicable, seleccione un OCSP responder.

9.

(Opcional) Defina la Configuracin criptogrfica segn sea necesario para crear un certificado que funcione con
los dispositivos que deben autenticarse con l. El tamao de clave predeterminado y recomendado (Nmero de bits)
es 2048 bits. El algoritmo de cifrado predeterminado y recomendado (Resumen) es SHA256.

10. (Opcional) Deber Aadir los Atributos del certificado para identificar de manera exclusiva el cortafuegos y el
servicio que vaya a utilizar el certificado.
Si aade un atributo Nombre de host (nombre DNS), la prctica recomendada es que coincida con el Nombre
comn. El nombre de host cumplimenta el campo Nombre alternativo del asunto (SAN) del certificado.
11. Haga clic en Generar y, en la pestaa Certificados de dispositivos, haga clic en el Nombre del certificado.
12. Seleccione las casillas de verificacin que se correspondan con el uso que se pretende dar al certificado en el
cortafuegos. Por ejemplo, si el cortafuegos va a utilizar este certificado para autenticar el acceso de usuario a su
interfaz web, seleccione la casilla de verificacin Certificado de GUI web segura.
13. Haga clic en ACEPTAR y Confirmar.

126

Gestin de certificados

Gestin de certificados

Obtencin de certificados

Importacin de un certificado y una clave privada

Si su empresa tiene su propia infraestructura de clave pblica (PKI), puede importar un certificado y una clave
privada en el cortafuegos desde la entidad de certificacin (CA) de su empresa. Los certificados de CA de
empresa (a diferencia de la mayora de certificados adquiridos a una CA externa de confianza) pueden emitir
automticamente certificados de CA para aplicaciones como el descifrado SSL/TLS o VPN a gran escala.
En lugar de importar un certificado de CA raz autofirmado en todos los sistemas cliente, la
prctica recomendada es importar un certificado desde la CA de la empresa, dado que los
clientes ya mantienen una relacin de confianza con la CA de la empresa, lo cual simplifica la
implementacin.
Si el certificado que va a importar forma parte de una cadena de certificados, la prctica
recomendada es importar toda la cadena.

Importacin de un certificado y una clave privada

1.

Desde la CA de la empresa, exporte el certificado y la clave privada que el cortafuegos utilizar para la autenticacin.
Al exportar una clave privada, debe introducir una frase de contrasea para cifrar la clave para su transporte.
Asegrese de que el sistema de gestin puede acceder a los archivos de l certificado y clave. Al importar la clave en
el cortafuegos, debe introducir la misma frase de contrasea para descifrarla.

2.

En un cortafuegos, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.

3.

Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione un
sistema virtual para el certificado. Para que el certificado est disponible para todos los sistemas virtuales, seleccione
la opcin compartida descrita en el Paso 6.

4.

Haga clic en Importar.

5.

Introduzca un nombre de certificado. El nombre distingue entre maysculas y minsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar nicamente letras, nmeros, guiones y guiones bajos.

6.

Para que el certificado est disponible para todos los sistemas virtuales, seleccione la casilla de verificacin
Compartido. Esta casilla de verificacin solo aparece si el dispositivo admite mltiples sistemas virtuales.

7.

Introduzca la ruta y el nombre del Archivo de certificado que recibi de la CA o seleccione Examinar para buscar
el archivo.

8.

Seleccione un Formato de archivo:

Clave privada cifrada y certificado (PKCS12): Este es el formato predeterminado y ms comn, en el que la clave
y el certificado estn en un nico contenedor (Archivo del certificado). Si un mdulo de seguridad de hardware
(HSM) va a almacenar la clave privada para este certificado, seleccione la casilla de verificacin La clave privada
reside en el mdulo de seguridad de hardware.
Certificado codificado en Base64 (PEM): Debe importar la clave independientemente del certificado. Si un
mdulo de seguridad de hardware (HSM) almacena la clave privada para este certificado, seleccione la casilla de
verificacin La clave privada reside en el mdulo de seguridad de hardware y omita el paso 9. De lo contrario,
seleccione la casilla de verificacin Importar clave privada, introduzca Archivo de clave o Examinar y realice el
paso 9.

9.

Introduzca y vuelva a introducir (confirme) la Frase de contrasea utilizada para cifrar la clave privada.

10. Haga clic en ACEPTAR. La pestaa Certificados de dispositivos muestra el certificado importado.

Gestin de certificados

127

Obtencin de certificados

Gestin de certificados

Obtencin de un certificado desde una CA externa

La ventaja de obtener un certificado de una entidad de certificacin (CA) externa es que la clave privada no
abandona el cortafuegos. Para obtener un certificado de una CA externa, genere una solicitud de firma de
certificado (CSR) y envela a la CA. Despus de que la CA emita un certificado con los atributos especiales,
imprtelo en el cortafuegos. La CA puede ser una CA pblica conocida o una CA de la empresa.
Para utilizar el protocolo de estado de certificacin en lnea (OCSP) para verificar el estado de revocacin del
certificado, realice la accin de Configuracin de un OCSP Responder antes de generar la CSR.
Obtencin de un certificado de una CA externa

Paso 1

Solicite el certificado de una CA externa. 1.

En un cortafuegos, seleccione Dispositivo > Gestin de

certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados
> Certificados > Certificados de dispositivos y seleccione una
Plantilla.

2.

Si el dispositivo admite varios sistemas virtuales, la pestaa

muestra el men desplegable Ubicacin. Seleccione un sistema
virtual para el certificado. Para que el certificado est disponible
para todos los sistemas virtuales, seleccione la opcin
compartida descrita en el subpaso 6.

3.

Haga clic en Generar.

4.

Introduzca un Nombre del certificado. El nombre distingue

entre maysculas y minsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar nicamente letras,
nmeros, guiones y guiones bajos.

5.

En el campo Nombre comn, introduzca el FQDN

(recomendado) o la direccin IP de la interfaz en la que
configurar el servicio que utilizar este certificado.

6.

Para que el certificado est disponible para todos los sistemas

virtuales, seleccione la casilla de verificacin Compartido. Esta
casilla de verificacin solo aparece si el dispositivo admite
mltiples sistemas virtuales.

7.

En el campo Firmado por, seleccione Autoridad externa

(CSR).

8.

Si procede, seleccione un OCSP Responder.

9.

(Opcional) Deber Aadir los Atributos del certificado para

identificar de manera exclusiva el cortafuegos y el servicio que
vaya a utilizar el certificado.
Si aade un atributo Nombre de host, la prctica
recomendada es que coincida con el Nombre comn
(esto es obligatorio para GlobalProtect). El nombre de
host cumplimenta el campo Nombre alternativo del
asunto (SAN) del certificado.

10. Haga clic en Generar. La pestaa Certificados de dispositivos

muestra la CSR con el estado Pendiente.

128

Gestin de certificados

Gestin de certificados

Obtencin de certificados

Obtencin de un certificado de una CA externa

Paso 2

Paso 3

Paso 4

Enve la CSR a la CA.

Importe el certificado.

Configure el certificado.

Gestin de certificados

1.

Seleccione la CSR y haga clic en Exportar para guardar el

archivo .csr en un equipo local.

2.

Cargue el archivo .csr en la CA.

1.

Cuando la CA enve el certificado firmado en respuesta a la

CSR, vuelva a la pestaa Certificados de dispositivos y haga
clic en Importar.

2.

Introduzca el Nombre de certificado utilizado para generar la

CSR en el Paso 1-4.

3.

Introduzca la ruta y el nombre del Archivo del certificado

PEM que envi la CA o seleccione Examinar para buscarlo.

4.

Haga clic en ACEPTAR. La pestaa Certificados de

dispositivos muestra el certificado de un estado de vlido.

1.

Haga clic en el Nombre del certificado.

2.

Seleccione las casillas de verificacin que se correspondan con

el uso que se pretende dar al certificado en el cortafuegos. Por
ejemplo, si el cortafuegos va a utilizar este certificado para
autenticar a los administradores que acceden a la interfaz web,
seleccione la casilla de verificacin Certificado de GUI web
segura.

3.

Haga clic en ACEPTAR y Confirmar.

129

Configuracin de un perfil de certificado

Gestin de certificados

Configuracin de un perfil de certificado

Los perfiles de certificados definen la autenticacin de usuarios y dispositivos para portal cautivo,
GlobalProtect, VPN de sitio a sitio de IPSec, gestor de seguridad mvil y acceso a la interfaz web del
cortafuegos/Panorama. Los perfiles especifican qu certificados deben utilizarse, cmo verificar el estado de
revocacin de certificados y cmo restringe el acceso dicho estado. Configure un perfil de certificado para cada
aplicacin.
La prctica recomendada es habilitar el protocolo de estado de certificado en lnea (OCSP) y/o
la verificacin del estado de la lista de revocacin de certificados (CRL) para perfiles de
certificados. Si desea informacin detallada sobre estos mtodos consulte Revocacin de
certificados.

Configuracin de un perfil de certificado

Paso 1

Obtenga los certificados de la entidad de Realice uno de los pasos siguientes para obtener los certificados de
certificacin (CA) que asignar.
CA que asignar al perfil. Debe asignar al menos uno.
Generacin de un certificado en un cortafuegos.
Exporte un certificado de la CA de su empresa y, a continuacin,
imprtelo en el cortafuegos (consulte Paso 3).

Paso 2

Identifique el perfil de certificado.

1.

En un cortafuegos, seleccione Dispositivo > Gestin de

certificados > Perfil del certificado y haga clic en Aadir.
En Panorama, seleccione Dispositivo > Gestin de certificados
> Perfil del certificado, seleccione una Plantilla y haga clic en
Aadir.

130

2.

Introduzca un Nombre para identificar el perfil. El nombre

distingue entre maysculas y minsculas. Debe ser exclusivo y
utilizar nicamente letras, nmeros, espacios, guiones y guiones
bajos. Puede tener hasta 31 caracteres.

3.

Si el cortafuegos admite varios sistemas virtuales, el cuadro de

dilogo muestra el men desplegable Ubicacin. Seleccione el
sistema virtual donde el perfil estar disponible o seleccione
Compartido para habilitar la disponibilidad en todos los
sistemas virtuales.

Gestin de certificados

Gestin de certificados

Configuracin de un perfil de certificado

Configuracin de un perfil de certificado

Paso 3

Asigne uno o ms certificados.

Realice los siguientes pasos para cada certificado:

1. En la tabla Certificados de CA, haga clic en Aadir.
2.

Seleccione un Certificado de CA del Paso 1 o haga clic en

Importar y realice los siguientes subpasos:
a. Introduzca un nombre de certificado.
b. Introduzca la ruta y el nombre del Archivo de certificado
que export desde la CA de su empresa o seleccione
Examinar para buscar el archivo.
c. Haga clic en ACEPTAR.

3.

Opcionalmente, si el cortafuegos utiliza OCSP para verificar el

estado de revocacin de certificados, configure los siguientes
campos para cancelar el comportamiento predeterminado. Para
la mayora de las implementaciones, estos campos no son
aplicables.
De manera predeterminada, el cortafuegos utiliza la URL del
OCSP responder que estableci en el procedimiento
Configuracin de un OCSP Responder. Para cancelar ese
ajuste, introduzca una URL de OCSP predeterminada (que
comience por http:// o https://).
De manera predeterminada, el cortafuegos utiliza el
certificado seleccionado en el campo Certificado de CA para
validar las respuestas de OCSP. Para utilizar un certificado
diferente para la validacin, seleccinelo en el campo
Verificacin de certificado CA con OCSP.

4.

Gestin de certificados

Haga clic en ACEPTAR. La tabla Certificados de CA muestra el

certificado asignado.

131

Configuracin de un perfil de certificado

Gestin de certificados

Configuracin de un perfil de certificado

Paso 4

Defina los mtodos para verificar el

estado de revocacin de certificados y el
comportamiento de bloqueo asociado.

1.

Seleccione Utilizar CRL y/o Utilizar OCSP. Si selecciona

ambos, el cortafuegos probar primero con OCSP y volver al
mtodo CRL solo si OCSP responder no est disponible.

2.

Dependiendo del mtodo de verificacin, introduzca el Tiempo

de espera de recepcin de CRL y/o Tiempo de espera de
recepcin de OCSP. Estos son los intervalos (1-60 segundos)
tras los cuales el cortafuegos deja de esperar una respuesta del
servicio CRL/OCSP.

3.

Introduzca el Tiempo de espera del estado del certificado.

Este es el intervalo (1-60 segundos) tras el cual el cortafuegos
deja de esperar una respuesta de cualquier servicio de estado de
certificado y aplica la lgica de bloqueo de sesin que defina. El
Tiempo de espera del estado del certificado se relaciona con
el Tiempo de espera de recepcin de OCSP/CRL de la
manera siguiente:
Si habilita tanto OCSP como CRL: El cortafuegos registra
un tiempo de espera de solicitud despus de que pase el
menor de dos intervalos: el valor de Tiempo de espera del
estado del certificado o la suma de los dos valores de
Tiempo de espera de recepcin.
Si habilita nicamente OCSP: El cortafuegos registra un
tiempo de espera de solicitud despus de que pase el menor
de dos intervalos: el valor de Tiempo de espera del estado
del certificado o el valor de Tiempo de espera de
recepcin de OCSP.
Si habilita nicamente CRL: El cortafuegos registra un
tiempo de espera de solicitud despus de que pase el menor
de dos intervalos: el valor de Tiempo de espera del estado
del certificado o el valor de Tiempo de espera de
recepcin de CRL.

4.

Si desea que el cortafuegos bloquee sesiones cuando el servicio

OCSP o CRL devuelva el estado de revocacin de certificados
Desconocido, seleccione la casilla de verificacin Bloquear una
sesin si el estado del certificado es desconocido. De lo
contrario, el cortafuegos continuar con la sesin.

5.

Si desea que el cortafuegos bloquee sesiones despus de que

registre un tiempo de espera de solicitud de OCSP o CRL,
seleccione la casilla de verificacin Bloquear una sesin si no
se puede recuperar el estado del certificado dentro del
tiempo de espera. De lo contrario, el cortafuegos continuar

con la sesin.
Paso 5

132

Guarde y aplique sus entradas.

Haga clic en ACEPTAR y Confirmar.

Gestin de certificados

Gestin de certificados

Configuracin del tamao de clave para los certificados de servidor proxy SSL de reenvo

Configuracin del tamao de clave para los certificados de

servidor proxy SSL de reenvo
Cuando responde a un cliente en una sesin de Proxy SSL de reenvo, el cortafuegos crea una copia del
certificado que le presenta el servidor de destino y lo usa para establecer su conexin con el cliente. Por defecto,
el cortafuegos genera certificados con el mismo tamao de clave que el certificado que le ha presentado el
servidor de destino. Sin embargo, puede cambiar el tamao de la clave que usa el cortafuegos para generar
certificados para establecer sesiones entre s y los clientes como sigue:
Configuracin del tamao de clave para las comunicaciones de servidor proxy SSL de reenvo

Paso 1

Seleccione Dispositivo > Configuracin > Sesin y, en la seccin Configuracin de descifrado, haga clic en
Configuracin de certificados de servidor proxy de reenvo.

Paso 2

Seleccione un Tamao de clave:

Definido por el host de destino: El cortafuegos determina el tamao de clave de los certificados que genera
para establecer las sesiones de proxy SSL con clientes en funcin del tamao de clave del certificado del
servidor de destino. Si el servidor de destino usa una clave RSA de 1024 bits, el cortafuegos genera un
certificado con un tamao de clave y un algoritmo hash SHA-1. Si el servidor de destino usa un tamao de
clave superior a 1024 bits (por ejemplo, 2048 bits o 4096 bits), el cortafuegos genera un certificado que usar
una clave RSA de 2048 bits y un algoritmo SHA-256. Es el ajuste predeterminado.
RSA de 1024 bits: El cortafuegos genera certificados que usan una clave RSA de 1024 bits y un algoritmo de
hash SHA-1 independiente del tamao de clave de los certificados del servidor de destino. A fecha de 31 de
diciembre de 2013, las entidades de certificacin pblicas (CA) y navegadores ms populares han limitado la
compatibilidad con los certificados X.509 que utilizan claves de menos de 2048 bits. En el futuro, en funcin
de los ajustes de seguridad, cuando aparezcan esas claves el navegador puede advertir al usuario o bloquear
la sesin SSL/TLS por completo.
RSA de 2048 bits: El cortafuegos genera certificados que usan una clave RSA de 2048 bits y un algoritmo de
hash SHA-256 independiente del tamao de clave de los certificados del servidor de destino. Las CA pblicas
y los navegadores ms populares admiten claves de 2048 bits, que proporcionan ms seguridad que las claves
de 1024 bits.
El cambio del ajuste del tamao de la clave borra la cach del certificado actual.

Paso 3

Haga clic en Aceptar y Compilar.

Gestin de certificados

133

Revocacin y renovacin de certificados

Gestin de certificados

Revocacin y renovacin de certificados

Revocacin de un certificado

Renovacin de un certificado

Revocacin de un certificado
Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos son
un cambio de nombre, un cambio de asociacin entre el sujeto y la entidad de certificacin (por ejemplo, un
empleado cuyo contrato se resuelva) y la revelacin (confirmada o sospechada) de la clave privada. En estas
circunstancias, la entidad de certificacin (CA) que emiti el certificado deber revocarlo. La siguiente tarea
describe cmo revocar un certificado para el que el cortafuegos sea la CA.
Revocacin de un certificado

1.

Seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.

2.

Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione el
sistema virtual al que pertenece el certificado.

3.

Seleccione el certificado que desea revocar.

4.

Haga clic en Revocar. PAN-OS inmediatamente establece el estado del certificado como revocado y aade el nmero
de serie a la cach del respondedor del protocolo de estado de certificado en lnea (OCSP) o la lista de revocacin
de certificados (CRL). No necesita realizar una confirmacin.

Renovacin de un certificado
Si un certificado vence, o lo har pronto, puede restablecer el perodo de validez. Si una entidad de certificacin
(CA) externa firm el certificado y el cortafuegos utiliza el protocolo de estado de certificado en lnea (OCSP)
para verificar el estado de revocacin de certificados, el cortafuegos utilizar informacin del OCSP responder
para actualizar el estado del certificado (consulte Configuracin de un OCSP Responder). Si el cortafuegos es
la CA que emiti el certificado, el cortafuegos lo sustituir por un nuevo certificado que tenga un nmero de
serie diferente pero los mismos atributos que el certificado anterior.
Renovacin de un certificado

1.

En un cortafuegos, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.

2.

Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione el
sistema virtual al que pertenece el certificado.

3.

Seleccione el certificado que desea renovar y haga clic en Renovar.

4.

Introduzca un Nuevo intervalo de vencimiento (en das).

5.

Haga clic en ACEPTAR y Confirmar.

134

Gestin de certificados

Gestin de certificados

Claves seguras con un mdulo de seguridad de hardware

Claves seguras con un mdulo de seguridad de hardware

Un mdulo de seguridad de hardware (HSM) es un dispositivo fsico que gestiona claves digitales. Un HSM
proporciona un almacenamiento seguro y la generacin de claves digitales. Ofrece tanto proteccin lgica como
fsica de estos materiales ante un uso no autorizado y posibles atacantes.
Los clientes HSM integrados con dispositivos de Palo Alto Networks habilitan una seguridad mejorada para las
claves privadas utilizadas en el descifrado SSL/TLS (tanto el proxy SSL de reenvo como la inspeccin de
entrada SSL). Adems, puede utilizar el HSM para cifrar claves maestras de dispositivos.
Los siguientes temas describen cmo integrar un HSM con sus dispositivos de Palo Alto Networks:

Configuracin de la conectividad con un HSM

Cifrado de una clave maestra con HSM

Almacenamiento de claves privadas en un HSM

Gestin de la implementacin del HSM

Gestin de certificados

135

Claves seguras con un mdulo de seguridad de hardware

Gestin de certificados

Configuracin de la conectividad con un HSM

Los clientes HSM estn integrados con los cortafuegos de las series PA-3000, PA-4000, PA-5000, PA-7050 y
VM-Series y en Panorama (dispositivo virtual y dispositivo M-100) para su uso con los siguientes HSM:

SafeNet Luna SA 5.2.1 o posterior

Thales Nshield Connect 11.62 o posterior

La versin del servidor HSM debe ser compatible con estas versiones de cliente. Consulte la
documentacin del proveedor del HSM para conocer la matriz de compatibilidad de la versin de
servidor cliente.

Los siguientes temas describen cmo configurar la conectividad entre el cortafuegos/Panorama y uno de los
HSM admitidos:

Configuracin de la conectividad con un HSM SafeNet Luna SA

Configuracin de la conectividad con un HSM Thales Nshield Connect

Configuracin de la conectividad con un HSM SafeNet Luna SA

Para configurar la conectividad entre el dispositivo de Palo Alto Networks y un HSM SafeNet Luna SA, debe
especificar la direccin del servidor HSM y la contrasea para conectarse a l en la configuracin del
cortafuegos. Adems, debe registrar el cortafuegos con el servidor HSM. Antes de comenzar la configuracin,
asegrese de que ha creado una particin para los dispositivos de Palo Alto Networks en el servidor HSM.
La configuracin del HSM no est sincronizada entre peers de cortafuegos de alta disponibilidad.
Por consiguiente, deber configurar el HSM por separado en cada uno de los peers.
En implementaciones de HA activas-pasivas, deber realizar manualmente una conmutacin por
error para configurar y autenticar cada peer de HA individualmente en el HSM. Despus de
realizar esta conmutacin por error manual, la interaccin del usuario no ser necesaria para la
funcin de conmutacin por error.

136

Gestin de certificados

Gestin de certificados

Claves seguras con un mdulo de seguridad de hardware

Configuracin de la conectividad con un HSM SafeNet Luna SA

Paso 1

Configure el cortafuegos para

que se comunique con el HSM
SafeNet Luna SA.

1.

Inicie sesin en la interfaz web del cortafuegos y seleccione

Dispositivo > Configuracin > HSM.

2.

Edite la seccin Proveedor de mdulo de seguridad de hardware y

seleccione Safenet Luna SA como el Proveedor configurado.

3.

Haga clic en Aadir e introduzca un Nombre de mdulo. Puede ser

cualquier cadena ASCII con una longitud de hasta 31 caracteres.

4.

Introduzca la direccin IPv4 del HSM como Direccin de servidor.

Si est realizando una configuracin de HSM de alta disponibilidad,
introduzca los nombres de mdulos y las direcciones IP de los
dispositivos del HSM adicionales.

5.

(Opcional) Si est realizando una configuracin de HSM de alta

disponibilidad, seleccione la casilla de verificacin Alta disponibilidad y
aada lo siguiente: un valor para Reintento de recuperacin
automtica y un Nombre de grupo de alta disponibilidad.
Si hay dos servidores HSM configurados, debera configurar la alta
disponibilidad. De lo contrario, el segundo servidor HSM no se utilizar.

6.
Paso 2

(Opcional) Configure una ruta de 1.

servicio para permitir que el
2.
cortafuegos se conecte al HSM.
De manera predeterminada, el
cortafuegos utiliza la interfaz de
gestin para comunicarse con el
HSM. Para utilizar una interfaz
diferente, debe configurar una
ruta de servicio.

3.

Haga clic en ACEPTAR y Compilar.

Seleccione Dispositivo > Configuracin > Servicios.
Seleccione Configuracin de ruta de servicios en el rea Caractersticas
de servicios.
Seleccione Personalizar en el rea Configuracin de ruta de servicios.

4.

Seleccione la pestaa IPv4.

5.

Seleccione HSM en la columna Servicio.

6.

Seleccione una interfaz para utilizarla para el HSM en el men

desplegable Interfaz de origen.
Si selecciona un puerto conectado a un plano de datos para
HSM, la emisin del comando CLI clear session all borrar
todas las sesiones HSM existentes, provocando que todos los
estados del HSM se desconecten y luego se conecten. Durante
los segundos que necesita el HSM para recuperarse, fallarn
todas las operaciones de SSL/TLS.

Paso 3

Configure el cortafuegos para

autenticarlo para el HSM.

7.

Haga clic en ACEPTAR y Compilar.

1.

Seleccione Dispositivo > Configuracin > HSM.

2.

Seleccione Configurar mdulo de seguridad de hardware en la zona

Operaciones de seguridad de hardware.

3.

Seleccione el Nombre de servidor del HSM en el men desplegable.

4.

Introduzca la Contrasea de administrador para autenticar el

cortafuegos para el HSM.

5.

Haga clic en ACEPTAR.

El cortafuegos intenta realizar una autenticacin con el HSM y muestra
un mensaje de estado.

6.

Gestin de certificados

Haga clic en ACEPTAR.

137

Claves seguras con un mdulo de seguridad de hardware

Gestin de certificados

Configuracin de la conectividad con un HSM SafeNet Luna SA (Continuacin)

Paso 4

Registre el cortafuegos (el cliente 1.

HSM) con el HSM y asgnelo a
2.
una particin en el HSM.
Si el HSM ya tiene un
cortafuegos con el mismo
<cl-name> registrado,
deber eliminar el registro 3.
duplicado utilizando el
siguiente comando antes
de que el registro pueda
realizarse correctamente:

Inicie sesin en el HSM desde un sistema remoto.

Registre el cortafuegos utilizando el siguiente comando:
client register -c <cl-name> -ip <fw-ip-addr>

siendo <cl-name> un nombre que asigna al cortafuegos para su uso en

el HSM y <fw-ip-addr> la direccin IP del cortafuegos que se est
configurando como cliente HSM.
Asigne una particin al cortafuegos utilizando el siguiente comando:
client assignpartition -c <cl-name> -p <partition-name>

siendo <cl-name> el nombre asignado al cortafuegos en el comando

client register y <partition-name> el nombre de una particin
configurada anteriormente que desee asignar al cortafuegos.

client delete -client

<cl-name>

siendo <cl-name> el nombre del

registro de cliente (cortafuegos)
que desea eliminar.
Paso 5

Paso 6

Configure el cortafuegos para

conectarlo a la particin del
HSM.

1.

Seleccione Dispositivo > Configuracin > HSM.

2.

Haga clic en el icono Actualizar.

3.

Seleccione Configurar particin HSM en el rea Operaciones de

seguridad de hardware.

4.

Introduzca la Contrasea de particin para autenticar el cortafuegos

para la particin del HSM.

5.

Haga clic en ACEPTAR.

(Opcional) Configure un HSM

1.
adicional para alta disponibilidad
(HA).
2.

Siga del Paso 1 al Paso 5 para aadir un HSM adicional para alta
disponibilidad (HA).
Este proceso aade un nuevo HSM al grupo de HA existente.
Si elimina un HSM de su configuracin, repita el Paso 5.
Esto quitar el HSM eliminado del grupo de HA.

Paso 7

Verifique la conectividad con el

HSM.

1.

Seleccione Dispositivo > Configuracin > HSM.

2.

Compruebe el Estado de la conexin del HSM:

Verde: HSM est autenticado y conectado.
Rojo: HSM no se ha autenticado o no hay conectividad de red al HSM.

3.

Consulte las columnas siguientes del rea Estado de mdulo de

seguridad de hardware para determinar el estado de autenticacin:
Nmero de serie: El nmero de serie de la particin HSM si el HSM se
ha autenticado con xito.
Particin: Nombre de la particin del HSM que se asign al

cortafuegos.
Estado de mdulo: Estado de funcionamiento actual del HSM. Siempre
tiene el valor Autenticado si el HSM se muestra en esta tabla.

138

Gestin de certificados

Gestin de certificados

Claves seguras con un mdulo de seguridad de hardware

Configuracin de la conectividad con un HSM Thales Nshield Connect

El siguiente flujo de trabajo describe cmo configurar el cortafuegos para comunicarse con un HSM Thales
Nshield Connect. Esta configuracin requiere que configure un sistema de archivos remoto (RFS) para utilizarlo
como concentrador y as sincronizar datos de claves de todos los cortafuegos de su organizacin que estn
utilizando el HSM.
La configuracin del HSM no est sincronizada entre peers de cortafuegos de alta disponibilidad.
Por consiguiente, deber configurar el HSM por separado en cada uno de los peers.
Si la configuracin del cortafuegos de alta disponibilidad est en modo activo-pasivo, deber
realizar manualmente una conmutacin por error para configurar y autenticar cada peer de HA
individualmente en el HSM. Despus de realizar esta conmutacin por error manual, la
interaccin del usuario no ser necesaria para la funcin de conmutacin por error.

Configuracin de la conectividad con un HSM Thales Nshield Connect

Paso 1

Configure el servidor
Thales Nshield Connect
como el proveedor de
HSM del cortafuegos.

1.

Desde la interfaz web del cortafuegos, seleccione Dispositivo > Configuracin

> HSM y edite la seccin Proveedor de mdulo de seguridad de hardware.

2.

Seleccione Thales Nshield Connect como el Proveedor configurado.

3.

Haga clic en Aadir e introduzca un Nombre de mdulo. Puede ser cualquier

cadena ASCII con una longitud de hasta 31 caracteres.

4.

Introduzca la direccin IPv4 como la Direccin de servidor del HSM.

Si est realizando una configuracin de HSM de alta disponibilidad, introduzca
los nombres de mdulos y las direcciones IP de los dispositivos del HSM
adicionales.

Paso 2

5.

Introduzca la direccin IPv4 de la Direccin de sistema de archivos remoto.

6.

Haga clic en ACEPTAR y Confirmar.

(Opcional) Configure una 1.

ruta de servicio para
2.
permitir que el
cortafuegos se conecte al
3.
HSM.
4.
De manera
5.
predeterminada, el
6.
cortafuegos utiliza la
interfaz de gestin para
comunicarse con el HSM.
Para utilizar una interfaz
diferente, debe configurar
una ruta de servicio.
7.

Gestin de certificados

Seleccione Dispositivo > Configuracin > Servicios.

Seleccione Configuracin de ruta de servicios en el rea Caractersticas de
servicios.
Seleccione Personalizar en el rea Configuracin de ruta de servicios.
Seleccione la pestaa IPv4.
Seleccione HSM en la columna Servicio.
Seleccione una interfaz para utilizarla para el HSM en el men desplegable
Interfaz de origen.
Si selecciona un puerto conectado a un plano de datos para HSM, la
emisin del comando CLI clear session all borrar todas las
sesiones HSM existentes, provocando que todos los estados del HSM
se desconecten y luego se conecten. Durante los segundos que necesita
el HSM para recuperarse, fallarn todas las operaciones de SSL/TLS.
Haga clic en ACEPTAR y Compilar.

139

Claves seguras con un mdulo de seguridad de hardware

Gestin de certificados

Configuracin de la conectividad con un HSM Thales Nshield Connect (Continuacin)

Paso 3

Registre el cortafuegos (el 1.

cliente HSM) con el
servidor HSM.
2.
Este paso describe
brevemente el
procedimiento para
utilizar la interfaz del panel
frontal del HSM Thales
Nshield Connect. Si desea
informacin ms
detallada, consulte la
documentacin de Thales.

Paso 4

Configure el sistema de
archivos remoto para
aceptar conexiones del
cortafuegos.

Inicie sesin en la pantalla del panel frontal de la unidad HSM Thales Nshield
Connect.
En el panel frontal de la unidad, utilice el botn de navegacin de la derecha
para seleccionar Sistema > Configuracin del sistema > Configuracin de
cliente > Nuevo cliente.

3.

Introduzca la direccin IP del cortafuegos.

4.

Seleccione Sistema > Configuracin del sistema > Configuracin de

cliente > Sistema de archivos remoto e introduzca la direccin IP del equipo
cliente donde configure el sistema de archivos remoto.

1.

Inicie sesin en el sistema de archivos remoto (RFS) desde un cliente Linux.

2.

Obtenga el nmero de serie electrnico (ESN) y el hash de la clave KNETI. La

clave KNETI autentica el mdulo para clientes:
anonkneti <ip-address>

siendo <ip-address> la direccin IP del HSM.

A continuacin se muestra un ejemplo:
anonkneti 192.0.2.1
B1E2-2D4C-E6A2 5a2e5107e70d525615a903f6391ad72b1c03352c

En este ejemplo, B1E2-2D4C-E6A2 es el ESM y

5a2e5107e70d525615a903f6391ad72b1c03352c es el hash de la clave KNETI.
3.

Utilice el siguiente comando de una cuenta de superusuario para realizar la

configuracin del sistema de archivos remoto:
rfs-setup --force <ip-address> <ESN> <hash-Kneti-key>

siendo <ip-address> la direccin IP del HSM,

<ESN>

el nmero de serie electrnico (ESN) y

<hash-Kneti-key>

el hash de la clave KNETI.

El siguiente ejemplo utiliza los valores obtenidos mediante este procedimiento:

rfs-setup --force <192.0.2.1> <B1E2-2D4C-E6A2>
<5a2e5107e70d525615a903f6391ad72b1c03352c>

4.

Utilice el siguiente comando para permitir un envo de cliente en el sistema de

archivos remoto:
rfs-setup --gang-client --write-noauth <FW-IPaddress>

siendo <FW-IPaddress> la direccin IP del cortafuegos.

140

Gestin de certificados

Gestin de certificados

Claves seguras con un mdulo de seguridad de hardware

Configuracin de la conectividad con un HSM Thales Nshield Connect (Continuacin)

Paso 5

Configure el cortafuegos
para autenticarlo para el
HSM.

1.

Desde la interfaz web del cortafuegos, seleccione Dispositivo >

Configuracin > HSM.

2.

Seleccione Configurar mdulo de seguridad de hardware en el rea

Operaciones de seguridad de hardware.

3.

Haga clic en ACEPTAR.

El cortafuegos intenta realizar una autenticacin con el HSM y muestra un
mensaje de estado.

4.
Paso 6

Paso 7

Sincronice el cortafuegos 1.
con el sistema de archivos 2.
remoto.
Verifique que el
cortafuegos puede
conectarse al HSM.

Haga clic en ACEPTAR.

Seleccione Dispositivo > Configuracin > HSM.
Seleccione Sincronizar con sistema de archivos remoto en la seccin
Operaciones de seguridad de hardware.

1.

Seleccione Dispositivo > Configuracin > HSM.

2.

Compruebe el indicador de estado para verificar que el cortafuegos est

conectado al HSM:
Verde: HSM est autenticado y conectado.
Rojo: HSM no se ha autenticado o no hay conectividad de red al HSM.

3.

Consulte las columnas siguientes de la seccin Estado de mdulo de seguridad

de hardware para determinar el estado de autenticacin:
Nombre: Nombre del HSM que trata de ser autenticado.
Direccin IP: Direccin IP del HSM que se asign en el cortafuegos.
Estado de mdulo: Estado de funcionamiento actual del HSM: Autenticado o
No autenticado.

Gestin de certificados

141

Claves seguras con un mdulo de seguridad de hardware

Gestin de certificados

Cifrado de una clave maestra con HSM

En un cortafuegos de Palo Alto Networks hay configurada una clave maestra para cifrar todas las claves privadas
y contraseas. Si tiene requisitos de seguridad para almacenar sus claves privadas en una ubicacin segura, puede
cifrar la clave maestra utilizando una clave de cifrado que se almacene en un HSM. A continuacin, el
cortafuegos solicitar al HSM que descifre la clave maestra cuando sea necesaria para descifrar una contrasea
o clave privada en el cortafuegos. Normalmente, el HSM se encuentra en una ubicacin de alta seguridad
separada del cortafuegos para mayor seguridad.
El HSM cifra la clave maestra mediante una clave de ajuste. Para mantener la seguridad, esta clave de cifrado
debe cambiarse de vez en cuando. Por este motivo, se proporciona un comando en el cortafuegos para rotar la
clave de ajuste que cambia el cifrado de la clave maestra. La frecuencia de esta rotacin de la clave de ajuste
depende de su aplicacin.
El cifrado de clave maestra con un HSM no se admite en los cortafuegos configurados en un
modo FIPS o CC.

Los temas siguientes describen cmo descifrar la clave maestra inicialmente y cmo actualizar el cifrado de la
clave maestra.

Cifrado de la clave maestra

Actualizacin del cifrado de la clave maestra

Cifrado de la clave maestra

Si no ha cifrado anteriormente la clave maestra de un dispositivo, utilice el siguiente procedimiento para cifrarla.
Utilice este procedimiento la primera vez que cifre una clave o si define una nueva clave maestra y desea
descifrarla. Si desea actualizar el cifrado de una clave cifrada anteriormente, consulte Actualizacin del cifrado
de la clave maestra.
Cifrado de una clave maestra utilizando un HSM

Paso 1

Seleccione Dispositivo > Clave maestra y diagnstico.

Paso 2

Especifique la clave que se utiliza actualmente para cifrar todas las claves privadas y contraseas del cortafuegos
en el campo Clave maestra.

Paso 3

Si est cambiando la clave maestra, introduzca la nueva clave maestra y confrmela.

Paso 4

Seleccione la casilla de verificacin HSM.

Duracin: Nmero de das y horas tras el cual vence la clave maestra (rango: 1-730 das).
Tiempo para el recordatorio: Nmero de das y horas antes del vencimiento en cuyo momento se notificar al

usuario del vencimiento inminente (rango: 1-365 das).

Paso 5

142

Haga clic en ACEPTAR.

Gestin de certificados

Gestin de certificados

Claves seguras con un mdulo de seguridad de hardware

Actualizacin del cifrado de la clave maestra

La prctica recomendada es actualizar el cifrado de clave maestra con regularidad rotando la clave de ajuste de
clave maestra en el HSM Este comando es el mismo para los HSM SafeNet Luna SA y Thales Nshield Connect.
Actualizacin del cifrado de clave maestra

1.

Utilice el siguiente comando de la CLI para rotar la clave de ajuste para la clave maestra de un HSM:
> request hsm mkey-wrapping-key-rotation

Si la clave maestra est cifrada en el HSM, el comando de la CLI generar una nueva clave de ajuste en el HSM y
cifrar la clave maestra con la nueva clave de ajuste.
Si la clave maestra no est cifrada en el HSM, el comando de la CLI generar una nueva clave de ajuste en el HSM
para su uso en el futuro.
Este comando no elimina la clave de ajuste anterior.

Gestin de certificados

143

Claves seguras con un mdulo de seguridad de hardware

Gestin de certificados

Almacenamiento de claves privadas en un HSM

Para mayor seguridad, las claves privadas utilizadas para habilitar el descifrado SSL/TLS (tanto el proxy SSL de
reenvo como la inspeccin de entrada SSL) pueden protegerse con un HSM de la manera siguiente:

Proxy SSL de reenvo: La clave privada del certificado de CA que se utiliza para firmar certificados en
operaciones de proxy SSL/TLS de reenvo se puede almacenar en el HSM. A continuacin, el cortafuegos
enviar los certificados que genere durante las operaciones de proxy SSL/TLS de reenvo al HSM para su
envo antes de reenviarlos al cliente.

Inspeccin de entrada SSL: Las claves privadas de los servidores internos para los que est haciendo una
inspeccin de entrada SSL/TLS se pueden almacenar en el HSM.

Para obtener instrucciones sobre cmo importar claves privadas en el HSM, consulte la documentacin de su
proveedor de HSM. Despus de que las claves necesarias se encuentren en el HSM, podr configurar el
cortafuegos para ubicar las claves de la manera siguiente:
Almacenamiento de claves privadas en un HSM

Para obtener instrucciones sobre cmo importar claves privadas en el HSM,

consulte la documentacin de su proveedor de HSM.

Paso 1

Importe las claves privadas

utilizadas en sus
implementaciones de proxy SSL
de reenvo y/o inspeccin de
entrada SSL en el HSM.

Paso 2

1.
(nicamente Thales Nshield
Connect) Sincronice los datos de
claves del sistema de archivos
2.
remoto del HSM con el
cortafuegos.

Paso 3

1.
Importe los certificados que se
correspondan con las claves
privadas que est almacenando en 2.
el HSM en el cortafuegos.
3.
4.

Paso 4

Seleccione Sincronizar con sistema de archivos remoto en la seccin

Operaciones de seguridad de hardware.
Desde la interfaz web del cortafuegos, seleccione Dispositivo > Gestin
de certificados > Certificados > Certificados de dispositivos.
Haga clic en Importar.
Introduzca el Nombre de certificado.
Introduzca el nombre de archivo del Archivo del certificado que
import en el HSM.

5.

Seleccione el Formato de archivo adecuado en el men desplegable.

6.

Seleccione la casilla de verificacin La clave privada reside en el

mdulo de seguridad de hardware.

7.

Haga clic en ACEPTAR y Confirmar.

(nicamente certificados fiables 1.

de reenvo) Habilite el certificado
para su uso en el proxy SSL/TLS 2.
de reenvo.
3.
4.

144

Desde la interfaz web del cortafuegos, seleccione Dispositivo >

Configuracin > HSM.

Seleccione Dispositivo > Gestin de certificados > Certificados >

Certificados de dispositivos.
Localice el certificado que import en el Paso 3.
Seleccione la casilla de verificacin Reenviar certificado fiable.
Haga clic en ACEPTAR y Confirmar.

Gestin de certificados

Gestin de certificados

Claves seguras con un mdulo de seguridad de hardware

Almacenamiento de claves privadas en un HSM (Continuacin)

Paso 5

Verifique que el certificado se ha 1.

importado correctamente en el
cortafuegos.
2.
3.

Seleccione Dispositivo > Gestin de certificados > Certificados >

Certificados de dispositivos.
Localice el certificado que import en el Paso 3.
En la columna Clave, observe lo siguiente:
Si se muestra un icono de bloqueo, la clave privada del certificado puede
encontrarse en el HSM.
Si se muestra un icono de error, la clave privada no se ha importado en
el HSM o el HSM no est autenticado o conectado correctamente.

Gestin de certificados

145

Claves seguras con un mdulo de seguridad de hardware

Gestin de certificados

Gestin de la implementacin del HSM

Gestin del HSM

Visualice los ajustes de

configuracin del HSM.

Seleccione Dispositivo > Configuracin > HSM.

Muestre la informacin detallada Seleccione Mostrar informacin detallada en la seccin Operaciones de seguridad
del HSM.
de hardware.
Aparecer informacin relativa a los servidores HSM, el estado de HA del HSM y
el hardware del HSM.
Exporte el archivo de
compatibilidad.

Seleccione Exportar archivo de asistencia en la seccin Operaciones de seguridad

de hardware.
Se crear un archivo de prueba para ayudar en la asistencia a los clientes cuando se
trate de solucionar un problema con una configuracin del HSM en el cortafuegos.

Restablezca la configuracin del Seleccione Restablecer configuracin de HSM en la seccin Operaciones de

HSM.
seguridad de hardware.
Seleccionar esta opcin elimina todas las conexiones del HSM. Todos los
procedimientos de autenticacin debern repetirse despus de utilizar esta opcin.

146

Gestin de certificados

Alta disponibilidad
La alta disponibilidad (HA) es una configuracin en la que dos cortafuegos se colocan en un grupo y su
configuracin se sincroniza para prevenir el fallo de un nico punto en su red. Una conexin de latido entre los
peers del cortafuegos garantiza una conmutacin por error sin problemas en el caso de que falle un peer. La
configuracin de los cortafuegos en un clster de dos dispositivos proporciona redundancia y le permite
garantizar la continuidad empresarial.
Los cortafuegos de Palo Alto Networks admiten una alta disponibilidad activa/activa o activa/pasiva de estado
con sincronizacin de sesin y configuracin. Algunos modelos del cortafuegos, como los cortafuegos
VM-Series y PA-200, nicamente admiten HA lite sin capacidad de sincronizacin de sesin. Los siguientes
temas proporcionan ms informacin sobre la alta disponibilidad y sobre cmo configurarla en su entorno.

Descripcin general de la alta disponibilidad

Conceptos de HA

Configuracin de la HA activa/pasiva

Recursos de HA

Alta disponibilidad

147

Descripcin general de la alta disponibilidad

Alta disponibilidad

Descripcin general de la alta disponibilidad

En cortafuegos de Palo Alto Networks, puede configurar dos dispositivos como un par de HA. La HA le
permite reducir al mnimo la inactividad al garantizar que haya un dispositivo alternativo disponible en el caso
de que falle el dispositivo principal. Los dispositivos utilizan puertos de HA especficos o internos en el
cortafuegos para sincronizar datos (configuraciones de red, objeto y poltica) y mantener informacin de estado.
Los dispositivos no comparten informacin de la configuracin especfica de los dispositivos, como la direccin
IP del puerto de gestin o perfiles de administrador, la configuracin especfica de HA, datos de log y el Centro
de comando de aplicacin (ACC). Para obtener una vista consolidada de aplicaciones y logs a travs del par de
HA deber utilizar Panorama, el sistema de gestin centralizado de Palo Alto Networks.
Cuando se produce un fallo en el dispositivo activo y el dispositivo pasivo toma el control de la tarea de proteger
el trfico, el evento se denomina una conmutacin por error. Las condiciones que activan una conmutacin por
error son las siguientes:

Falla una o ms de las interfaces supervisadas. (Supervisin de enlaces)

No se puede llegar a uno o ms de los destinos especificados en el dispositivo. (Supervisin de rutas)

El dispositivo no responde a sondeos de heartbeat. (Sondeos de heartbeat y mensajes de saludo)

Cuando haya comprendido los Conceptos de HA, vaya a Configuracin de la HA activa/pasiva.

148

Alta disponibilidad

Alta disponibilidad

Conceptos de HA

Conceptos de HA
Los siguientes temas ofrecen informacin conceptual sobre cmo funciona la HA en un cortafuegos de
Palo Alto Networks:

Modos de HA

Enlaces de HA y enlaces de copia de seguridad

Prioridad y preferencia de dispositivos

Activadores de conmutacin por error

Temporizadores de HA

Modos de HA
Puede configurar los cortafuegos para la HA en dos modos:

Activo/pasivo: Un dispositivo gestiona activamente el trfico mientras que el otro est sincronizado y listo
para pasar al estado activo en el caso de que se produjera un fallo. En esta configuracin, ambos dispositivos
comparten los mismos ajustes de configuracin y uno gestiona activamente el trfico hasta que se produce
un fallo de ruta, enlace, sistema o red. Cuando el dispositivo activo falla, el dispositivo pasivo toma el control
sin problemas y aplica las mismas polticas para mantener la seguridad de red. La HA activa/pasiva es
compatible con las implementaciones de Virtual Wire, capa 2 y capa 3. Si desea informacin sobre cmo
ajustar sus dispositivos en una configuracin activa/pasiva, consulte Configuracin de la HA activa/pasiva.
Los cortafuegos PA-200 y VM-Series admiten una versin lite de la HA activa/pasiva. HA Lite
permite la sincronizacin de la configuracin y la sincronizacin de algunos datos de tiempo de
ejecucin, como asociaciones de seguridad de IPSec. No admite ninguna sincronizacin de
sesiones y, por lo tanto, HA Lite no ofrece una conmutacin por error con estado.

Activo/activo: Ambos dispositivos del par estn activos y procesan el trfico. Asimismo, trabajan
sincronizadamente para gestionar la configuracin y la pertenencia de la sesin. La implementacin
activa/activa es compatible con las implementaciones de Virtual Wire y capa 3 y nicamente se recomienda
para redes con enrutamiento asimtrico. Si desea informacin sobre el establecimiento de una configuracin
activa/activa para los dispositivos, consulte Active/Active High Availability Tech Note (Nota tcnica sobre
alta disponibilidad activa/activa).

Enlaces de HA y enlaces de copia de seguridad

Los dispositivos de un par de HA utilizan enlaces de HA para sincronizar datos y mantener informacin de
estado. Algunos modelos del cortafuegos tienen puertos de HA especficos, como enlace de control (HA1) y
enlace de datos (HA2), mientras que otros requieren que utilice los puertos internos como enlaces de HA.
En dispositivos con puertos de HA especficos como los cortafuegos de las series PA-3000, PA-4000, PA-5000
y PA-7050 (consulte Puertos de HA en el cortafuegos PA-7050), utilice los puertos de HA especficos para
gestionar la comunicacin y la sincronizacin entre los dispositivos. Para dispositivos sin puertos de HA
especficos, como los cortafuegos de las series PA-200, PA-500 y PA-2000, la prctica recomendada es utilizar
el puerto de gestin para el enlace de HA1 para permitir una conexin directa entre los planos de gestin de los
dispositivos y un puerto interno para el enlace de HA2.

Alta disponibilidad

149

Conceptos de HA

Alta disponibilidad

Los enlaces de HA1 y HA2 proporcionan sincronizacin para funciones que residen en el plano
de gestin. Utilizar las interfaces de HA especficas del plano de gestin es ms eficaz que
utilizar los puertos internos, ya que as se elimina la necesidad de pasar los paquetes de
sincronizacin a travs del plano de datos.

Enlace de control: El enlace de HA1 se utiliza para intercambiar saludos, heartbeats e informacin de
estado de HA, as como la sincronizacin del plano de gestin para el enrutamiento e informacin de
User-ID. Este enlace tambin se utiliza para sincronizar cambios de configuracin en el dispositivo activo o
pasivo con su peer. El enlace de HA1 es un enlace de capa 3 y requiere una direccin IP.
Puertos utilizados para HA1: Puertos TCP 28769 y 28260 para una comunicacin con texto claro; puerto
28 para una comunicacin cifrada (SSH sobre TCP).

Enlace de datos: El enlace de HA2 se utiliza para sincronizar sesiones, reenviar tablas, asociaciones de
seguridad de IPSec y tablas de ARP entre dispositivos de un par de HA. El flujo de datos del enlace de HA2
siempre es unidireccional (excepto en la conexin persistente de HA2); fluye desde el dispositivo activo al
dispositivo pasivo. El enlace de HA2 es un enlace de capa 2 y utiliza el tipo 0x7261 de manera
predeterminada.
Puertos utilizados para HA2: El enlace de datos de HA puede configurarse para utilizar IP (nmero de
protocolo 99) o UDP (puerto 29281) como transporte, permitiendo con ello que el enlace de datos de HA
abarque las subredes.
Asimismo, se utiliza un enlace de HA3 en implementaciones de HA activa/activa. Cuando hay una ruta
asimtrica, se utiliza el enlace de HA3 para reenviar paquetes al peer de HA al que pertenece la sesin. El
enlace de HA3 es un enlace de capa 2 y no permite el cifrado ni las direcciones de capa 3.

Enlaces de copia de seguridad: Proporcionan redundancia para los enlaces de HA1 y HA2. Se utilizan
puertos internos como enlaces de copia de seguridad para HA1 y HA2. Tenga en cuenta las siguientes
directrices al configurar enlaces de HA de copia de seguridad:

Las direcciones IP de los enlaces de HA principal y de copia de seguridad no deben solaparse entre s.

Los enlaces de copia de seguridad de HA deben encontrarse en una subred diferente de la de los enlaces
de HA principales.

Los puertos de copia de seguridad de HA1 y HA2 deben configurarse en puertos fsicos separados. El
enlace de copia de seguridad de HA1 utiliza los puertos 28770 y 28260.
Palo Alto Networks recomienda habilitar la copia de seguridad de heartbeat (que utiliza el puerto
28771 en la interfaz de gestin) si utiliza un puerto interno para los enlaces de copia de seguridad
de HA1 o HA2.

Puertos de HA en el cortafuegos PA-7050

Para la conectividad de HA en el PA-7050, consulte la siguiente tabla para obtener informacin detallada sobre
qu puertos de la tarjeta de gestin de conmutadores (SMC) son obligatorios y qu puertos de la tarjeta de
procesamiento de red (NPC) son adecuados. Para obtener una descripcin general de los mdulos y las tarjetas
de interfaz del cortafuegos PA-7050, consulte la Gua de referencia de hardware de PA-7050.

150

Alta disponibilidad

Alta disponibilidad

Conceptos de HA

Los siguientes puertos de la SMC estn diseados para la conectividad de HA:

Enlaces de HA Puertos de la SMC
y enlaces de
copia de
seguridad

Descripcin

Enlace de
control

Se utiliza para el control y la sincronizacin de HA. Conecte este

puerto directamente desde el puerto HA1-A del primer dispositivo al
puerto HA1-A del segundo dispositivo del par, o bien conctelos
juntos a travs de un conmutador o enrutador.

HA1-A
Velocidad: Ethernet
10/100/1000

HA1 no se puede configurar en puertos de datos NPC o el puerto

MGT.
Copia de
seguridad de
enlace de
control

HA1-B
Velocidad: Puerto Ethernet
10/100/1000

Se utiliza para el control y la sincronizacin de HA como copia de

seguridad para HA1-A. Conecte este puerto directamente desde el
puerto HA1-B del primer dispositivo al puerto HA1-B del segundo
dispositivo del par, o bien conctelos juntos a travs de un
conmutador o enrutador.
La copia de seguridad de HA1 no se puede configurar en puertos de
datos de NPC o el puerto de gestin.

Enlace de
datos

Las interfaces Quad Port SFP (QSFP) se usan para conectar dos
cortafuegos PA-7050 con una configuracin de HA. Cada puerto
(High Speed Chassis
consta de cuatro enlaces internos de 10 gigabits para alcanzar una
Interconnect, interconexin
de bastidores de alta velocidad) velocidad combinada de 40 gigabits y se usa para enlaces de datos
HA2 en la configuracin activa/pasiva. En el modo activo/activo, el
puerto tambin se usa para reenvo de paquetes HA3 en sesiones de
enrutamiento asimtrica que requieren inspeccin de capa 7 para
App-ID y Content-ID.
HSCI-A

En una instalacin tpica, el puerto HSCI-A del primer bastidor se

conecta directamente al HSCI-A del segundo y el HSCI-B del primer
bastidor se conecta al HSCI-B del segundo. As se alcanzan
velocidades de transferencia mximas de 80 gigabits. En software,
ambos puertos (HSCI-A y HSCI-B) se tratan como una nica interfaz
HA.
Los puertos HSCI no se pueden enrutar y deben conectarse
directamente entre s.
Palo Alto Networks recomienda utilizar los puertos HSCI especficos
para las conexiones de HA2 y HA3. Sin embargo, pueden configurarse
los enlaces de HA2 y HA3 en puertos de datos de NPC, si es necesario.
Copia de
seguridad de
enlace de
datos

HSCI-B

Las interfaces Quad Port SFP (QSFP) (consulte la descripcin

anterior) del puerto HSCI-B se utilizan para aumentar el ancho de
banda para HA2/HA3.

(High Speed Chassis

Interconnect, interconexin
de bastidores de alta velocidad) Los puertos HSCI no se pueden enrutar y deben conectarse
directamente entre s.

Palo Alto Networks recomienda utilizar los puertos HSCI-B

especficos para las conexiones de copia de seguridad de HA2 y HA3.
Puede configurarse un enlace de copia de seguridad de HA2/HA3 en
los puertos de datos de NPC, si es necesario.

Alta disponibilidad

151

Conceptos de HA

Alta disponibilidad

Prioridad y preferencia de dispositivos

A los dispositivos de un par de HA se les puede asignar un valor de prioridad de dispositivo para indicar una
preferencia por el dispositivo que debera asumir el papel activo y gestionar el trfico. Si necesita utilizar un
dispositivo especfico del par de HA para proteger de manera activa el trfico, debe habilitar el comportamiento
de preferencia en ambos cortafuegos y asignar un valor de prioridad de dispositivo para cada dispositivo.
El dispositivo con el valor numrico ms bajo y, por lo tanto, mayor prioridad, se designar como activo y
gestionar todo el trfico de la red. El otro dispositivo estar en un estado pasivo y sincronizar informacin
de configuracin y estado con el dispositivo activo, de manera que est listo para pasar al estado activo en el
caso de producirse un fallo.
De manera predeterminada, la preferencia est deshabilitada en los cortafuegos y debe habilitarse en ambos
dispositivos. Cuando se habilita, el comportamiento de preferencia permite que el cortafuegos con la mayor
prioridad (valor numrico ms bajo) vuelva a estar activo cuando se recupere de un fallo. Cuando se produce una
preferencia, el evento se registra en los logs del sistema.

Activadores de conmutacin por error

Cuando se produce un fallo en el dispositivo activo y el dispositivo pasivo toma el control de la tarea de proteger
el trfico, el evento se denomina una conmutacin por error. Una conmutacin por error se activa cuando falla
una mtrica supervisada en el dispositivo activo. Las mtricas que se supervisan para detectar un fallo de
dispositivo son las siguientes:

Sondeos de heartbeat y mensajes de saludo

Los cortafuegos utilizan mensajes de saludo y heartbeats para comprobar que el peer responde y est
operativo. Los mensajes de saludo se envan desde un peer al otro en el intervalo de saludo configurado para
verificar el estado del dispositivo. El heartbeat es un ping ICMP para el peer de HA a travs del enlace de
control y el peer responde al ping para establecer que los dispositivos estn conectados y responden. De
manera predeterminada, el intervalo para el heartbeat es de 1.000 milisegundos. Si desea informacin
detallada sobre los temporizadores de HA que activan una conmutacin por error, consulte Temporizadores
de HA.

Supervisin de enlaces
Las interfaces fsicas que deben supervisarse se agrupan en un grupo de enlaces y se supervisa su estado
(enlace activado o desactivado). Un grupo de enlaces puede contener una o ms interfaces fsicas. Se activa
un fallo de dispositivo cuando falla alguna o todas las interfaces del grupo. El comportamiento
predeterminado es que el fallo de cualquier enlace del grupo de enlaces har que el dispositivo cambie el
estado de HA a no funcional para indicar el fallo de un objeto supervisado.

Supervisin de rutas
Supervisa toda la ruta a travs de la red hasta direcciones IP de vital importancia. Los pings ICMP se utilizan
para verificar que se puede llegar a la direccin IP. El intervalo predeterminado para pings es de 200 ms. Se
considera que no se puede llegar a una direccin IP cuando fallan 10 pings consecutivos (el valor
predeterminado) y se activa un fallo de dispositivo cuando no se puede llegar a alguna o todas las direcciones
IP supervisadas. El comportamiento predeterminado es que cualquiera de las direcciones IP a las que no se
pueda llegar har que el dispositivo cambie el estado de HA a no funcional para indicar el fallo de un objeto
supervisado.

152

Alta disponibilidad

Alta disponibilidad

Conceptos de HA

Adems de los activadores de conmutacin por error enumerados anteriormente, tambin se produce una
conmutacin por error cuando el administrador coloca el dispositivo en un estado suspendido o si se produce
una preferencia.
En los cortafuegos de las series PA-3000, PA-5000 y PA-7050, se puede producir una conmutacin por error si
falla una comprobacin de estado interna. Esta comprobacin de estado no es configurable y se habilita para
verificar el estado operativo de todos los componentes del cortafuegos.

Temporizadores de HA
Los temporizadores de alta disponibilidad (HA) se utilizan para detectar un fallo de cortafuegos y activar una
conmutacin por error. Para reducir la complejidad al configurar temporizadores de HA, puede seleccionar uno
de los tres perfiles que se han aadido: Recomendada, Agresivo y Avanzado. Estos perfiles cumplimentan
automticamente los valores ptimos del temporizador de HA para la plataforma de cortafuegos especfica con
el fin de habilitar una implementacin de HA ms rpida.
Utilice el perfil Recomendada para ajustes comunes del temporizador de conmutacin por error y el perfil
Agresivo para ajustes ms rpidos del temporizador de conmutacin por error. El perfil Avanzado le permite
personalizar los valores del temporizador para que se adapten a sus requisitos de red.
La siguiente tabla describe cada temporizador incluido en los perfiles y los valores preestablecidos actuales de
los diferentes modelos de hardware; estos valores se indican nicamente como referencia y pueden cambiar en
versiones posteriores.
Valores de temporizador de HA Recomendada/Agresivo por plataforma
Temporizadores

PA-7050

Serie PA-2000

Panorama VM

Serie PA-5000

Serie PA-500

M-100

Serie PA-4000

Serie PA-200

Serie PA-3000

Serie VM

Tiempo de espera
Intervalo durante el cual el
ascendente tras fallo cortafuegos permanecer
de supervisor
activo tras un fallo de
supervisor de ruta o supervisor
de enlace. Se recomienda este
ajuste para evitar una
conmutacin por error de HA
debido a los flaps ocasionales
de los dispositivos vecinos.

0/0

0/0

0/0

Tiempo de espera
para ser preferente

1/1

1/1

1/1

Alta disponibilidad

Descripcin

Tiempo que un dispositivo

pasivo o secundario activo
esperar antes de tomar el
control como dispositivo
activo o principal activo.

153

Conceptos de HA

Temporizadores

Alta disponibilidad

Descripcin

PA-7050

Serie PA-2000

Panorama VM

Serie PA-5000

Serie PA-500

M-100

Serie PA-4000

Serie PA-200

Serie PA-3000

Serie VM

2000/1000

2000/1000

2000/500
Tiempo de espera de Tiempo que el dispositivo
promocin
pasivo (en el modo
activo/pasivo) o el dispositivo
secundario activo (en el modo
activo/activo) esperar antes
de tomar el control como
dispositivo activo o principal
activo despus de perder las
comunicaciones con el peer de
HA. Este tiempo de espera
nicamente comenzar
despus de haber realizado una
declaracin de fallo de peer.

2000/500

2000/500

500/500
Este intervalo de tiempo se
Tiempo de espera
ascendente principal aplica al mismo evento que
adicional
Tiempo de espera ascendente
tras fallo de supervisor (rango:
0-60.000 ms; valor
predeterminado: 500 ms).
El intervalo de tiempo
adicional nicamente se aplica
al dispositivo activo en el
modo activo/pasivo y al
dispositivo principal activo
en el modo activo/activo. Se
recomienda este temporizador
para evitar una conmutacin
por error cuando ambos
dispositivos experimentan el
mismo fallo de supervisor de
enlace/ruta simultneamente.

500/500

7000/5000

Intervalo de
heartbeat

154

Frecuencia con la que los peers 1000/1000

de HA intercambian mensajes
de heartbeat en forma de un
ping ICMP.

Alta disponibilidad

Alta disponibilidad

Temporizadores

Intervalo de saludo

Conceptos de HA

Descripcin

PA-7050

Serie PA-2000

Panorama VM

Serie PA-5000

Serie PA-500

M-100

Serie PA-4000

Serie PA-200

Serie PA-3000

Serie VM

8000/8000
Intervalo de tiempo en
milisegundos entre los
paquetes de saludo enviados
para verificar que la
funcionalidad de HA del otro
cortafuegos est operativo.
El rango es de 8000-60000 ms
con un valor predeterminado
de 8000 ms para todas las
plataformas.

3/3
N. mximo de flaps Se cuenta un flap cuando el
cortafuegos deja el estado
activo antes de que transcurran
15 minutos desde la ltima vez
que dej el estado activo.
Este valor indica el nmero
mximo de flaps permitidos
antes de que se determine
suspender el cortafuegos y que
el cortafuegos pasivo tome el
control (rango: 0-16; valor
predeterminado: 3).

Alta disponibilidad

8000/8000

8000/8000

3/3

No aplicable

155

Configuracin de la HA activa/pasiva

Alta disponibilidad

Configuracin de la HA activa/pasiva

Requisitos para la HA activa/pasiva

Directrices de configuracin para la HA activa/pasiva

Configuracin de la HA activa/pasiva

Definicin de las condiciones de conmutacin por error

Verificacin de conmutacin por error

156

Alta disponibilidad

Alta disponibilidad

Configuracin de la HA activa/pasiva

Requisitos para la HA activa/pasiva

Para configurar la alta disponibilidad en sus cortafuegos de Palo Alto Networks, necesitar un par de
cortafuegos que cumplan los siguientes requisitos:

El mismo modelo: Ambos dispositivos del par deben tener el mismo modelo de hardware o de mquina
virtual.

La misma versin de PAN-OS: Ambos dispositivos deben ejecutar la misma versin de PAN-OS y estar
actualizados en las bases de datos de la aplicacin, URL y amenazas. Ambos deben tener la misma funcin
de varios sistemas virtuales (vsys mltiple o nico).

El mismo tipo de interfaces: Enlaces de HA especficos o una combinacin del puerto de gestin y los
puertos internos que se establecen para la HA de tipo de interfaz.

Determine la direccin IP de la conexin de HA1 (control) entre el par de dispositivos. La direccin IP

de HA1 de ambos peers debe estar en la misma subred si estn conectados directamente o si estn
conectados al mismo conmutador.
En el caso de dispositivos sin puertos de HA especficos, puede utilizar el puerto de gestin para la
conexin de control. Al utilizar el puerto de gestin obtiene un enlace de comunicacin directa entre
los planos de gestin de ambos dispositivos. Sin embargo, dado que los puertos de gestin no tienen
cables directos entre los dispositivos, asegrese de que tiene una ruta que conecte estas dos interfaces
a travs de su red.

Si utiliza la capa 3 como mtodo de transporte para la conexin de HA2 (datos), determine la direccin
IP para el enlace de HA2. Utilice la capa 3 nicamente si la conexin de HA2 debe comunicarse a travs
de una red enrutada. La subred IP de los enlaces de HA2 no debe solaparse con la de los enlaces de
HA1 ni con ninguna otra subred asignada a los puertos de datos del cortafuegos.

El mismo conjunto de licencias: Las licencias son exclusivas para cada dispositivo y no se pueden
compartir entre los dispositivos. Por lo tanto, debe obtener licencias idnticas para ambos dispositivos. Si
los dos dispositivos no tienen un conjunto idntico de licencias, no podrn sincronizar informacin de
configuracin y mantener la paridad para una conmutacin por error sin problemas.
Si tiene un cortafuegos existente y desea aadir un nuevo cortafuegos para HA pero el nuevo
cortafuegos tiene una configuracin existente, se recomienda que realice un Restablecimiento
del cortafuegos a los ajustes predeterminados de fbrica en el nuevo cortafuegos. Esto
garantizar que el nuevo cortafuegos tenga una configuracin limpia. Despus de configurar la
HA, deber sincronizar la configuracin del dispositivo principal con el dispositivo recin
introducido con la configuracin limpia.

Alta disponibilidad

157

Configuracin de la HA activa/pasiva

Alta disponibilidad

Directrices de configuracin para la HA activa/pasiva

Para establecer un par activo (PeerA) pasivo (PeerB) en HA, debe configurar algunas opciones de manera
idntica en ambos dispositivos y algunas de manera independiente (no coincidentes) en cada dispositivo. Estos
ajustes de HA no se sincronizan entre los dispositivos. Si desea informacin detallada sobre qu se sincroniza y
qu no, consulte HA Synchronization (en ingls).
Para ir a las instrucciones sobre cmo configurar los dispositivos en HA, consulte Configuracin de la HA
activa/pasiva.
La siguiente tabla enumera los ajustes que debe configurar de manera idntica en ambos dispositivos:
Ajustes de configuracin idnticos en PeerA y PeerB

La HA debe habilitarse en ambos dispositivos.

Ambos dispositivos deben tener el mismo valor de ID de grupo. El valor de ID de grupo se utiliza para crear una
direccin MAC virtual para todas las interfaces configuradas. El formato de la direccin MAC virtual es 00-1B-17:00:
xx: yy, donde
00-1B-17: ID de proveedor; 00: fijo; xx: ID de grupo de HA; yy: ID de interfaz.
Cuando un nuevo dispositivo activo tome el control, se enviarn ARP gratuitos desde cada una de las interfaces
conectadas del nuevo miembro activo para informar a los conmutadores de capa 2 conectados acerca de la nueva
ubicacin de la direccin MAC virtual.
Si se utilizan puertos internos, las interfaces de los enlaces de HA1 y HA2 debern establecerse con el tipo HA.
El modo de HA deber establecerse como Activo/pasivo.
Si es necesario, la preferencia debe habilitarse en ambos dispositivos. Sin embargo, el valor de prioridad de dispositivo
no debe ser idntico.
Si es necesario, deber configurarse el cifrado del enlace de HA1 (para la comunicacin entre los peers de HA) en
ambos dispositivos.
Basndose en la combinacin de puertos de copia de seguridad de HA1 y HA2 que est utilizando, utilice las siguientes
recomendaciones para decidir si debera habilitar la copia de seguridad de heartbeat:
HA1: Puerto de HA1 especfico
Copia de seguridad de HA1: Puerto interno
Recomendacin: Habilitar copia de seguridad de heartbeat
HA1: Puerto de HA1 especfico
Copia de seguridad de HA1: Puerto de administracin
Recomendacin: No habilitar copia de seguridad de heartbeat
HA1: Puerto interno
Copia de seguridad de HA1: Puerto interno
Recomendacin: Habilitar copia de seguridad de heartbeat
HA1: Puerto de administracin
Copia de seguridad de HA1: Puerto interno
Recomendacin: No habilitar copia de seguridad de heartbeat

158

Alta disponibilidad

Alta disponibilidad

Configuracin de la HA activa/pasiva

La siguiente tabla enumera los ajustes que deben configurarse de manera independiente en cada dispositivo:
Ajustes de
configuracin
independientes

PeerA

PeerB

Enlace de control

Direccin IP del enlace de HA1 configurado en

este dispositivo (PeerA).

Direccin IP del enlace de HA1

configurado en este dispositivo (PeerB).

En el caso de dispositivos sin puertos de HA especficos, utilice la direccin IP del puerto de

gestin para el enlace de control.
Enlace de datos

De manera predeterminada, el enlace de HA2

utiliza Ethernet/capa 2.

La informacin de
Si utiliza una conexin de capa 3, configure la
enlace de datos se
direccin IP para el enlace de datos de este
sincroniza entre los
dispositivos despus de dispositivo (PeerA).
habilitar la HA y
establecer el enlace de
control entre los
dispositivos.

De manera predeterminada, el enlace de

HA2 utiliza Ethernet/capa 2.
Si utiliza una conexin de capa 3, configure
la direccin IP para el enlace de datos de
este dispositivo (PeerB).

Prioridad de
dispositivo (obligatorio
si se habilita la
preferencia)

El dispositivo que tiene la intencin de activar

debe tener un valor numrico ms bajo que su
peer. Por lo tanto, si PeerA va a funcionar
como el dispositivo activo, mantenga el valor
predeterminado de 100 y aumente el valor de
PeerB.

Si PeerB es pasivo, establezca el valor de

prioridad de dispositivo con un valor
mayor que el de PeerA. Por ejemplo,
establezca el valor como 110.

Supervisin de enlaces:
Supervise una o ms
interfaces fsicas que
gestionen el trfico
vital de este dispositivo
y defina la condicin
de fallo.

Seleccione las interfaces fsicas del cortafuegos que

deseara supervisar y defina la condicin de fallo
(todo o alguno) que activar una conmutacin por
error.

Seleccione un conjunto similar de

interfaces fsicas que deseara supervisar y
defina la condicin de fallo (todo o alguno)
que activar una conmutacin por error.

Supervisin de rutas:
Supervise una o ms
direcciones IP de
destino en las que el
cortafuegos pueda
utilizar pings ICMP
para verificar la
capacidad de respuesta.

Defina la condicin de fallo (todo o alguno), el

intervalo de ping y el recuento de pings. Esto es de
especial utilidad para supervisar la disponibilidad
de otros dispositivos de red interconectados. Por
ejemplo, supervise la disponibilidad de un
enrutador que se conecte a un servidor, la
conectividad del propio servidor o cualquier otro
dispositivo vital que se encuentre en el flujo del
trfico.

Seleccione un conjunto similar de

dispositivos o direcciones IP de destino
que se puedan supervisar para determinar
la activacin de una conmutacin por error
para PeerB. Defina la condicin de fallo
(todo o alguno), el intervalo de ping y el
recuento de pings.

Asegrese de que no sea probable que el

nodo/dispositivo que est supervisando no
responda, especialmente cuando tenga una carga
inferior, ya que esto podra provocar un fallo
de supervisin de rutas y activar una conmutacin
por error.

Alta disponibilidad

159

Configuracin de la HA activa/pasiva

Alta disponibilidad

Configuracin de la HA activa/pasiva
El siguiente procedimiento muestra cmo configurar un par de cortafuegos en una implementacin
activa/pasiva como se muestra en la topologa de ejemplo siguiente.

Internet

Conmutador

Pasivo

Enlace de HA2

Activo

Enlace de HA1

Conmutador

Servidores: web, de correo electrnico, DNS, de aplicacin

Conexin y configuracin de los dispositivos

Paso 1

Conecte los puertos de HA para

establecer una conexin fsica entre los
dispositivos.

En el caso de dispositivos con puertos de HA especficos, utilice

un cable Ethernet para conectar los puertos de HA1 y HA2
especficos del par de dispositivos. Utilice un cable cruzado si los
dispositivos estn conectados directamente entre s.
En el caso de dispositivos sin puertos de HA especficos,
seleccione dos interfaces de datos para el enlace de HA2 y el enlace
de HA1 de copia de seguridad. A continuacin, utilice un cable
Ethernet para conectar estas interfaces de HA internas entre
ambos dispositivos. Utilice el puerto de gestin para el enlace de
HA1 y asegrese de que los puertos de gestin pueden conectarse
entre s a travs de su red.

Seleccione un dispositivo del clster y realice estas tareas:

Paso 2

Habilite los pings en el puerto de gestin. 1.

La habilitacin de los pings permite que el
puerto de gestin intercambie informacin
2.
de copia de seguridad de heartbeat.

160

Seleccione Dispositivo > Configuracin > Gestin y, a

continuacin, haga clic en el icono Editar de la seccin
Configuracin de interfaz de gestin de la pantalla.
Seleccione Ping como servicio permitido en la interfaz.

Alta disponibilidad

Alta disponibilidad

Configuracin de la HA activa/pasiva

Conexin y configuracin de los dispositivos (Continuacin)

Paso 3

1.

Seleccione Red > Interfaces.

2.

Confirme que el enlace est activado en los puertos que desee

utilizar.

3.

Seleccione la interfaz y establezca el tipo de interfaz como HA.

4.

Establezca los ajustes Velocidad de enlace y Dplex de enlace

segn sea adecuado.

Configure la conexin del enlace de

control.

1.

En Dispositivo > Alta disponibilidad > General, edite la seccin

Enlace de control (HA1).

Este ejemplo muestra un puerto interno

configurado con el tipo de interfaz HA.

2.

Seleccione la interfaz a la que ha conectado el cable para

utilizarla como el enlace de HA1 en el men desplegable Puerto.
Establezca la direccin IP y la mscara de red.

Si el dispositivo no tiene puertos de HA

especficos, configure los puertos de
datos para que funcionen como puertos
de HA.
En el caso de dispositivos con puertos de
HA especficos, vaya al Paso 4.

Paso 4

En el caso de dispositivos que utilicen el

puerto de gestin como el enlace de
control, la informacin de direccin IP se
cumplimenta previamente de manera
automtica.

Paso 5

(Opcional) Habilite el cifrado para la

conexin del enlace de control.

Introduzca una direccin IP de puerta de enlace nicamente si

las interfaces de HA1 estn en subredes separadas. No aada
una puerta de enlace si los dispositivos estn conectados
directamente.

1.

Exporte la clave de HA desde un dispositivo e imprtela al

dispositivo peer.
a. Seleccione Dispositivo > Gestin de certificados >
Certificados.

Esto suele utilizarse para proteger el

enlace si los dos dispositivos no estn
conectados directamente, es decir, si los
puertos estn conectados a un
conmutador o un enrutador.

b. Seleccione Exportar clave de HA. Guarde la clave de HA en

una ubicacin de red a la que pueda acceder el dispositivo
peer.
c. En el dispositivo peer, desplcese hasta Dispositivo > Gestin
de certificados > Certificados y seleccione Importar clave
de HA para desplazarse hasta la ubicacin donde guard la
clave e importarla en el dispositivo peer.

Alta disponibilidad

2.

Seleccione Dispositivo > Alta disponibilidad > General y edite

la seccin Enlace de control (HA1).

3.

Seleccione Cifrado habilitado.

161

Configuracin de la HA activa/pasiva

Alta disponibilidad

Conexin y configuracin de los dispositivos (Continuacin)

Paso 6

Paso 7

Configure la conexin del enlace de

control de copia de seguridad.

1.

En Dispositivo > Alta disponibilidad > General, edite la seccin

Enlace de control (copia de seguridad de HA1).

2.

Seleccione la interfaz de copia de seguridad de HA1 y configure

la direccin IP y la mscara de red.

Configure la conexin del enlace de datos 1.

(HA2) y la conexin de HA2 de copia de
seguridad entre los dispositivos.
2.
3.

En Dispositivo > Alta disponibilidad > General, edite la seccin

Enlace de datos (HA2).

4.

5.
6.

7.

162

Seleccione la interfaz para la conexin del enlace de datos.

Seleccione el mtodo Transporte. El valor predeterminado es
Ethernet y funcionar cuando el par de HA se conecte
directamente o a travs de un conmutador. Si necesita enrutar el
trfico del enlace de datos a travs de la red, seleccione IP o UDP
como modo de transporte.
Si utiliza IP o UDP como mtodo de transporte, introduzca la
direccin IP y la mscara de red.

Verifique que se ha seleccionado Habilitar sincronizacin de

sesin.
Seleccione Conexin persistente de HA2 para habilitar la
supervisin del enlace de datos de HA2 entre los peers de HA.
Si se produce un fallo basado en el umbral establecido (el valor
predeterminado son 10.000 ms), se producir la accin definida.
En el caso de una configuracin activa/pasiva, se generar un
mensaje de log de sistema crtico cuando se produzca un fallo de
conexin persistente de HA2.
Puede configurar la opcin Conexin persistente de
HA2 en ambos dispositivos o solamente un dispositivo
del par de HA. Si la opcin se habilita nicamente en un
dispositivo, solamente ese dispositivo enviar los
mensajes de conexin persistente. Si se produce un fallo,
se notificar al otro dispositivo.
Edite la seccin Enlace de datos (copia de seguridad de HA2),
seleccione la interfaz y aada la direccin IP y la mscara de red.

Alta disponibilidad

Alta disponibilidad

Configuracin de la HA activa/pasiva

Conexin y configuracin de los dispositivos (Continuacin)

Paso 8

1.
Habilite la copia de seguridad de
heartbeat si su enlace de control utiliza un
puerto de HA especfico o un puerto
2.
interno.
No necesita habilitar la copia de seguridad
de heartbeat si est utilizando el puerto de
gestin para el enlace de control.

Paso 9

En Dispositivo > Alta disponibilidad > General, edite la seccin

Configuracin de eleccin.
Seleccione Copia de seguridad de heartbeat.
Para permitir la transmisin de heartbeats entre los dispositivos,
deber verificar que el puerto de gestin entre ambos peers
puede enrutarse del uno al otro.
Habilitar la copia de seguridad de heartbeat tambin le
permite evitar una situacin de sndrome de cerebro
dividido. El sndrome de cerebro dividido se produce
cuando el enlace HA1 deja de funcionar y provoca que el
cortafuegos se omita, pese a que el dispositivo sigue
funcionando. En tales situaciones, cada peer cree que el
otro ha dejado de funcionar e intenta iniciar los servicios
que estn en funcionamiento, causando un sndrome de
cerebro dividido. Si el enlace de copia de seguridad de
heartbeat est habilitado, se evita el sndrome de cerebro
dividido, ya que los heartbeats redundantes y los
mensajes de saludo se transmiten a travs del puerto de
gestin.

Establezca la prioridad de dispositivo y

habilite la preferencia.

1.

En Dispositivo > Alta disponibilidad > General, edite la seccin

Configuracin de eleccin.

Este ajuste nicamente es necesario si

desea asegurarse de que un dispositivo
especfico es el dispositivo activo
preferido. Para obtener informacin,
consulte Prioridad y preferencia de
dispositivos.

2.

Establezca el valor numrico de Prioridad de dispositivo.

Asegrese de establecer un valor numrico ms bajo en el
dispositivo al que desee asignar una mayor prioridad.
Si ambos cortafuegos tienen el mismo valor de prioridad
de dispositivo, el cortafuegos con la direccin MAC ms
baja en el enlace de control de HA1 ser el dispositivo
activo.

3.

Seleccione Preferente.
Debe habilitar la preferencia tanto en el dispositivo activo como
en el pasivo.

Paso 10 (Opcional) Modifique los temporizadores 1.

de conmutacin por error.
De manera predeterminada, el perfil del 2.
temporizador de HA se establece como el
perfil Recomendada y es adecuado para
la mayora de implementaciones de HA.

En Dispositivo > Alta disponibilidad > General, edite la seccin

Configuracin de eleccin.
Seleccione el perfil Agresivo para activar la conmutacin por
error ms rpido; seleccione Avanzado para definir valores
personalizados para activar la conmutacin por error en su
configuracin.
Para ver el valor preestablecido para un temporizador
concreto incluido en un perfil, seleccione Avanzado y
haga clic en Carga recomendada o Carga intensiva.
Los valores preestablecidos para su modelo de hardware
aparecern en la pantalla.

Alta disponibilidad

163

Configuracin de la HA activa/pasiva

Alta disponibilidad

Conexin y configuracin de los dispositivos (Continuacin)

Paso 11 (Opcional, nicamente configurado en el

dispositivo pasivo) Modifique el estado de
enlace de los puertos de HA en el
dispositivo pasivo.

Establecer el estado de enlace como Auto permite reducir la cantidad

de tiempo que tarda el dispositivo pasivo en tomar el control cuando
se produce una conmutacin por error y le permite supervisar el
estado de enlace.

El estado de enlace pasivo es

Apagar de manera
predeterminada. Cuando habilite
HA, el estado de enlace de los
puertos de HA del dispositivo
activo ser de color verde; los del
dispositivo pasivo estarn desactivados y
se mostrarn de color rojo.

Para habilitar el estado de enlace del dispositivo pasivo para que

permanezca activado y refleje el estado de cableado de la interfaz
fsica:
1. En Dispositivo > Alta disponibilidad > General, edite la seccin
Configuracin Activa/Pasiva.
2.

Establezca Estado de los enlaces en el pasivo como Auto.

La opcin automtica reduce la cantidad de tiempo que tarda el
dispositivo pasivo en tomar el control cuando se produce una
conmutacin por error.
Aunque la interfaz se muestre de color verde (cableada y
activada), seguir descartando todo el trfico hasta que se
active una conmutacin por error.
Cuando modifique el estado de enlace pasivo, asegrese
de que los dispositivos adyacentes no reenvan el trfico
al cortafuegos pasivo basndose nicamente en el estado
de enlace del dispositivo.

Paso 12 Habilite la HA.

1.

Seleccione Dispositivo > Alta disponibilidad > General y edite

la seccin Configuracin.

2.

Seleccione Habilitar HA.

3.

Establezca un ID de grupo. Este ID identifica de manera

exclusiva cada par de HA de su red y es esencial si tiene varios
pares de HA que compartan el mismo dominio de difusin en
su red.

4.

Establezca el modo como Activo Pasivo.

5.

Seleccione Habilitar sincronizacin de configuracin. Este

ajuste habilita la sincronizacin de los ajustes de configuracin
entre los dispositivos activo y pasivo.

6.

Introduzca la direccin IP asignada al enlace de control del

dispositivo peer en Direccin IP de HA de peer.

En el caso de dispositivos sin puertos de HA especficos, si el

peer utiliza el puerto de gestin para el enlace de HA1,
introduzca la direccin IP del puerto de gestin del peer.
7.

164

Introduzca Direccin IP de HA1 de copia de seguridad.

Alta disponibilidad

Alta disponibilidad

Configuracin de la HA activa/pasiva

Conexin y configuracin de los dispositivos (Continuacin)

Paso 13 Guarde los cambios de configuracin.

Haga clic en Confirmar.

Paso 14 Realice del Paso 2 al Paso 13 en el otro

dispositivo del par de HA.
1.
Paso 15 Cuando termine de configurar ambos
dispositivos, verifique que los dispositivos
estn emparejados en la HA
2.
activa/pasiva.
3.
En el dispositivo pasivo: El estado del dispositivo
local debera mostrarse como Pasivo y la
configuracin se sincronizar.

Alta disponibilidad

Acceda al Panel de ambos dispositivos y visualice el widget Alta

disponibilidad.
En el dispositivo activo, haga clic en el enlace Sincronizar en el
peer.
Confirme que los dispositivos estn emparejados y
sincronizados, como se muestra a continuacin:

En el dispositivo activo: El estado del dispositivo local debera

mostrarse como Activo y la configuracin se sincronizar.

165

Configuracin de la HA activa/pasiva

Alta disponibilidad

Definicin de las condiciones de conmutacin por error

Configuracin de los activadores de conmutacin por error

Paso 1

Para configurar la supervisin de enlaces, 1.

defina las interfaces que desee supervisar.
Un cambio en el estado de enlace de estas 2.
interfaces activar una conmutacin por
3.
error.

Seleccione Dispositivo > Alta disponibilidad > Supervisin de

enlaces y rutas.
En la seccin Grupo de enlaces, haga clic en Aadir.
Asigne un nombre al Grupo de enlaces, aada las interfaces
para su supervisin y seleccione la Condicin de fallo para el
grupo. El grupo de enlaces que defina se aadir a la seccin
Grupo de enlaces.

Paso 2

(Opcional) Modifique la condicin de fallo 1.

de los grupos de enlaces que configur
2.
(en el paso anterior) en el dispositivo.
De manera predeterminada, el dispositivo
activar una conmutacin por error
cuando falle cualquier enlace supervisado.

Paso 3

1.
Para configurar la supervisin de rutas,
defina las direcciones IP de destino en las
que el cortafuegos debera hacer ping para
verificar la conectividad de red.
2.

Seleccione la seccin Supervisin de enlaces.

Establezca la Condicin de fallo como Todos.
El ajuste predeterminado es Cualquiera.

En la seccin Grupo de rutas de la pestaa Dispositivo > Alta

disponibilidad > Supervisin de enlaces y rutas, seleccione la
opcin Aadir para su configuracin: Cable virtual, VLAN o

Enrutador virtual.
Seleccione el elemento adecuado del men desplegable para el
Nombre y haga clic en Aadir para aadir las direcciones IP
(origen y/o destino, segn se le pida) que desee supervisar.
A continuacin, seleccione la Condicin de fallo del grupo.
El grupo de rutas que defina se aadir a la seccin Grupo de
rutas.

Paso 4

(Opcional) Modifique la condicin de

fallo para todos los grupos de rutas
configurados en el dispositivo.

Establezca la Condicin de fallo como Todos.

El ajuste predeterminado es Cualquiera.

De manera predeterminada, el dispositivo

activar una conmutacin por error
cuando falle cualquier ruta supervisada.
Paso 5

Guarde sus cambios.

Haga clic en Confirmar.

Si est utilizando SNMPv3 para supervisar los cortafuegos, tenga en cuenta que el ID de motor de SNMPv3 es
exclusivo para cada dispositivo; EngineID no se sincroniza entre el par de HA y, por lo tanto, le permite supervisar
independientemente cada dispositivo del par de HA. Si desea informacin sobre cmo configurar SNMP,
consulte Configuracin de los destinos de Trap SNMP.
Como EngineID se genera utilizando el nmero de serie exclusivo del dispositivo, en el cortafuegos VM-Series
deber aplicar una licencia vlida para obtener un EngineID exclusivo para cada cortafuegos.

166

Alta disponibilidad

Alta disponibilidad

Configuracin de la HA activa/pasiva

Verificacin de conmutacin por error

Para comprobar que su configuracin de HA funciona correctamente, active una conmutacin por error manual
y verifique que los dispositivos cambian de estado correctamente.
Verificacin de conmutacin por error

Paso 1

Suspenda el dispositivo activo.

Haga clic en el enlace Suspender dispositivo local en la pestaa

Dispositivo > Alta disponibilidad > Comandos de operacin.

Paso 2

Verifique que el dispositivo pasivo ha

tomado el control como activo.

En el Panel, verifique que el estado del dispositivo pasivo cambia a

Activo en el widget Alta disponibilidad.

Paso 3

Restablezca el dispositivo suspendido a

un estado funcional. Espere un par de
minutos y, a continuacin, verifique que
se ha producido la preferencia, si se ha
habilitado.

1.

En el dispositivo que suspendi anteriormente, seleccione el

enlace Hacer que el dispositivo local sea funcional de la
pestaa Dispositivo > Alta disponibilidad > Comandos
operativos.

2.

En el widget Alta disponibilidad del Panel, confirme que el

dispositivo ha tomado el control como dispositivo activo y que
el peer ahora est en un estado pasivo.

Alta disponibilidad

167

Recursos de HA

Alta disponibilidad

Recursos de HA
Para obtener ms informacin sobre la HA, consulte las siguientes fuentes:

Active/Active HA (en ingls)

High Availability Synchronization (en ingls)

High Availability Failover Optimization (en ingls)

Upgrading an HA pair (en ingls)

Examples: Deploying HA (en ingls)

168

Alta disponibilidad

Informes y logs
El cortafuegos proporciona informes y logs que resultan de utilidad para supervisar la actividad de su red. Puede
supervisar los logs y filtrar la informacin para generar informes con vistas predefinidas o personalizadas. Por
ejemplo, puede utilizar plantillas predefinidas para generar informes sobre la actividad de un usuario o analizar
los informes y logs para interpretar un comportamiento inusual en su red, y generar un informe personalizado
sobre el patrn de trfico. Los siguientes temas describen cmo ver, gestionar, personalizar y generar los
informes y logs en el cortafuegos:

Uso del panel

Uso del centro de comando de aplicacin

Uso de Appscope

Realizacin de capturas de paquetes

Supervisin del cortafuegos

Reenvo de logs a servicios externos

Supervisin del Firewall mediante SNMP

Supervisin del cortafuegos mediante NetFlow

Plantillas de NetFlow

Identificacin de interfaces de cortafuegos en sistemas de supervisin externos

Gestin de informes

Descripcin de los campos de Syslog

Informes y logs

169

Uso del panel

Informes y logs

Uso del panel

Los widgets de la pestaa Panel muestran informacin general del dispositivo, como la versin de software, el
estado operativo de cada interfaz, la utilizacin de recursos y hasta 10 de las entradas ms recientes en los logs
Sistema, Configuracin y Amenaza. Todos los widgets disponibles aparecen de forma predeterminada, pero
cada administrador puede eliminar y agregar widgets individuales segn sea necesario.
Haga clic en el icono
para actualizar el panel o un widget individual. Para cambiar el intervalo de
actualizacin automtica, seleccione un intervalo del men desplegable (1 min, 2 min, 5 min o Manual). Para
agregar un widget al panel, haga clic en el men desplegable Widget, seleccione una categora y luego el nombre
del widget. Para eliminar un widget, haga clic en
en la barra de ttulos.
La siguiente tabla describe los widgets del panel.
Grficos del panel

Descripciones

Aplicaciones principales

Muestra las aplicaciones con la mayora de sesiones. El tamao del bloque indica el nmero
relativo de sesiones (pase el ratn sobre el bloque para ver el nmero) y el color indica el
riesgo de seguridad, desde verde (ms bajo) a rojo (ms alto). Haga clic en una aplicacin
para ver su perfil de aplicacin.

Aplicaciones principales de
alto riesgo

Similar a Aplicaciones principales, excepto las que muestran las aplicaciones de mayor riesgo
con la mayora de las sesiones.

Informacin general

Muestra el nombre del dispositivo, el modelo, la versin del software de PAN-OS, la

aplicacin, las amenazas, las versiones de definicin del filtro de URL, la fecha y hora
actuales y el perodo de tiempo transcurrido desde el ltimo reinicio.

Estado de la interfaz

Indica si cada interfaz est activa (verde), no est operativa (rojo) o en un estado
desconocido (gris).

Registros de amenazas

Muestra el ID de amenaza, la aplicacin y la fecha y hora de las 10 ltimas entradas en el log

Amenazas. El ID de amenaza es una descripcin malintencionada de una URL que incumple
el perfil de filtro de URL.

Logs de configuracin

Muestra el nombre de usuario del administrador, el cliente (Web o CLI) y la fecha y hora de
las 10 ltimas entradas en el log Configuracin.

Logs de filtrado de datos

Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el log Filtrado de datos.

Registros de filtrado de URL

Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el log Filtrado de URL.

Registros del sistema

Muestra la descripcin y la fecha y hora de las ltimos 10 entradas en el log Sistema.

Una entrada Configuracin instalada indica que se han llevado a cabo cambios
en la configuracin correctamente.

Recursos del sistema

Muestra el uso de CPU de gestin, el uso de plano de datos y el Nmero de sesiones que
muestra el nmero de sesiones establecidas a travs del cortafuegos.

Administradores registrados

Muestra la direccin IP de origen, el tipo de sesin (Web o CLI) y la hora de inicio de sesin
para cada administrador actualmente registrado.

Factor de riesgo de ACC

Muestra el factor de riesgo medio (1 a 5) para el trfico de red procesado la semana pasada.
Los valores mayores indican un mayor riesgo.

Alta disponibilidad

Si la alta disponibilidad (HA) est activada, indica el estado de la Alta disponibilidad (HA)
del dispositivo local y del peer: Verde (activa), amarillo (pasiva) o negro (otro). Si desea ms
informacin sobre HA, consulte Alta disponibilidad.

Bloqueos

Muestra bloqueos de configuracin realizados por los administradores.

170

Informes y logs

Informes y logs

Uso del centro de comando de aplicacin

Uso del centro de comando de aplicacin

La pestaa ACC describe visualmente las tendencias e incluye una vista del historial de trfico de la red.

Nivel de riesgo de ACC

Grficos de ACC

Pginas de detalles de ACC

Uso de ACC

Informes y logs

171

Uso del centro de comando de aplicacin

Informes y logs

Nivel de riesgo de ACC

La pestaa ACC muestra el nivel de riesgo general para todo el trfico de red, los niveles de riesgo y el nmero
de amenazas detectadas para las aplicaciones ms activas y con mayor riesgo en su red, as como el nmero de
amenazas detectadas en las categoras de aplicacin ms activas y en todas las aplicaciones con cualquier nivel
de riesgo. Utilice el ACC para visualizar datos de aplicacin de la hora, el da, la semana o el mes anterior o
cualquier perodo de tiempo definido de forma personalizada. Los niveles de Riesgo (1=ms bajo a 5=ms alto)
indican el riesgo de seguridad relativo de la aplicacin dependiendo de criterios como si la aplicacin puede
compartir archivos, es proclive al uso indebido o intenta esquivar los cortafuegos.

172

Informes y logs

Informes y logs

Uso del centro de comando de aplicacin

Grficos de ACC
Se muestran 5 grficos en la pestaa Centro de comando de aplicacin (ACC):

Aplicacin

Filtrado de URL

Prevencin de amenazas

Filtrado de datos

Coincidencias HIP

Grfico de ACC

Descripcin

Aplicacin

Muestra informacin de aplicacin agrupada por los siguientes atributos:

Aplicaciones
Aplicaciones de alto riesgo
Categoras
Subcategoras
Tecnologa
Riesgo
Cada grfico puede incluir el nmero de sesiones, los bytes transmitidos y recibidos, el nmero de
amenazas, la categora de aplicacin, las subcategoras de aplicacin, la tecnologa de aplicacin y el
nivel de riesgo, si es necesario.

Filtrado de URL

Muestra informacin de URL/categora agrupada por los siguientes atributos:

Categoras de URL
URL
Categoras de URL bloqueadas
URL bloqueadas
Cada grfico puede incluir la URL, la categora de URL y el nmero de repeticiones (nmero de
intentos de acceso, si es necesario).

Prevencin de
amenazas

Muestra informacin de amenaza agrupada por los siguientes atributos:

Amenazas
Tipos
Spyware
Llamada a casa de spyware
Descargas de spyware
Vulnerabilidades
Virus
Cada grfico puede incluir el ID de la amenaza, el recuento (nmero de incidencias), el nmero de
sesiones y el subtipo (por ejemplo, vulnerabilidad) segn corresponda.

Informes y logs

173

Uso del centro de comando de aplicacin

Informes y logs

Grfico de ACC

Descripcin

Filtrado de datos

Muestra informacin sobre los datos filtrados por el cortafuegos agrupada por los siguientes
atributos:
Tipos de contenido/archivo
Tipos
Nombres de archivos

Coincidencias HIP

Muestra la informacin de host recopilada por el cortafuegos agrupada por:

Objetos HIP
Perfiles HIP

174

Informes y logs

Informes y logs

Uso del centro de comando de aplicacin

Pginas de detalles de ACC

Para ver informacin detallada adicional, haga clic en cualquiera de los enlaces de los grficos de ACC. Se abrir
una pgina de detalles para mostrar informacin acerca del elemento en la lista principal y las listas adicionales
de los elementos relacionados. Por ejemplo, si hace clic en el enlace de exploracin web en el grfico Aplicacin,
se abrir la pgina Informacin de aplicacin para la exploracin web:

Informes y logs

175

Uso del centro de comando de aplicacin

Informes y logs

Uso de ACC
En el siguiente procedimiento se describe cmo utilizar la pestaa ACC y cmo personalizar su vista:
Uso de ACC

Paso 1

En ACC, cambie uno o varios de los ajustes en la parte superior de la pgina.

Utilice los mens desplegables para seleccionar Aplicaciones, Categoras de URL, Amenazas, Tipos de
contenido/archivo y Objetos de HIP para visualizarlos.
Seleccione un sistema virtual, si los sistemas virtuales estn definidos.
Seleccione un perodo de tiempo en el men desplegable Tiempo. El valor predeterminado es ltima hora.
Seleccione un mtodo de orden en el men desplegable Ordenar por. Puede ordenar los grficos en orden
descendente por nmero de sesiones, bytes o amenazas. El valor predeterminado es por nmero de sesiones.
Para el mtodo de orden seleccionado, seleccione el mayor nmero de aplicaciones y categoras de aplicacin
que aparecen en cada grfico en el men desplegable Principal. Haga clic en el icono de envo para aplicar la
configuracin seleccionada.

Paso 2

Para abrir pginas de logs asociadas a la informacin en la pgina, utilice los enlaces de logs en la esquina inferior
derecha de la pgina, como se muestra a continuacin. El contexto de los logs coincide con la informacin que
aparece en la pgina.

Paso 3

Para filtrar la lista, haga clic en un elemento en una de las columnas, eso agregar ese elemento a la barra de
filtrado ubicada sobre los nombres de columna de log. Despus de agregar los filtros deseados, haga clic en el
icono Aplicar filtro.

176

Informes y logs

Informes y logs

Uso de Appscope

Uso de Appscope
Los informes de Appscope proporcionan herramientas de visibilidad y anlisis para detectar los
comportamientos problemticos, lo que permite comprender los cambios en el uso de las aplicaciones y la
actividad del usuario, y los usuarios y las aplicaciones que consumen la mayor parte del ancho de banda de la
red, e identificar las amenazas en la red.
Con los informes de Appscope, puede comprobar rpidamente si algn comportamiento es inusual o
inesperado. Cada informe proporciona una ventana dinmica y personalizable por el usuario en la red; al pasar
el ratn por encima y hacer clic en las lneas y barras de los grficos, se abre informacin detallada acerca de la
aplicacin especfica, categora de la aplicacin, usuario u origen del ACC. Los grficos de Appscope ofrecen la
posibilidad de:

Alternar entre los atributos de la leyenda para ver solamente los detalles del grfico que desea revisar. La
posibilidad de incluir o excluir datos del grfico permite cambiar la escala y revisar los detalles ms
detenidamente.

Hacer clic en un atributo del grfico de barras y ver los detalles de las sesiones relacionadas en el ACC. Haga
clic en un nombre de aplicacin, una categora de aplicacin, un nombre de amenaza, una categora de
amenaza, una direccin IP de origen o una direccin IP de destino en cualquier grfico de barras para filtrar
el atributo y ver las sesiones relacionadas en el ACC.

Exportar un grfico o un mapa a PDF o como una imagen. Para garantizar la portabilidad y la visualizacin
fuera de lnea, puede exportar los grficos y mapas como PDF o imgenes PNG.

Los siguientes informes de Appscope estn disponibles:

Informe de resumen

Informe del supervisor de cambios

Informe del supervisor de amenazas

Informe del mapa de amenazas

Informe del supervisor de red

Informe del mapa de trfico

Informes y logs

177

Uso de Appscope

Informes y logs

Informe de resumen
El informe de resumen de Appscope muestra grficos de los cinco principales ganadores, perdedores,
aplicaciones de consumo de ancho de banda, categoras de aplicacin, usuarios y orgenes.

178

Informes y logs

Informes y logs

Uso de Appscope

Informe del supervisor de cambios

El informe del supervisor de cambios de Appscope muestra los cambios realizados en un perodo de tiempo
especfico. Por ejemplo, el siguiente grfico muestra las principales aplicaciones adquiridas en la ltima hora en
comparacin con el ltimo perodo de 24 horas. Las principales aplicaciones se determinan por el recuento de
sesiones y se ordenan por porcentajes.

El informe del supervisor de cambios contiene los siguientes botones y opciones.

Botn

Descripcin

Determina el nmero de registros con la mayor medicin incluidos en el

grfico.
Determina el tipo de elemento indicado: Aplicacin, Categora de
aplicacin, Origen o Destino.
Muestra mediciones de elementos que han ascendido durante el perodo
de medicin.
Muestra mediciones de elementos que han descendido durante el
perodo de medicin.
Muestra mediciones de elementos que se han agregado durante el
perodo de medicin.
Muestra mediciones de elementos que se han suspendido durante el
perodo de medicin.

Informes y logs

179

Uso de Appscope

Botn

Informes y logs

Descripcin

Aplica un filtro para mostrar nicamente el elemento seleccionado.

Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.

Determina si ordenar entradas por porcentajes o incremento bruto.

Exporta el grfico como imagen .png o PDF.

Especifica el perodo durante el que se realizaron las mediciones de
cambio.

180

Informes y logs

Informes y logs

Uso de Appscope

Informe del supervisor de amenazas

El informe del supervisor de amenazas de Appscope muestra un recuento de las principales amenazas durante
el perodo de tiempo seleccionado. Por ejemplo, la siguiente ilustracin muestra los 10 principales tipos de
amenaza en las ltimas 6 horas.

Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del grfico. El informe del
supervisor de amenazas contiene los siguientes botones y opciones.
Botn

Descripcin

Determina el nmero de registros con la mayor medicin incluidos en

el grfico.
Determina el tipo de elemento medido: Amenaza, Categora de
amenaza, Origen o Destino.
Aplica un filtro para mostrar nicamente el tipo de elemento
seleccionado.
Determina si la informacin se presenta en un grfico de columna
apilado o un grfico de rea apilado.
Exporta el grfico como imagen .png o PDF.
Especifica el perodo durante el que se realizaron las mediciones.

Informes y logs

181

Uso de Appscope

Informes y logs

Informe del mapa de amenazas

El informe del mapa de amenazas de Appscope muestra una vista geogrfica de amenazas, incluida la gravedad.
Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del grfico.
El cortafuegos usa la geolocalizacin para crear mapas de amenazas. El cortafuegos se incluye en la parte
inferior de la pantalla del mapa de amenazas si no ha especificado las coordenadas de geolocalizacin
(Dispositivo > Configuracin > Gestin, seccin Configuracin general) en el cortafuegos.

El informe del mapa de amenazas contiene los siguientes botones y opciones.

Botn

Descripcin

Determina el nmero de registros con la mayor medicin incluidos en

el grfico.
Muestra las amenazas entrantes.
Muestra las amenazas salientes.

Aplica un filtro para mostrar nicamente el tipo de elemento

seleccionado.
Acerque y aleje el mapa.
Exporta el grfico como imagen .png o PDF.
Indica el perodo durante el que se realizaron las mediciones.

182

Informes y logs

Informes y logs

Uso de Appscope

Informe del supervisor de red

El informe del supervisor de red de Appscope muestra el ancho de banda dedicado a diferentes funciones de
red durante el perodo de tiempo especificado. Cada funcin de red est indicada con colores como se indica en
la leyenda debajo del grfico. Por ejemplo, la imagen siguiente muestra el ancho de banda de aplicacin en los
7 ltimos das basndose en la informacin de sesin.

El informe del supervisor de red contiene los siguientes botones y opciones.

Botn

Descripcin

Determina el nmero de registros con la mayor medicin incluidos en

el grfico.
Determina el tipo de elemento indicado: Aplicacin, Categora de
aplicacin, Origen o Destino.
Aplica un filtro para mostrar nicamente el elemento seleccionado.
Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.

Exporta el grfico como imagen .png o PDF.

Determina si la informacin se presenta en un grfico de columna
apilado o un grfico de rea apilado.
Indica el perodo durante el que se realizaron las mediciones de
cambio.

Informes y logs

183

Uso de Appscope

Informes y logs

Informe del mapa de trfico

El informe del mapa de trfico de Appscope muestra una vista geogrfica de los flujos de trfico segn las
sesiones o los flujos.
El cortafuegos usa la geolocalizacin para crear mapas de trfico. El cortafuegos se incluye en la parte inferior
de la pantalla del mapa de trfico si no ha especificado las coordenadas de geolocalizacin (Dispositivo >
Configuracin > Gestin, seccin Configuracin general) en el cortafuegos.

Cada tipo de trfico est indicado con colores como se indica en la leyenda debajo del grfico. El informe del
mapa de trfico contiene los siguientes botones y opciones.
Botones

Descripcin

Determina el nmero de registros con la mayor medicin incluidos en

el grfico.
Muestra las amenazas entrantes.

Muestra las amenazas salientes.

Determina si mostrar informacin de sesin o byte.

Acerque y aleje el mapa.

Exporta el grfico como imagen .png o PDF.
Indica el perodo durante el que se realizaron las mediciones de
cambio.

184

Informes y logs

Informes y logs

Realizacin de capturas de paquetes

Realizacin de capturas de paquetes

PAN-OS admite capturas de paquetes para la resolucin de problemas o la deteccin de aplicaciones
desconocidas. Puede definir filtros de modo que solo se capturen los paquetes que coinciden con los filtros. Las
capturas de paquetes se almacenan de forma local en el dispositivo y estn disponibles para su descarga en su
equipo local.
Captura de paquetes est destinado exclusivamente a la resolucin de problemas. Esta funcin
puede hacer que el rendimiento del sistema disminuya y solo debe usarse en caso necesario.
Recuerde deshabilitar la funcin despus de finalizar la captura de paquetes.

La tabla siguiente describe la configuracin de la captura de paquetes en Supervisar > Captura de paquetes.
Campo

Descripcin

Gestionar filtros

Haga clic en Gestionar filtros, haga clic en Aadir para agregar un nuevo filtro y
especifique la siguiente informacin:
Id: Introduzca o seleccione un identificador para el filtro.
Interfaz de entrada: Seleccione la interfaz del cortafuegos.
Origen: Especifique la direccin IP de origen.
Destino: Especifique la direccin IP de destino.
Puerto de origen: Especifique el puerto de origen.
Puerto de destino: Especifique el puerto de destino.
Proto: Especifique el protocolo para filtrar.
Sin Ip: Seleccione cmo tratar el trfico sin IP (excluir todo el trfico IP, incluir todo
el trfico IP, incluir solo trfico IP o no incluir un filtro de IP).
IPv6: Seleccione la casilla de verificacin para incluir paquetes de IPv6 en el filtro.

Filtrado

Haga clic para alternar las selecciones de activar o desactivar filtrado.

Anterior a la coincidencia Haga clic para alternar la opcin activar o desactivar anterior a la coincidencia.

La opcin anterior a la coincidencia se agrega para fines de resolucin de problemas

avanzada. Cuando un paquete introduce el puerto de entrada (ingress), avanza a travs
de varios pasos de procesamiento antes de analizar coincidencias en contra de filtros
preconfigurados.
Es posible que un paquete, debido a un fallo, no alcance la etapa de filtrado. Eso puede
ocurrir, por ejemplo, si falla una bsqueda de ruta.
Establezca la configuracin anterior a la coincidencia como Activada para emular una
coincidencia positiva de cada paquete entrando en el sistema. Eso permite al
cortafuegos capturar incluso los paquetes que no alcanzan el proceso de filtrado. Si un
paquete puede alcanzar la etapa de filtrado, se procesar de acuerdo con la
configuracin del filtro y se descartar si no consigue cumplir los criterios de filtrado.

Informes y logs

185

Realizacin de capturas de paquetes

Campo

Descripcin

Captura de paquetes

Haga clic para alternar activar o desactivar capturas de paquetes.

Informes y logs

Para los perfiles de antispyware y proteccin contra vulnerabilidades, puede habilitar

capturas de paquetes extendidas para reglas y excepciones definidas en el perfil. Esta
funcionalidad permite al cortafuegos capturar de 1 a 50 paquetes y proporciona ms
contexto al analizar los logs de amenaza.
Para definir la longitud de captura de paquetes extendida:
1. Seleccione Dispositivo > Configuracin > Content-ID.
2.

Edite la seccin Configuracin de deteccin de amenaza para especificar la

Longitud de captura para el nmero de paquetes que debe capturarse.

3.

Visualice la captura de paquetes en Supervisar > Logs > Amenaza.

Localice la entrada de log de amenaza y haga clic en el icono de flecha verde
(Captura de paquetes) en la fila correspondiente para ver la captura.

Fase de captura de
paquetes

Haga clic en Aadir y especifique lo siguiente:

Etapa: Indique el punto en el que capturar el paquete:
Desplegar: Cuando el procesamiento de paquetes encuentra un error y el paquete
no se puede desplegar.
Cortafuegos: Cuando el paquete tiene una coincidencia de sesin o se crea un
primer paquete con una sesin correctamente
Recibir: Cuando se recibe el paquete en el procesador de plano de datos.
Transmitir: Cuando se transmite el paquete en el procesador de plano de datos.
Archivo: Especifica el nombre del archivo de captura. El nombre del archivo debe
comenzar por una letra y puede incluir letras, dgitos, puntos, guiones bajos o
guiones.
Recuento de paquetes: Especifica el nmero de paquetes despus del que se
detiene la captura.
Recuento de bytes: Especifica el nmero de bytes despus del que se detiene la
captura.

Archivos capturados

Seleccione Eliminar para quitar un archivo de captura de paquetes de la lista en la que

se muestran los archivos capturados.

Borrar toda la
configuracin

Seleccione Borrar toda la configuracin para borrar completamente la configuracin

de captura de paquetes.

186

Informes y logs

Informes y logs

Supervisin del cortafuegos

Supervisin del cortafuegos

Las siguientes secciones describen los mtodos que puede usar para supervisar el cortafuegos y ofrecer
instrucciones de configuracin bsicas.

Supervisin de aplicaciones y amenazas

Supervisin de datos de logs

Supervisin del panel

Visualizacin de informes
Adems, puede configurar el cortafuegos (a excepcin de los cortafuegos de las series PA-4000
y PA-7050) para exportar los datos de flujo a un recopilador NetFlow para el anlisis y la
generacin de informes. Para establecer la configuracin de NetFlow, consulte PAN-OS Web
Interface Reference Guide (en ingls).

Informes y logs

187

Supervisin del cortafuegos

Informes y logs

Supervisin de aplicaciones y amenazas

Todos los cortafuegos de prxima generacin de Palo Alto Networks estn equipados con la tecnologa
App-ID, la cual permite identificar las aplicaciones que cruzan su red con independencia del protocolo, el
cifrado o la tctica de evasin. De este modo, puede optar por el Uso del centro de comando de aplicacin para
supervisar las aplicaciones. ACC resume grficamente la base de datos de logs para resaltar las aplicaciones que
cruzan su red, quin las usa y su posible impacto en la seguridad. ACC se actualiza de forma dinmica de acuerdo
con la clasificacin de trfico continua que App-ID realiza; si una aplicacin cambia de puerto o
comportamiento, App-ID contina observando el trfico, mostrando los resultados en ACC.
Puede investigar rpidamente aplicaciones nuevas, peligrosas o desconocidas que aparezcan en ACC con un solo
clic que muestra una descripcin de la aplicacin, sus caractersticas clave, sus caractersticas de comportamiento
y quin la usa. La visibilidad adicional de categoras de URL, amenazas y datos ofrece una perspectiva completa
de la actividad de la red. Con ACC, puede obtener informacin rpidamente acerca del trfico que cruza su red
y traducir la informacin a una poltica de seguridad con ms informacin.

188

Informes y logs

Informes y logs

Supervisin del cortafuegos

Supervisin de datos de logs

Todos los cortafuegos de prxima generacin de Palo Alto Networks pueden generar logs que ofrecen un
seguimiento auditado de las actividades y eventos del cortafuegos. Hay diversos logs para distintos tipos de
actividades y eventos. Por ejemplo, los logs de amenaza registran todo el trfico que genera una alarma de
seguridad en el cortafuegos, los logs de filtrado de URL registran todo el trfico que coincide con un perfil de
filtrado de URL asociado a una poltica de seguridad y los logs de configuracin registran todos los cambios en
la configuracin del cortafuegos.
Puede optar por el Reenvo de logs a servicios externos o ver los logs localmente en el dispositivo del modo
siguiente:

Visualizacin de los archivos log

Filtrado de datos de logs

Visualizacin de los archivos log

El cortafuegos mantiene logs de coincidencias de WildFire, configuraciones, sistema, alarmas, flujos de trfico,
amenazas, filtrado de URL, filtrado de datos y perfil de informacin de host (HIP). Puede visualizar los logs
actuales en cualquier momento. Para ubicar entradas especficas, puede aplicar filtros a la mayora de los campos
de log.
El cortafuegos muestra la informacin en logs por lo que se respetan los permisos de
administracin basado en funcin. Cuando muestra logs, solo se incluye la informacin de cuyo
permiso dispone. Para obtener informacin acerca de los permisos de administrador, consulte
Funciones administrativas.

De forma predefinida, todos los archivos log se generan y guardan de forma local en el cortafuegos. Puede ver
estos archivos log directamente (Supervisar > Logs):

Informes y logs

189

Supervisin del cortafuegos

Informes y logs

Para mostrar detalles adicionales, haga clic en el icono de catalejo

de una entrada.

La siguiente tabla incluye informacin sobre cada tipo de log:

Grficos de
descripciones del log

Descripcin

Trfico

Muestra una entrada para el inicio y el final de cada sesin. Todas las entradas incluyen
la fecha y la hora, las zonas de origen y destino, las direcciones y los puertos, el nombre
de la aplicacin, el nombre de la regla de seguridad aplicada al flujo, la accin de la regla
(permitir, denegar o descartar), la interfaz de entrada y salida, el nmero de bytes y la
razn para finalizar la sesin.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la sesin,
como si una entrada ICMP agrega varias sesiones entre el mismo origen y destino
(el valor Recuento ser superior a uno).
La columna Tipo indica si la entrada es para el inicio o el fin de la sesin o si se ha
denegado o descartado la sesin. Un descarte indica que la regla de seguridad que ha
bloqueado el trfico ha especificado una aplicacin cualquiera, mientras que
denegacin indica que la regla ha identificado una aplicacin especfica.
Si se descarta el trfico antes de identificar la aplicacin, como cuando una regla descarta
todo el trfico para un servicio especfico, la aplicacin aparece como no aplicable.

190

Informes y logs

Informes y logs

Supervisin del cortafuegos

Grficos de
descripciones del log

Descripcin

Amenaza

Muestra una entrada cuando el trfico coincide con un perfil de seguridad (Antivirus,
Antispyware, Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o
Proteccin DoS) que se haya adjuntado a una poltica de seguridad del cortafuegos.
Cada entrada incluye la fecha y hora, un nombre de amenaza o URL, las zonas de origen
y destino, direcciones, puertos, el nombre de aplicacin y la accin de alarma (permitir
o bloquear) y la gravedad.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la amenaza,
como si la entrada agrega varias amenazas del mismo tipo entre el mismo origen y
destino (el valor Recuento ser superior a uno).
La columna Tipo indica el tipo de amenaza, como virus o spyware. La columna
Nombre es la descripcin de la amenaza o URL y la columna Categora es la categora
de la amenaza (como registrador de pulsaciones de teclas) o la categora de la URL.
Si las capturas de paquetes locales estn activadas, haga clic en
junto a una entrada
para acceder a los paquetes capturados. Para habilitar capturas de paquetes locales,
consulte Realizacin de capturas de paquetes.

Filtrado de URL

Muestra logs para todo el trfico que coincide con un perfil de filtrado de URL
adjuntado a una poltica de seguridad. Por ejemplo, si la poltica bloquea el acceso a sitios
web y categoras de sitios web especficos o si la poltica est configurada para generar
una alerta cuando se acceda a un sitio web. Para obtener informacin sobre cmo
definir perfiles de filtrado de URL, consulte Filtrado de URL.

Envos a WildFire

Muestra logs de los archivos cargados y analizados por la nube de WildFire. Los datos
de los logs se vuelven a enviar al dispositivo despus del anlisis junto con los resultados
del anlisis.

Filtrado de datos

Muestra logs para las polticas de seguridad que ayudan a evitar que informaciones
confidenciales como nmeros de tarjetas de crdito o de la seguridad social abandonen
el rea protegida por el cortafuegos. Consulte Configuracin de filtrado de datos para
obtener informacin sobre cmo definir perfiles de filtrado de datos.
Este log tambin muestra informacin de los perfiles de bloqueo de archivos. Por
ejemplo, si est bloqueando archivos .exe, el log le mostrar los archivos que estaban
bloqueados. Si reenva archivos a WildFire, podr ver los resultados de dicha accin. En
este caso, si reenva archivos PE a WildFire, por ejemplo, el log mostrar que el archivo
se ha reenviado y tambin el estado para determinar si se ha cargado correctamente en
WildFire.

Configuracin

Muestra una entrada para cada cambio de configuracin. Cada entrada incluye la fecha
y hora, el nombre de usuario del administrador, la direccin IP desde la cual se ha
realizado el cambio, el tipo de cliente (XML, Web o CLI), el tipo de comando ejecutado,
si el comando se ha ejecutado correctamente o ha fallado, la ruta de configuracin y los
valores anteriores y posteriores al cambio.

Sistema

Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha y hora,
la gravedad del evento y una descripcin del evento.

Coincidencias HIP

Muestra los flujos de trfico que coinciden con el objeto HIP o el perfil HIP que ha
configurado.

Informes y logs

191

Supervisin del cortafuegos

Informes y logs

Filtrado de datos de logs

Cada pgina de log cuenta con una rea de filtro en la parte superior de la pgina.

Utilice la rea de filtro de la siguiente forma:

Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese elemento como una
opcin de filtro de logs. Por ejemplo, si hace clic en el enlace Host en la entrada de log de 10.0.0.252 y
Explorador web, se agregarn ambos elementos y la bsqueda encontrar entradas que coinciden con ambos
(bsqueda Y).

Para definir otros criterios de bsqueda, haga clic en Aadir filtro de log. Seleccione el tipo de bsqueda (y/o),
el atributo a incluir en la bsqueda, el operador asociado y los valores de la coincidencia, si es necesario. Haga
clic en Aadir para agregar el criterio al rea de filtro en la pgina de log, luego haga clic en Cerrar para cerrar
la ventana emergente. Haga clic en Aplicar filtro para mostrar la lista filtrada.
Puede combinar expresiones de filtro agregadas en la pgina de log con aquellas que ha definido
en la ventana emergente Expresin. Cada uno se agrega como una entrada en la lnea Filtro de
la pgina de log. Si establece el filtro en Tiempo recibido como ltimos 60 segundos,
algunos enlaces de la pgina en el visor de logs podran no mostrar resultados ya que el nmero
de pginas puede aumentar o reducirse debido a la naturaleza dinmica de la hora seleccionada.

Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en Borrar filtro.

Para guardar sus selecciones como un nuevo filtro, haga clic en Guardar filtro, introduzca un nombre para el
filtro y haga clic en ACEPTAR.

Para exportar la lista actual de logs (como se muestra en la pgina, incluyendo cualquier filtro aplicado), haga
clic en Guardar filtro. Seleccione si abrir el archivo o guardarlo en el disco y seleccione la casilla de verificacin
si desea continuar utilizando la misma opcin. Haga clic en ACEPTAR.

Para exportar la lista actual de logs en formato CSV, seleccione el icono Exportar a CSV. De manera
predeterminada, la exportacin de la lista de logs al formato CSV genera un informe CSV con hasta
2.000 filas de logs. Para cambiar el lmite de filas mostradas en informes CSV, utilice el campo Mx. de filas
en exportacin CSV de la pestaa Exportacin e informes de logs (seleccione Dispositivo > Configuracin >
Gestin > Configuracin de log e informes).

Para cambiar el intervalo de actualizacin automtica, seleccione un intervalo de la lista desplegable (1 min,
o Manual).

30 segundos, 10 segundos

Para cambiar el nmero de entradas de logs por pgina, seleccione el nmero de filas en el men desplegable
Filas.

Las entradas de logs se recuperan en bloques de 10 pginas. Utilice los controles de pgina en la parte inferior
de la pgina para navegar por la lista de logs. Seleccione la casilla de verificacin Resolver nombre de host para
iniciar la resolucin de direcciones IP externas en nombres de dominio.

192

Informes y logs

Informes y logs

Supervisin del cortafuegos

Supervisin del panel

Tambin puede supervisar los datos de log locales directamente desde el panel aadiendo los widgets asociados:

Informes y logs

193

Supervisin del cortafuegos

Informes y logs

Visualizacin de informes
El cortafuegos tambin usa datos del log para generar informes (Supervisar > Informes) que muestran los datos
del log en forma de grfico o tabla. Consulte Acerca de los informes para obtener informacin ms detallada
sobre los informes predefinido y personalizados disponibles en el cortafuegos.

194

Informes y logs

Informes y logs

Reenvo de logs a servicios externos

Reenvo de logs a servicios externos

Dependiendo del tipo y la gravedad de los datos en los archivos log, puede que desee recibir un aviso ante
eventos crticos que requieran su atencin, o puede que tenga polticas que requieran que archive los datos
durante ms tiempo del que pueden ser almacenados en el cortafuegos. En estos casos, desear enviar sus datos
de logs a un servicio externo para su archivo, notificacin o anlisis.
Para reenviar datos de logs a un servicio externo, debe completar las siguientes tareas:

Configurar el cortafuegos para que acceda a los servicios remotos que recibirn los logs. Consulte
Definicin de destinos de logs remotos.

Configurar cada tipo de log para reenvo. Consulte Habilitacin del reenvo de logs.
En el caso de los logs de trfico y amenazas, la habilitacin del reenvo de logs incluye la configuracin de
un perfil de reenvo de logs o un perfil de reenvo de logs predeterminado. Para obtener ms informacin,
consulte Perfiles de reenvo de logs.

Informes y logs

195

Reenvo de logs a servicios externos

Informes y logs

Definicin de destinos de logs remotos

Para alcanzar un servicio externo, como un servidor Syslog o un gestor de capturas SNMP, el cortafuegos debe
conocer los detalles de acceso y, en caso necesario, autenticarse en el servicio. En el cortafuegos, puede definir
esta informacin en un perfil de servidor. Debe crear un perfil de servidor para cada servicio externo con el que
desee que interacte el cortafuegos. El tipo de destino de log que necesita configurar y qu logs se reenvan
depender de sus necesidades. Algunas situaciones frecuentes de reenvo de logs son:

Para una notificacin inmediata de amenazas o eventos crticos del sistema que requieren su atencin,
puede generar traps SNMP o enviar alertas de correo electrnico. Consulte Configuracin de alertas de
correo electrnico y/o Configuracin de los destinos de Trap SNMP.

Para el almacenamiento a largo plazo y el archivo de datos y para la supervisin centralizada de

dispositivos, puede enviar los datos de logs a un servidor Syslog. Consulte Definicin de servidores Syslog.
Esto permite la integracin con herramientas de supervisin de seguridad de terceros, como Splunk! o
ArcSight. Adems, puede proteger el canal entre el cortafuegos y el servidor Syslog. Consulte
Configuracin del cortafuegos para autenticarlo con el servidor Syslog.

Para aadir y elaborar informes de datos de logs de cortafuegos de Palo Alto Networks, puede reenviar los
logs a un gestor de Panorama Manager o un recopilador de logs de Panorama. Consulte Habilitacin del
reenvo de logs.

Puede definir tantos perfiles de servidor como necesite. Por ejemplo, puede usar perfiles de servidor para enviar
logs de trfico a un servidor Syslog y logs de sistema a uno diferente. Tambin puede incluir varias entradas de
servidor en un nico perfil de servidor para poder registrarse en varios servidores Syslog y conseguir
redundancia.
De forma predeterminada, todos los datos de logs se reenvan a travs de la interfaz de gestin.
Si pretende usar una interfaz que no sea de gestin, deber configurar una ruta de servicio para
cada servicio al que desee reenviar logs, como se describe en el paso 5 del procedimiento para
Establecimiento de acceso a la red para servicios externos.

196

Informes y logs

Informes y logs

Reenvo de logs a servicios externos

Configuracin de alertas de correo electrnico

Configuracin de alertas de correo electrnico

Paso 1

Cree un perfil de servidor para su

servidor de correo electrnico.

1.

Seleccione Dispositivo > Perfiles de servidor > Correo

electrnico.

2.

Haga clic en Aadir y, a continuacin, introduzca un Nombre

para el perfil.

3.

(Opcional) Seleccione el sistema virtual al que se aplica este

perfil en el men desplegable Ubicacin.

4.

Haga clic en Aadir para aadir una nueva entrada de servidor

de correo electrnico e introduzca la informacin necesaria para
conectar con el servidor SMTP y enviar mensajes de correo
electrnico (puede aadir hasta cuatro servidores de correo
electrnico al perfil):
Servidor: Nombre para identificar el servidor de correo
electrnico (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor
SMTP existente.
Mostrar nombre: El nombre que aparecer en el campo De
del correo electrnico.
De: La direccin de correo electrnico desde la que se
enviarn las notificaciones de correo electrnico.
Para: La direccin de correo electrnico a la que se enviarn
las notificaciones de correo electrnico.
Destinatario adicional: Si desea que las notificaciones se
enven a una segunda cuenta, introduzca la direccin
adicional aqu. Solo puede aadir un destinatario adicional.
Para aadir varios destinatarios, aada la direccin de correo
electrnico de una lista de distribucin.
Puerta de enlace: La direccin IP o el nombre de host de la
puerta de enlace SMTP que se usar para enviar los mensajes
de correo electrnico.

5.

Haga clic en Aceptar para guardar el perfil de servidor.

Paso 2

(Opcional) Personalice el formato de los Seleccione la ficha Formato de log personalizado. Si desea ms
mensajes de correo electrnico que enva informacin sobre cmo crear formatos personalizados para los
el cortafuegos.
distintos tipos de log, consulte Common Event Format
Configuration Guide (Gua de configuracin de formato de eventos
comunes).

Paso 3

Guarde el perfil de servidor y confirme

los cambios.

Informes y logs

1.

Haga clic en Aceptar para guardar el perfil.

2.

Haga clic en Confirmar para guardar los cambios en la

configuracin actual.

197

Reenvo de logs a servicios externos

Informes y logs

Configuracin de los destinos de Trap SNMP

SNMP (Protocolo simple de administracin de redes) es un servicio estndar para la supervisin de los
dispositivos de su red. Puede configurar su cortafuegos para enviar traps SNMP a su software de gestin de
SNMP para alertarle de amenazas o eventos crticos del sistema que requieran su atencin inmediata.
Tambin puede usar SNMP para supervisar el cortafuegos. En este caso, su gestor de SNMP
debe estar configurado para obtener estadsticas del cortafuegos en lugar de (o adems de)
hacer que el cortafuegos enve traps al gestor. Para obtener ms informacin, consulte
Configuracin del cortafuegos para autenticarlo con el servidor Syslog.

Configuracin de los destinos de Trap SNMP

Paso 1

Para conocer el ID de motor del cortafuegos, deber configurar el

cortafuegos para SNMP v3 y enviar un mensaje GET desde el gestor
de SNMP o el explorador de MIB de la manera siguiente:
En muchos casos, el explorador de
1. Habilite la interfaz para permitir solicitudes SNMP entrantes:
MIB o el gestor de SNMP
Si va a recibir mensajes SNMP GET en la interfaz de gestin,
detectar automticamente el ID
seleccione Dispositivo > Configuracin > Gestin y haga clic
de motor tras una conexin
en Editar en la seccin Configuracin de interfaz de gestin
correcta al agente de SNMP del
de la pantalla. En la seccin Servicios, seleccione la casilla de
cortafuegos. Normalmente
verificacin SNMP y haga clic en Aceptar.
encontrar esta informacin en la
seccin de configuracin del
Si va a recibir mensajes SNMP GET en una interfaz distinta,
agente de la interfaz. Consulte la
deber asociar un perfil de gestin a la interfaz y habilitar la
documentacin de su producto
gestin de SNMP.
especfico para obtener
2. Configure el cortafuegos para SNMP v3 como se describe en el
instrucciones sobre cmo
Paso 2 en Configuracin de la supervisin de SNMP. Si no
encontrar la informacin del
configura
el cortafuegos para SNMP v3, su explorador de MIB
agente.
no le permitir obtener el ID de motor.

(nicamente SNMP v3) Obtenga el ID

de motor para el cortafuegos.

3.

198

Conecte su explorador de MIB o gestor de SNMP al

cortafuegos y ejecute GET para OID 1.3.6.1.6.3.10.2.1.1.0. El
valor devuelto es el ID de motor exclusivo del cortafuegos.

Informes y logs

Informes y logs

Reenvo de logs a servicios externos

Configuracin de los destinos de Trap SNMP (Continuacin)

Paso 2

Cree un perfil de servidor que contenga la informacin para conectarse y autenticar los gestores de SNMP.
1. Seleccione Dispositivo > Perfiles de servidor > Trap SNMP.
2. Haga clic en Aadir y, a continuacin, introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el men desplegable Ubicacin.
4. Especifique la versin de SNMP que est usando (V2c o V3).
5. Haga clic en Aadir para aadir una nueva entrada de receptor de trap SNMP (puede aadir hasta cuatro
receptores de traps por perfil de servidor). Los valores requeridos dependen de si est usando SNMP V2c
o V3, como se explica a continuacin:
SNMP V2c
Servidor : nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
Gestor: Direccin IP del gestor de SNMP al que desea enviar traps.
Comunidad: Cadena de comunidad necesaria para autenticar en el gestor de SNMP.
SNMP V3
Servidor : nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
Gestor: Direccin IP del gestor de SNMP al que desea enviar traps.
Usuario: Nombre de usuario necesario para autenticarse en el gestor de SNMP.
EngineID: ID de motor del cortafuegos, segn se ha identificado en el Paso 1. Es un valor hexadecimal de
entre 5 y 64 bytes con un prefijo 0x. Cada cortafuegos tiene un ID de motor nico.
Contrasea de autenticacin: Contrasea que se usar para los mensajes de nivel authNoPriv para
el gestor de SNMP. Esta contrasea contar con un algoritmo hash de seguridad (SHA-1), pero no
estar cifrada.
Contrasea priv.: Contrasea que se usar para los mensajes de nivel authPriv para el gestor de SNMP.
Esta contrasea tendr un algoritmo hash SHA y estar cifrada con el estndar de cifrado avanzado
(AES 128).
6. Haga clic en Aceptar para guardar el perfil de servidor.

Paso 3

(Opcional) Configure una ruta de servicio De forma predeterminada, los traps SNMP se envan a travs de la
para traps SNMP.
interfaz de gestin. Si desea utilizar una interfaz diferente para traps
SNMP, deber editar la ruta de servicio para permitir que el
cortafuegos acceda a su gestor de SNMP. Consulte Establecimiento
de acceso a la red para servicios externos para obtener instrucciones.

Paso 4

Compile los cambios.

Haga clic en Confirmar. El dispositivo puede tardar hasta

90 segundos en guardar sus cambios.

Paso 5

Habilite el gestor de SNMP para que

interprete las traps que recibe del
cortafuegos.

Cargue los archivos MIB de PAN-OS en su software de gestin de

SNMP y complelos. Consulte las instrucciones especficas para
realizar este proceso en la documentacin de su gestor de SNMP.

Definicin de servidores Syslog

Syslog es un mecanismo de transporte de logs estndar que permite aadir datos de logs desde distintos
dispositivos de la red, tales como enrutadores, cortafuegoss o impresoras, de diferentes proveedores a un
repositorio central para su archivo y anlisis, as como para elaborar informes.

Informes y logs

199

Reenvo de logs a servicios externos

Informes y logs

El cortafuegos genera seis tipos de logs que pueden reenviarse a un servidor Syslog externo: trfico, amenaza,
WildFire, coincidencia del perfil de informacin de host (HIP), configuracin y sistema. Si quiere reenviar todos
o algunos de estos logs a un servicio externo para un almacenamiento y un anlisis a largo plazo, puede utilizar
TCP o SSL para un transporte fiable y seguro de logs, o UDP para un transporte no seguro.
Configuracin del reenvo de Syslog

Paso 1

Cree un perfil de servidor que contenga

la informacin para conectarse a los
servidores Syslog.

1.

Seleccione Dispositivo > Perfiles de servidor > Syslog.

2.

Haga clic en Aadir y, a continuacin, introduzca un Nombre

para el perfil.

3.

(Opcional) Seleccione el sistema virtual al que se aplica este

perfil en el men desplegable Ubicacin.

4.

Haga clic en Aadir para aadir una nueva entrada del servidor
Syslog e introduzca la informacin necesaria para conectar con
el servidor Syslog (puede aadir hasta cuatro servidores Syslog
al mismo perfil):
Nombre: Nombre exclusivo para el perfil de servidor.
Servidor: Direccin IP o nombre de dominio completo
(FQDN) del servidor Syslog.
Transporte: Seleccione TCP, UDP o SSL como el mtodo de
comunicacin con el servidor Syslog.
Puerto: Nmero de puerto por el que se enviarn mensajes
de Syslog (el valor predeterminado es UDP en el puerto 514);
debe usar el mismo nmero de puerto en el cortafuegos y en
el servidor Syslog.
Formato: Seleccione el formato de mensaje de Syslog que se
debe utilizar, BSD o IETF. Tradicionalmente, el formato
BSD es a travs de UDP y el formato IETF es a travs de
TCP/SSL. Para configurar el reenvo de Syslog seguro con la
autenticacin de cliente, consulte Configuracin del
cortafuegos para autenticarlo con el servidor Syslog.
Instalaciones: Seleccione uno de los valores de Syslog
estndar, que se usa para calcular el campo de prioridad (PRI)
en la implementacin de su servidor Syslog. Debe seleccionar
el valor que asigna cmo usa el campo PRI para gestionar sus
mensajes de Syslog.

200

5.

(Opcional) Para personalizar el formato de los mensajes de

Syslog que enva el cortafuegos, seleccione la pestaa Formato
de log personalizado. Si desea ms informacin sobre cmo
crear formatos personalizados para los distintos tipos de log,
consulte Common Event Format Configuration Guide (Gua de
configuracin de formato de eventos comunes).

6.

Haga clic en Aceptar para guardar el perfil de servidor.

Informes y logs

Informes y logs

Reenvo de logs a servicios externos

Configuracin del reenvo de Syslog (Continuacin)

Paso 2

1.
(Opcional) Configure el formato de
encabezado utilizado en los mensajes de
Syslog. La seleccin del formato de
2.
encabezado ofrece ms flexibilidad para
3.
filtrar y crear informes sobre los datos de
log para algunos SIEM.

Seleccione Dispositivo > Configuracin > Gestin y haga clic en

el icono Editar de la seccin Configuracin de log e informes.
Seleccione Exportacin e informes de logs.
Seleccione una de las siguientes opciones en el men
desplegable Enviar nombre de host en Syslog:
FQDN: (Valor predeterminado) Concatena el nombre de host
y el nombre de dominio definidos en el dispositivo de envo.
Nombre de host: Utiliza el nombre de host definido en el
dispositivo de envo.
Direccin IPv4: Utiliza la direccin IPv4 de la interfaz
utilizada para enviar logs en el dispositivo. De manera
predeterminada, esta es la interfaz de gestin del dispositivo.
Direccin IPv6: Utiliza la direccin IPv6 de la interfaz
utilizada para enviar logs en el dispositivo. De manera
predeterminada, esta es la interfaz de gestin del dispositivo.

Se trata de una configuracin

global y se aplica a todos los
perfiles de servidores Syslog
configurados en el dispositivo.

Ninguno: Deja el campo Nombre de host sin configurar en

el dispositivo. No hay ningn identificador para el dispositivo
que enva los logs.
4.

Haga clic en ACEPTAR y Confirmar.

Paso 3

Compile los cambios.

Haga clic en Confirmar. El dispositivo puede tardar hasta 90

segundos en guardar sus cambios.

Paso 4

Habilite el reenvo de logs.

Consulte Habilitacin del reenvo de logs.

Debe configurar cada tipo de log para el reenvo y especificar la
gravedad para la que se registrar el evento.
Los logs de WildFire son un tipo de log de amenaza, pero no
se registran y reenvan junto con los logs de amenaza. Si bien
los logs de WildFire utilizan el mismo formato de Syslog que
los logs de amenaza, el subtipo de amenaza est predefinido
como WildFire. Por lo tanto, debe habilitar el
registro/reenvo para logs de WildFire de manera distinta a la
de los logs de amenaza.

Paso 5

Revise los logs del servidor Syslog.

Para analizar los logs, consulte Descripcin de los campos de Syslog.

Configuracin del cortafuegos para autenticarlo con el servidor Syslog

Para habilitar la autenticacin de cliente para Syslog a travs de SSL, puede utilizar una CA de confianza o una
CA de firma automtica para generar certificados que puedan utilizarse para una comunicacin Syslog segura.
Compruebe lo siguiente al generar un certificado para una comunicacin Syslog segura:

La clave privada debe estar disponible en el dispositivo de envo; las claves no pueden almacenarse en un
mdulo de seguridad de hardware (HSM).

Informes y logs

201

Reenvo de logs a servicios externos

Informes y logs

El sujeto y el emisor del certificado no deben ser idnticos.

El certificado no es una CA de confianza ni una solicitud de firma de certificado (CSR). Ninguno de estos
tipos de certificados puede habilitarse para una comunicacin Syslog segura.

Configuracin del cortafuegos para autenticarlo con el servidor Syslog

Paso 1

Para verificar que el dispositivo de envo est autorizado para

Si el servidor Syslog requiere
comunicarse con el servidor Syslog, debe habilitar lo siguiente:
autenticacin de cliente, genere el
certificado para la comunicacin
El servidor y el dispositivo de envo deben tener certificados
segura. Si desea informacin detallada
firmados por la CA de empresa; tambin puede generar un
sobre certificados, consulte Gestin
certificado autofirmado en el cortafuegos, exportar el certificado de
de certificados.
CA raz desde el cortafuegos e importarlo en el servidor Syslog.
Utilice la CA de empresa o el certificado autofirmado para generar
un certificado con la direccin IP del dispositivo de envo (como
Nombre comn) y habilitado para su uso en una comunicacin
Syslog segura. El servidor Syslog utiliza este certificado para verificar
que el cortafuegos est autorizado para comunicarse con el servidor
Syslog.
Realice los siguientes pasos para generar el certificado en el
cortafuegos o en Panorama:
1. Seleccione Dispositivo > Gestin de certificados > Certificados >
Certificados de dispositivos.
2.

Haga clic en Generar para crear un nuevo certificado que estar

firmado por una CA de confianza o la CA autofirmada.

3.

Introduzca un Nombre para el certificado.

4.

En Nombre comn, introduzca la direccin IP del dispositivo que

enviar logs al servidor Syslog.

5.

Seleccione Compartido si desea que el certificado sea de tipo

compartido en Panorama o en todos los sistemas virtuales en un
cortafuegos de sistema virtual mltiple.

6.

En Firmado por, seleccione la CA de confianza o la CA

autofirmada que sea de confianza para el servidor Syslog y el
dispositivo de envo.

7.

Haga clic en Generar. Se generarn el certificado y el par de claves.

8.

Haga clic en el enlace con el nombre del certificado y habilite la

opcin Certificado de Syslog seguro para garantizar el acceso
seguro al servidor Syslog.

9.

Confirme los cambios.

10. Verifique los detalles del certificado y que est marcado para Uso
como Certificado para Syslog seguro.

202

Informes y logs

Informes y logs

Reenvo de logs a servicios externos

Habilitacin del reenvo de logs

Una vez creados los perfiles de servidor que establecen la ubicacin a la que se envan los logs (consulte
Definicin de destinos de logs remotos), debe habilitar el reenvo de logs. Para cada tipo de log, puede
especificar si se reenva a Syslog, correo electrnico, receptor de traps SNMP o Panorama.
Para poder reenviar los archivos de log a un gestor de Panorama o a un recopilador de logs de
Panorama, el cortafuegos se debe configurar como un dispositivo gestionado. Entonces podr
habilitar el reenvo de logs a Panorama para cada tipo de log. Para logs reenviados a Panorama,
tiene a su disposicin la compatibilidad con el reenvo centralizado de logs a un servidor Syslog
externo.

La forma de habilitar el reenvo depende del tipo de log:

Logs de trfico: Habilita el reenvo de logs de trfico creando un perfil de reenvo de logs (Objetos > Reenvo
de logs) y aadindolo a las polticas de seguridad que desea que activen el reenvo de logs. Solo el trfico que
coincida con una regla especfica dentro de la poltica de seguridad ser registrado y enviado. Para obtener
informacin sobre la configuracin de un perfil de reenvo de logs, consulte Perfiles de reenvo de logs.

Logs de amenaza: Habilita el reenvo de logs de amenaza creando un perfil de reenvo de logs (Objetos >
Reenvo de logs) que especifique qu niveles de seguridad desea reenviar y, a continuacin, aadindolo a las
polticas de seguridad para las que desea activar el reenvo de logs. Solo se crear (y enviar) una entrada de
log de amenaza si el trfico asociado coincide con un perfil de seguridad (Antivirus, Antispyware,
Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o Proteccin DoS). Para obtener
informacin sobre la configuracin de un perfil de reenvo de logs, consulte Perfiles de reenvo de logs.
La siguiente tabla resume los niveles de gravedad de las amenazas:

Gravedad

Descripcin

Crtico

Amenazas graves, como aquellas que afectan a las instalaciones

predeterminadas de software ampliamente implementado, que
comprometen profundamente los servidores y dejan el cdigo de
explotacin al alcance de los atacantes. El atacante no suele necesitar
ningn tipo de credenciales de autenticacin o conocimientos acerca de
las vctimas y el objetivo no necesita ser manipulado para que realice
ninguna funcin especial.

Alto

Amenazas que tienen la habilidad de convertirse en crticas pero que

tienen factores atenuantes; por ejemplo, pueden ser difciles de explotar,
no conceder privilegios elevados o no tener un gran grupo de vctimas.

Medio

Amenazas menores en las que se minimiza el impacto, como ataques DoS

que no comprometen al objetivo o explotaciones que requieren que el
atacante est en la misma LAN que la vctima, afectan solo a
configuraciones no estndar o aplicaciones oscuras u ofrecen acceso muy
limitado. Adems, las entradas de log de Presentaciones de WildFire con
un veredicto de malware se registran como amenazas de nivel medio.

Bajo

Amenazas con nivel de advertencia que tienen muy poco impacto en la

infraestructura de la organizacin. Suelen requerir acceso local o fsico al
sistema y con frecuencia suelen ocasionar problemas en la privacidad de
las vctimas, problemas de DoS y fugas de informacin. Las coincidencias
de perfiles de filtrado de datos se registran como bajas.

Informes y logs

203

Reenvo de logs a servicios externos

Informes y logs

Gravedad

Descripcin

Informativo

Eventos sospechosos que no suponen una amenaza inmediata, pero que

se registran para indicar que podra haber problemas ms serios. Las
entradas de logs de filtrado de URL y las entradas de logs de
Presentaciones de WildFire con un veredicto benigno se registran como
informativas.

Logs de configuracin: Habilita el reenvo de logs de configuracin especificando un perfil de servidor en

la configuracin de ajustes de log. (Dispositivo > Configuracin de log > Logs de configuracin).

Logs de sistema: Habilita el reenvo de logs de sistema especificando un perfil de servidor en la

configuracin de ajustes de log. (Dispositivo > Configuracin de log > Logs de sistema). Debe seleccionar un
perfil de servidor para cada nivel de gravedad que desee reenviar. Para una lista parcial de mensajes de log de
sistema y sus niveles de gravedad, consulte System Log Reference (Referencia de logs del sistema). La siguiente
tabla resume los niveles de gravedad de los logs de sistema:
Gravedad

Descripcin

Crtico

Fallos de hardware, lo que incluye la conmutacin por error de HA y los fallos de

enlaces.

Alto

Problemas graves, incluidas las interrupciones en las conexiones con dispositivos

externos, como servidores Syslog y RADIUS.

Medio

Notificaciones de nivel medio, como actualizaciones de paquetes de antivirus.

Bajo

Notificaciones de menor gravedad, como cambios de contrasea de usuario.

Informativo

Inicios de sesin/cierres de sesin, cambio de nombre o contrasea de

administrador, cualquier cambio de configuracin y el resto de eventos no
cubiertos por los otros niveles de gravedad.

Perfiles de reenvo de logs

Los perfiles de reenvo de logs permiten reenviar los logs de trfico y amenazas a Panorama o a un sistema
externo. Puede aadir un perfil de reenvo de logs a una zona de seguridad para reenviar los logs de proteccin
de zona o a una poltica de seguridad para reenviar los logs de trfico que coincidan con dicha poltica. Adems,
puede configurar un perfil de reenvo de logs predeterminado (la configuracin del perfil predeterminado se
utilizar como la configuracin de reenvo de logs predeterminada para las nuevas zonas de seguridad y las
nuevas polticas de seguridad). Esto permite incluir de forma coherente la configuracin de reenvo de logs
preferida de su organizacin en las nuevas polticas y zonas automticamente y sin que los administradores
tengan que aadirlas manualmente en cada ocasin.
En las siguientes secciones se describe cmo crear un perfil de reenvo de logs y cmo habilitar un perfil para
usarlo como la configuracin de reenvo de logs predeterminada para las nuevas polticas de seguridad o zonas
de seguridad:

Creacin de un perfil de reenvo de logs

Configuracin o cancelacin de un perfil de reenvo de logs predeterminado

204

Informes y logs

Informes y logs

Reenvo de logs a servicios externos

Creacin de un perfil de reenvo de logs

Cree un perfil de reenvo de logs que se pueda aadir a las polticas de seguridad y zonas de seguridad para
reenviar los logs de trfico y amenazas a Panorama o a un sistema externo. Los logs reenviados se pueden enviar
como traps SNMP, mensajes de Syslog o notificaciones de correo electrnico.
Habilitacin de un perfil de reenvo de logs

Paso 1

Aada un perfil de reenvo de logs.

1.

Seleccione Objeto > Perfil de reenvo de logs y Aadir para

aadir un nuevo grupo de perfiles de seguridad.

2.

Asigne al grupo de perfiles un Nombre descriptivo para facilitar

su identificacin al aadir el perfil a polticas de seguridad o
zonas de seguridad.

3.

Si el cortafuegos est en modo de Sistema virtual mltiple,

habilite el perfil para que sea Compartido entre todos los
sistemas virtuales.

4.

Aada la configuracin para los logs de trfico, amenazas y

WildFire:
Active la casilla de verificacin Panorama para determinar la
gravedad de los logs de trfico, amenazas o WildFire que
desee reenviar a Panorama.
Especifique los logs que desee reenviar a destinos adicionales:
destinos Trap SNMP, servidores de Correo electrnico o
servidores Syslog.

Paso 1

Aada el perfil de reenvo de logs a una

poltica de seguridad.

5.

Haga clic en Aceptar para guardar el perfil de reenvo de logs.

1.

Seleccione Polticas > Seguridad y Aadir o modifique la

poltica de seguridad.

El trfico que coincida con la poltica de 2.

seguridad y su perfil de reenvo de logs se
reenviar a los destinos definidos en su
perfil.
Para obtener ms informacin sobre las
polticas de seguridad, consulte Poltica de
seguridad.
Paso 1

Paso 1

Seleccione Acciones y el perfil de reenvo de logs que ha creado

en la lista desplegable Perfil de reenvo de logs.
Las entradas del log de amenazas se generan de acuerdo
con los perfiles de seguridad que ha configurado adems
de la configuracin definida en el perfil de reenvo de
logs. Para obtener ms informacin sobre los perfiles de
seguridad, consulte Perfiles de seguridad.

3.

Haga clic en Aceptar para guardar la poltica de seguridad.

Aada el perfil de reenvo de logs a una

zona de seguridad.

1.

Seleccione Red > Zonas y Aadir o modifique la zona de

seguridad.

Para obtener ms informacin sobre la

configuracin de zonas de seguridad,
consulte Configuracin de interfaces y
zonas.

2.

Seleccione el perfil de reenvo de logs en la lista desplegable

Ajuste de log.

3.

Haga clic en Aceptar para guardar la zona de seguridad.

Guarde sus cambios.

Informes y logs

Seleccione Confirmar.

205

Reenvo de logs a servicios externos

Informes y logs

Configuracin o cancelacin de un perfil de reenvo de logs predeterminado

Aada un perfil de reenvo de logs nuevo o modifique uno existente para usarlo como la configuracin de reenvo
de logs predeterminada para las nuevas reglas de la poltica de seguridad o las nuevas zonas de seguridad. Cuando
un administrador crea una poltica de seguridad o una zona de seguridad, el perfil de reenvo de logs predeterminado
se selecciona automticamente como la configuracin de reenvo de logs de la poltica o la zona (el administrador
puede seleccionar manualmente otra configuracin de reenvo de logs si lo desea). Utilice las siguientes opciones
para configurar un perfil de reenvo de logs predeterminado o para cancelar su configuracin predeterminada.
Si no hay ningn perfil de seguridad predeterminado, la configuracin del perfil para la nueva
poltica de seguridad se establece en Ninguno de forma predeterminada.

Configuracin o cancelacin de un perfil de reenvo de logs predeterminado

Configure un perfil de reenvo de logs

predeterminado.

1.

Seleccione Objetos > Reenvo de logs y Aadir para aadir un nuevo

perfil de reenvo de logs o modificar un perfil existente.

2.

Asigne al grupo de perfiles de seguridad el Nombre predeterminado:

3.

Haga clic en ACEPTAR y Confirmar.

4.

Confirme que el perfil de reenvo de logs predeterminado se incluye en

las nuevas polticas de seguridad de forma predeterminada:
a. Seleccione Polticas > Seguridad y Aadir para aadir una nueva
poltica de seguridad.
b. Seleccione la pestaa Acciones y asegrese de que el campo
Reenvo de logs muestra el perfil predeterminado seleccionado:

5.

Confirme que el perfil de reenvo de logs predeterminado se incluye en

las nuevas zonas de seguridad de forma predeterminada:
a. Seleccione Red > Zonas y Aadir para aadir una nueva zona de
seguridad.
b. Asegrese de que el campo Ajuste de log muestra el perfil de
reenvo de logs predeterminado seleccionado:

Cancele un perfil de reenvo de logs

predeterminado.

206

Si tiene un perfil de reenvo de logs predeterminado existente y no desea

que se aplique la configuracin de reenvo de logs definida en dicho perfil
a una nueva poltica de seguridad o una nueva zona de seguridad,
modifique el campo Ajuste de log en la poltica o la zona segn sus
preferencias.

Informes y logs

Informes y logs

Supervisin del Firewall mediante SNMP

Supervisin del Firewall mediante SNMP

Todos los cortafuegos de Palo Alto Networks son compatibles con mdulos de base de informacin de gestin
(MIB) de SNMP de red estndar, as como con mdulos MIB empresariales privados. Puede configurar un
gestor de SNMP para recibir estadsticas del cortafuegos. Por ejemplo, puede configurar su gestor de SNMP
para que supervise las interfaces, sesiones activas, sesiones simultneas, porcentajes de uso de sesin,
temperatura o tiempo de actividad en el cortafuegos.
Los cortafuegos de Palo Alto Networks solo son compatibles con solicitudes SNMP GET; no es
compatible con las solicitudes SNMP SET.

Configuracin de la supervisin de SNMP

Paso 1

Habilite la interfaz para permitir

solicitudes SNMP entrantes:

Si va a recibir mensajes SNMP GET en la interfaz de gestin, seleccione

Dispositivo > Configuracin > Gestin y haga clic en Editar en la seccin
Configuracin de interfaz de gestin de la pantalla. En la seccin
Servicios, seleccione la casilla de verificacin SNMP y haga clic en
Aceptar.
Si va a recibir mensajes SNMP GET en una interfaz distinta, deber
asociar un perfil de gestin a la interfaz y habilitar la gestin de SNMP.

Paso 2

Desde la interfaz web del

cortafuegos, configure los ajustes
para permitir que el agente de
SNMP del cortafuegos responda a
las solicitudes GET entrantes del
gestor de SNMP.

1.

Seleccione Dispositivo > Configuracin > Operaciones >

Configuracin de SNMP.

2.

Especifique la ubicacin fsica del cortafuegos y el nombre o

direccin de correo electrnico de un contacto de gestin.

3.

Seleccione la versin SNMP y, a continuacin, introduzca los detalles

de configuracin de la siguiente forma (segn la versin SNMP que
utilice) y, a continuacin, haga clic en ACEPTAR:
V2c: Introduzca la cadena de comunidad SNMP que permitir que
el gestor de SNMP acceda al agente de SNMP del cortafuegos. El
valor predeterminado es pblico. Como se trata de una cadena de
comunidad ampliamente conocida, es recomendable usar un valor
que no se adivine tan fcilmente.
V3: Debe crear al menos una vista y un usuario para poder utilizar
SNMPv3. La vista especifica a qu informacin de gestin tiene
acceso el gestor. Si desea permitir el acceso a toda la informacin
de gestin, solamente tiene que introducir el OID de nivel ms alto
de .1.3.6.1 y especificar la opcin como incluir (tambin puede
crear vistas que excluyan determinados objetos). Utilice 0xf0 como
la mscara. A continuacin, cuando cree un usuario, seleccione la
vista que acaba de crear y especifique la contrasea de
autenticacin y la contrasea privada.
La configuracin de autenticacin (la cadena de comunidad para V2c
o el nombre de usuario y las contraseas para V3) establecida en el
cortafuegos debe coincidir con el valor configurado en el gestor de
SNMP.

Informes y logs

4.

Haga clic en ACEPTAR para guardar la configuracin.

5.

Haga clic en Confirmar para guardar estos ajustes de SNMP.

207

Supervisin del Firewall mediante SNMP

Informes y logs

Configuracin de la supervisin de SNMP (Continuacin)

Paso 3

Active el gestor de SNMP para

interpretar las estadsticas del
cortafuegos.

Cargue los archivos MIB de PAN-OS en su software de gestin de SNMP

y, si es necesario, complelos. Consulte las instrucciones especficas para
realizar este proceso en la documentacin de su gestor de SNMP.

Paso 4

Identifique las estadsticas que

desee supervisar.

Use un explorador de MIB para examinar los archivos MIB de PAN-OS y

localizar los identificadores de objeto (OID) que se corresponden con las
estadsticas que desea supervisar. Por ejemplo, imagnese que desea
supervisar el porcentaje de uso de sesin del cortafuegos. Usando un
explorador de MIB ver que estas estadsticas se corresponden con los
OID 1.3.6.1.4.1.25461.2.1.2.3.1.0 de PAN-COMMON-MIB.

Paso 5

Configure el software de gestin de Consulte las instrucciones especficas para realizar este proceso en la
SNMP para que supervise los OID documentacin de su gestor de SNMP.
que le interesan.

Paso 6

Cuando haya terminado la

configuracin del cortafuegos y el
gestor de SNMP podr empezar a
supervisar el cortafuegos desde su
software de gestin de SNMP.

208

A continuacin, un ejemplo de la apariencia de un gestor de SNMP al

mostrar las estadsticas del porcentaje de uso de sesin en tiempo real de
un cortafuegos de la serie PA-500 supervisado:

Informes y logs

Informes y logs

Supervisin del cortafuegos mediante NetFlow

Supervisin del cortafuegos mediante NetFlow

NetFlow es un protocolo estndar del sector que permite que el cortafuegos registre estadsticas en el trfico IP
que pasa por sus interfaces. El cortafuegos exporta las estadsticas como campos de NetFlow a un recopilador
NetFlow. El recopilador NetFlow es un servidor que puede utilizar para analizar el trfico de la red con fines de
seguridad, administracin, contabilidad y solucin de problemas. Todos los cortafuegos son compatibles con la
versin 9 de NetFlow, a excepcin de los cortafuegos de las series PA-4000 y PA-7050. Los cortafuegos solo
son compatibles con NetFlow unidireccional, pero no bidireccional. Puede habilitar NetFlow para que exporte
todos los tipos de interfaces, a excepcin de las de alta disponibilidad (HA), tarjeta de log o reflejo de descifrado.
Para identificar las interfaces del cortafuegos en un recopilador NetFlow, consulte Identificacin de interfaces
de cortafuegos en sistemas de supervisin externos.
El cortafuegos es compatible con plantillas de NetFlow estndar y de empresa (especficas de PAN-OS). Los
recopiladores NetFlow requieren plantillas para descifrar los campos exportados. El cortafuegos selecciona una
plantilla segn el tipo de datos que va a exportar: trfico IPv4 o IPv6, con o sin NAT y con campos estndar o
especficos de empresa. Para ver una lista de plantillas y definiciones de campo admitidas, consulte Plantillas de
NetFlow. El cortafuegos actualiza las plantillas peridicamente para aplicar los cambios. Debe configurar la
frecuencia de actualizacin segn los requisitos del recopilador NetFlow que utilice.
Supervisin del cortafuegos mediante NetFlow

Paso 1

Paso 2

Cree un perfil de servidor NetFlow.

1.

Seleccione Dispositivo > Perfil de servidor > NetFlow y haga

clic en Aadir.

2.

Introduzca un Nombre para el perfil.

3.

Especifique la frecuencia con la que el cortafuegos actualiza las

plantillas (en Minutos o Paquetes) y exporta los registros
(Tiempo de espera activo en minutos).

4.

Active la casilla de verificacin Tipos de campos de PAN-OS si

desea que el cortafuegos exporte los campos de App-ID y
User-ID.

5.

Para cada recopilador NetFlow (hasta dos por perfil) que reciba
campos, haga clic en Aadir y especifique un Nombre de
servidor, nombre de host o direccin IP que faciliten la
identificacin (Servidor NetFlow), y acceda al Puerto (el valor
predeterminado es 2055).

6.

Haga clic en Aceptar para guardar el perfil.

Asigne el perfil del servidor NetFlow a las 1.

interfaces que transfieren el trfico que
desea analizar.
2.
En este ejemplo, asigne el perfil a una
interfaz de capa 3 existente.

Informes y logs

3.

Seleccione Red > Interfaces > Ethernet y haga clic en un

nombre de Interfaz para editarlo.
En la lista desplegable Perfil de NetFlow, seleccione el perfil del
servidor NetFlow y haga clic en Aceptar.
Haga clic en Compilar y ACEPTAR.

209

Plantillas de NetFlow

Informes y logs

Plantillas de NetFlow
El cortafuegos de Palo Alto Networks admite las siguientes plantillas de NetFlow:
Plantilla

ID

IPv4 Standard

256

IPv4 Enterprise

257

IPv6 Standard

258

IPv6 Enterprise

259

IPv4 con NAT Standard

260

IPv4 con NAT Enterprise 261

En la siguiente tabla se incluyen los campos de NetFlow que el cortafuegos puede enviar junto con las plantillas
que los definen:
Valor Campo

Descripcin

Plantillas

IN_BYTES

Contador de entrada con una longitud de N * 8 bits para el Todas las plantillas
nmero de bytes asociado a un flujo IP. De forma
predeterminada, N es 4.

IN_PKTS

Contador de entrada con una longitud de N * 8 bits para el Todas las plantillas
nmero de paquetes asociado a un flujo IP. De forma
predeterminada, N es 4.

PROTOCOL

Byte de protocolo IP.

Todas las plantillas

TOS

Configuracin de byte de tipo de servicio al especificar la

interfaz de entrada.

Todas las plantillas

TCP_FLAGS

Total de marcas de TCP de este flujo.

Todas las plantillas

L4_SRC_PORT

Nmero de puerto de origen de TCP/UDP (por ejemplo

FTP, Telnet o equivalente).

Todas las plantillas

IPV4_SRC_ADDR

Direccin de origen IPv4.

IPv4 Standard
IPv4 Enterprise
IPv4 con NAT Standard
IPv4 con NAT Enterprise

10

INPUT_SNMP

ndice de interfaz de entrada. La longitud del valor es de 2 Todas las plantillas

bytes de forma predeterminada, pero es posible utilizar
valores superiores. Para obtener ms informacin sobre
cmo los cortafuegos de Palo Alto Networks generan
ndices de interfaces, consulte Identificacin de interfaces de
cortafuegos en sistemas de supervisin externos.

11

L4_DST_PORT

Nmero de puerto de destino de TCP/UDP (por ejemplo

FTP, Telnet o equivalente).

210

Todas las plantillas

Informes y logs

Informes y logs

Plantillas de NetFlow

Valor Campo

Descripcin

Plantillas

12

Direccin de destino IPv4.

IPv4 Standard

IPV4_DST_ADDR

IPv4 Enterprise
IPv4 con NAT Standard
IPv4 con NAT Enterprise
14

OUTPUT_SNMP

Todas las plantillas

ndice de interfaz de salida. La longitud del valor es de 2
bytes de forma predeterminada, pero es posible utilizar
valores superiores. Para obtener ms informacin sobre
cmo los cortafuegos de Palo Alto Networks generan
ndices de interfaces, consulte Identificacin de interfaces de
cortafuegos en sistemas de supervisin externos.

21

LAST_SWITCHED

Tiempo de actividad del sistema en milisegundos en el

momento de conmutar el ltimo paquete de este flujo.

Todas las plantillas

22

FIRST_SWITCHED

Tiempo de actividad del sistema en milisegundos en el

momento de conmutar el primer paquete de este flujo.

Todas las plantillas

27

IPV6_SRC_ADDR

Direccin de origen IPv6.

IPv6 Standard
IPv6 Enterprise

28

IPV6_DST_ADDR

Direccin de destino IPv6.

IPv6 Standard
IPv6 Enterprise

32

ICMP_TYPE

Tipo de paquete del protocolo de mensajes de control de

Internet (ICMP). Esto se indica como:

Todas las plantillas

Tipo de ICMP * 256 + cdigo de ICMP

61

DIRECTION

Direccin de flujo:

Todas las plantillas

0 = entrada
1 = salida
148

flowId

Todas las plantillas

Identificador de flujo nico en un dominio de observacin.
Puede usar este elemento de informacin para diferenciar los
distintos flujos si las claves de flujo, como las direcciones IP y
los nmeros de puertos, no se indican o se indican en
registros independientes.

233

firewallEvent

Indica un evento del cortafuegos:

Todas las plantillas

0 = Ignorar (no vlido)

1 = Flujo creado
2 = Flujo eliminado
3 = Flujo denegado
4 = Alerta de flujo
5 = Actualizacin de flujo

Informes y logs

211

Plantillas de NetFlow

Informes y logs

Valor Campo

Descripcin

Plantillas

225

postNATSourceIPv4
Address

La definicin de este elemento de informacin es idntica a IPv4 con NAT Standard

la de sourceIPv4Address, a excepcin de que indica un valor IPv4 con NAT Enterprise
modificado que una funcin de middlebox (dispositivo
intermedio de control) NAT genera una vez pasado el
paquete al punto de observacin.

226

postNATDestinationI La definicin de este elemento de informacin es idntica a IPv4 con NAT Standard
Pv4Address
la de destinationIPv4Address, a excepcin de que indica un IPv4 con NAT Enterprise
valor modificado que una funcin de middlebox (dispositivo
intermedio de control) NAT genera una vez pasado el
paquete al punto de observacin.

227

postNAPTSourceTran La definicin de este elemento de informacin es idntica a IPv4 con NAT Standard
sportPort
la de sourceTransportPort, a excepcin de que indica un
IPv4 con NAT Enterprise
valor modificado que una funcin de middlebox (dispositivo
intermedio de control) NAPT (traduccin de puerto de
direccin de red) genera una vez pasado el paquete al punto
de observacin.

228

postNAPTDestinatio
nTransportPort

346

privateEnterpriseNum Nmero de empresa privado nico que identifica a Palo Alto IPv4 Enterprise
ber
Networks: 25461.
IPv4 con NAT Enterprise

La definicin de este elemento de informacin es idntica a IPv4 con NAT Standard

la de destinationTransportPort, a excepcin de que indica un IPv4 con NAT Enterprise
valor modificado que una funcin de middlebox (dispositivo
intermedio de control) NAPT (traduccin de puerto de
direccin de red) genera una vez pasado el paquete al punto
de observacin.

IPv6 Enterprise
56701 App-ID

Nombre de una aplicacin identificada por App-ID. El

nombre puede tener hasta 32 bytes.

IPv4 Enterprise
IPv4 con NAT Enterprise
IPv6 Enterprise

56702 User-ID

Nombre de usuario identificado por User-ID. El nombre

puede tener hasta 64 bytes.

IPv4 Enterprise
IPv4 con NAT Enterprise
IPv6 Enterprise

212

Informes y logs

Informes y logs

Identificacin de interfaces de cortafuegos en sistemas de supervisin externos

Identificacin de interfaces de cortafuegos en sistemas de

supervisin externos
Si utiliza un recopilador NetFlow (consulte Supervisin del cortafuegos mediante NetFlow) o un gestor de
SNMP (consulte Supervisin del Firewall mediante SNMP) para supervisar los flujos de trfico, un ndice de
interfaz (objeto ifindex de SNMP) identifica la interfaz del cortafuegos que transporta un flujo concreto. La
frmula que el cortafuegos de Palo Alto Networks utiliza para calcular los ndices de interfaces vara en funcin
de la plataforma y de si la interfaz es fsica o lgica.
No puede utilizar SNMP para supervisar interfaces lgicas, sino solo interfaces fsicas. Puede
utilizar NetFlow para supervisar interfaces lgicas o fsicas.
La mayora de los recopiladores NetFlow utilizan SNMP para determinar el nombre de un interfaz
fsica segn el ndice de interfaz de SNMP.

Los ndices de interfaces fsicas estn comprendidos en un intervalo de 1-9999, el cual calcula el cortafuegos del
modo siguiente:
Plataforma de cortafuegos

Clculo

Ejemplo de ndice de interfaz

Puerto de gestin + desplazamiento de

Serie VM, series PA-200, PA-500, puerto fsico
Puerto de gestin: es una constante que
PA-2000, serie PA-3000, serie
depende de la plataforma.
PA-4000, serie PA-5000

Cortafuegos de la serie PA-5000,

Eth1/4 =2 (puerto de gestin) +
4 (puerto fsico) = 6

No basada en bastidor:

La plataforma de la serie
PA-4000 es compatible
con SNMP, pero no con
NetFlow.

2 para cortafuegos basados en

hardware (por ejemplo, cortafuegos
de la serie PA-5000)
1 para el cortafuegos de la serie VM
Desplazamiento de puerto fsico: es el
nmero del puerto fsico.

Basada en bastidor:
Cortafuegos PA-7050
Esta plataforma es
compatible con SNMP,
pero no con NetFlow.

Cortafuegos PA-7050, Eth3/9 =

(Mx. de puertos * ranura) +
desplazamiento de puerto fsico + puerto de [64 (mx. de puertos) * 3 (ranura)] +
gestin
9 (puerto fsico) + 5 (puerto de
Nmero mximo de puertos: es una
gestin) = 206
constante de 64.
Ranura: es el nmero de ranura del
bastidor de la tarjeta de interfaz de red.
Desplazamiento de puerto fsico: es el
nmero del puerto fsico.
Puerto de gestin: es una constante de 5
para los cortafuegos PA-7050.

Los ndices de interfaces lgicas para todas las plataformas son nmeros de nueve dgitos que el cortafuegos
calcula del modo siguiente:

Informes y logs

213

Identificacin de interfaces de cortafuegos en sistemas de supervisin externos

Tipo de
interfaz

Intervalo

Interfaz de
capa 3

101010001- Tipo: 1
199999999

Ranura de Puerto de
Subinterfaz:
interfaz: 1-9 interfaz: 1-9 sufijo 1-9999
(01-09)
(01-09)
(0001-9999)

Eth1/5.22 = 100000000 (tipo) +

100000 (ranura) + 50000 (puerto) +
22 (sufijo) = 101050022

Interfaz de
capa 2

101010001- Tipo: 1
199999999

Ranura de Puerto de
Subinterfaz:
interfaz: 1-9 interfaz: 1-9 sufijo 1-9999
(01-09)
(01-09)
(0001-9999)

Eth2/3.6 = 100000000 (tipo) +

200000 (ranura) + 30000 (puerto) +
6 (sufijo) = 102030006

Subinterfaz
Vwire

101010001- Tipo: 1
199999999

Ranura de Puerto de
Subinterfaz:
interfaz: 1-9 interfaz: 1-9 sufijo 1-9999
(01-09)
(01-09)
(0001-9999)

Eth4/2.312 = 100000000 (tipo) +

400000 (ranura) + 20000 (puerto) +
312 (sufijo) = 104020312

VLAN

200000001- Tipo: 2
200009999

00

00

Sufijo de
VLAN:
1-9999
(0001-9999)

VLAN.55 = 200000000 (tipo) +

55 (sufijo) = 200000055

Bucle invertido

300000001- Tipo: 3
300009999

00

00

Sufijo de bucle Loopback.55 = 300000000 (tipo)

+ 55 (sufijo) = 300000055
invertido:
1-9999
(0001-9999)

Tnel

400000001- Tipo: 4
400009999

00

00

Sufijo de
tnel: 1-9999
(0001-9999)

Tunnel.55 = 400000000 (tipo) +

55 (sufijo) = 400000055

Grupo de
agregados

500010001- Tipo: 5
500089999

00

Sufijo AE:
1-8 (01-08)

Subinterfaz:
sufijo 1-9999
(0001-9999)

AE5.99 = 500000000 (tipo) +

50000 (sufijo AE) + 99 (sufijo) =
500050099

214

Dgito 9 Dgitos 7-8 Dgitos 5-6

Dgitos 1-4

Informes y logs

Ejemplo de ndice de interfaz

Informes y logs

Informes y logs

Gestin de informes

Gestin de informes
Las funciones de generacin de informes del cortafuegos le permiten comprobar el estado de su red, validar sus
polticas y concentrar sus esfuerzos en mantener la seguridad de la red para que sus usuarios estn protegidos y
sean productivos.

Acerca de los informes

Visualizacin de informes

Deshabilitacin de informes predefinidos

Generacin de informes personalizados

Generacin de informes de Botnet

Gestin de informes de resumen en PDF

Generacin de informes de actividad del usuario/grupo

Gestin de grupos de informes

Programacin de informes para entrega de correos electrnicos

Informes y logs

215

Gestin de informes

Informes y logs

Acerca de los informes

El cortafuegos incluye informes predefinidos que puede utilizar tal cual o bien puede crear informes
personalizados que satisfagan sus necesidades por lo que respecta a datos especficos y tareas tiles o combinar
informes predefinidos y personalizados para compilar la informacin que necesita. El cortafuegos proporciona
los siguientes tipos de informes:

Informes predefinidos: Le permiten ver un resumen rpido del trfico de su red. Hay disponible un
conjunto de informes predefinidos divididos en cuatro categoras: Aplicaciones, Trfico, Amenaza y Filtrado
de URL. Consulte Visualizacin de informes.

Informes de actividad de usuario o grupo: Le permiten programar o crear un informe a peticin sobre
el uso de la aplicacin y la actividad de URL para un usuario especfico o para un grupo de usuarios. El
informe incluye las categoras de URL y un clculo del tiempo de exploracin estimado para usuarios
individuales. Consulte Generacin de informes de Botnet.

Informes personalizados: Cree y programe informes personalizados que muestren exactamente la

informacin que desee ver, filtrando segn las condiciones y las columnas que deben incluirse. Tambin
puede incluir generadores de consultas para un desglose ms especfico de los datos de informe. Consulte
Generacin de informes personalizados.

Informes de resumen en PDF: Agregue hasta 18 informes/grficos predefinidos o personalizados de las

categoras Amenaza, Aplicacin, Tendencia, Trfico y Filtrado de URL a un documento PDF. Consulte
Gestin de informes de resumen en PDF.

Informes de Botnet: Le permiten utilizar mecanismos basados en el comportamiento para identificar

posibles hosts infectados por Botnet en la red. Consulte Generacin de informes de Botnet.

Grupos de informes: Combine informes personalizados y predefinidos en grupos de informes y compile

un nico PDF que se enviar por correo electrnico a uno o ms destinatarios. Consulte Gestin de grupos
de informes.

Los informes se pueden generar segn se necesiten, con una planificacin recurrente, y se puede programar su
envo diario por correo electrnico.

216

Informes y logs

Informes y logs

Gestin de informes

Visualizacin de informes
El cortafuegos proporciona una variedad de ms de 40 informes predefinidos que se generan cada da. Estos
informes se pueden visualizar directamente en el cortafuegos. Adems de estos informes, puede visualizar
informes personalizados e informes de resumen programados.
Se asignan aproximadamente 200 MB de almacenamiento para guardar informes en el cortafuegos. El usuario
no puede configurar este espacio de almacenamiento y los informes ms antiguos se purgan para almacenar
informes recientes. Por lo tanto, para una retencin a largo plazo de los informes, puede exportar los informes
o programar los informes para la entrega por correo electrnico. Para deshabilitar informes seleccionados y
conservar recursos del sistema en el cortafuegos, consulte Deshabilitacin de informes predefinidos.
Los informes de actividad de usuario/grupo deben generarse a peticin o programarse para una
entrega por correo electrnico. A diferencia de los otros informes, estos informes no se pueden
guardar en el cortafuegos.

Visualizacin de informes

Paso 1

Paso 2

Seleccione Supervisar > Informes.

Los informes se dividen en secciones en el lado derecho de la ventana: Informes personalizados, Informes de
aplicacin, Informes de trfico, Informes de amenazas, Informes de filtrado de URL e Informes de resumen
en PDF.
Seleccione un informe para visualizarlo. Cuando seleccione un informe, el informe del da anterior se mostrar
en la pantalla.
Para ver informes de cualquiera de los das anteriores, seleccione una fecha disponible en el calendario de la parte
inferior de la pgina y seleccione un informe dentro de la misma seccin. Si cambia secciones, se restablecer la
seleccin del tiempo.

Paso 3

Para visualizar un informe fuera de lnea, puede exportar el informe en los formatos PDF, CSV o XML. Haga
clic en Exportar a PDF, Exportar a CSV o Exportar a XML en la parte inferior de la pgina. A continuacin,
imprima o guarde el archivo.

Informes y logs

217

Gestin de informes

Informes y logs

Deshabilitacin de informes predefinidos

El cortafuegos incluye aproximadamente 40 informes predefinidos que se generan automticamente cada da.
Si no utiliza algunos o todos estos informes predefinidos, podr deshabilitar los informes seleccionados y
conservar recursos del sistema en el cortafuegos.
Antes deshabilitar uno o ms informes predefinidos, asegrese de que el informe no se incluye en ningn
informe de grupos o informe PDF. Si el informe predefinido deshabilitado se incluye en un informe de grupos
o PDF, el informe de grupos/PDF se presentar sin datos.
Deshabilitar informes predefinidos

1.
2.

Seleccione Dispositivo > Configuracin > Gestin en el cortafuegos.

Haga clic en el icono Editar en la seccin Configuracin de log e informes y seleccione la pestaa Exportacin e
informes de logs.

3.

Para deshabilitar informes:

Cancele la seleccin de la casilla de verificacin correspondiente a cada informe que quiera deshabilitar.
Seleccione Anular seleccin para deshabilitar todos los informes predefinidos.

4.

218

Haga clic en ACEPTAR y seleccione Confirmar los cambios.

Informes y logs

Informes y logs

Gestin de informes

Generacin de informes personalizados

Para crear informes personalizados con un fin concreto, debe considerar los atributos o la informacin clave
que quiere recuperar y analizar. Esta consideracin le guiar a la hora de realizar las siguientes selecciones en un
informe personalizado:
Seleccin

Descripcin

Origen de datos

Archivo de datos que se utiliza para generar el informe. El cortafuegos ofrece dos tipos
de orgenes de datos: bases de datos de resumen y logs detallados.
Las bases de datos de resumen estn disponibles para estadsticas de trfico,
amenaza y aplicacin. El cortafuegos agrega los logs detallados en trfico, aplicacin
y amenaza en intervalos de 15 minutos. Los datos estn condensados; es decir, las
sesiones estn agrupadas y aumentan con un contador de repeticiones y algunos
atributos (o columnas) no se incluyen en el resumen. Esta condensacin permite un
tiempo de respuesta ms rpido al generar informes.
Los logs detallados se componen de elementos y son una lista completa de todos los
atributos (o columnas) relativos a la entrada de log. Los informes basados en logs
detallados tardan mucho ms en ejecutarse y no se recomiendan a menos que sea
absolutamente necesario.

Atributos

Columnas que quiere utilizar como criterios de coincidencia. Los atributos son las
columnas disponibles para su seleccin en un informe. Desde la lista de Columnas
disponibles, puede aadir los criterios de seleccin para datos coincidentes y para
agregar la informacin detallada (Columnas seleccionadas).

Ordenar por/Agrupar por Los criterios Ordenar por y Agrupar por le permiten organizar/segmentar los datos
del informe; los atributos de ordenacin y agrupacin disponibles varan basndose en
el origen de datos seleccionado.
La opcin Ordenar por especifica el atributo que se utiliza para la agregacin. Si no
selecciona un atributo segn el cul ordenar, el informe devolver el primer nmero N
de resultados sin ninguna agregacin.
La opcin Agrupar por le permite seleccionar un atributo y utilizarlo como ancla para
agrupar datos; a continuacin, todos los datos del informe se presentarn en un
conjunto de 5, 10, 25 o 50 grupos principales. Por ejemplo, si selecciona Hora para
Agrupar por y desea disponer de los 25 grupos principales durante un perodo de 24
horas, los resultados del informe se generan cada hora durante un perodo de 24 horas.
La primera columna del informe ser la hora y el siguiente conjunto de columnas ser
el resto de las columnas del informe seleccionadas.

Informes y logs

219

Gestin de informes

Seleccin

Informes y logs

Descripcin

El siguiente ejemplo muestra el modo en que los criterios Columnas seleccionadas y

Ordenar por/Agrupar por trabajan en conjunto al generar informes:

Las columnas dentro de un crculo rojo (arriba) muestran las columnas seleccionadas,
que son los atributos que deben coincidir para generar el informe. Se analiza cada
entrada de log del origen de datos y se establecen las coincidencias con estas columnas.
Si varias sesiones tienen los mismos valores para las columnas seleccionadas, las
sesiones se agregarn y se incrementar el recuento de repeticiones (o sesiones).
La columna dentro de un crculo azul indica el orden de clasificacin seleccionado.
Cuando se especifica el orden de clasificacin (Ordenar por), los datos se ordenan (y
agregan) segn el atributo seleccionado.
La columna dentro de un crculo verde indica la seleccin de Agrupar por, que sirve
de ancla para el informe. La columna Agrupar por se utiliza como criterio de
coincidencia para filtrar los N grupos principales. A continuacin, para cada uno de los
N grupos principales, el informe enumera los valores del resto de las columnas
seleccionadas.

220

Informes y logs

Informes y logs

Seleccin

Gestin de informes

Descripcin

Por ejemplo, si un informe tiene las siguientes selecciones:

El resultado ser el siguiente:

El informe est anclado por Da y se ordena por Sesiones. Enumera los 5 das (5 grupos) con el mximo de trfico
en el perodo de tiempo de ltimos 7 das. Los datos se enumeran segn las 5 principales sesiones de cada da para
las columnas seleccionadas: Categora de aplicacin, Subcategora de aplicacin y Riesgo.
Perodo de tiempo

Rango de fechas para el que quiere analizar datos. Puede definir un rango
personalizado o seleccionar un perodo de tiempo que vaya desde los ltimos
15 minutos hasta los ltimos 30 das. Los informes se pueden ejecutar a peticin o se
pueden programar para su ejecucin cada da o cada semana.

Generador de consultas

El generador de consultas le permite definir consultas especficas para ajustar aun ms

los atributos seleccionados. Le permite ver solamente lo que desee en su informe
utilizando los operadores y y o y un criterio de coincidencia y, a continuacin, incluir o
excluir datos que coincidan o nieguen la consulta del informe. Las consultas le
permiten generar una intercalacin de informacin ms centrada en un informe.

Informes y logs

221

Gestin de informes

Informes y logs

Generacin de informes personalizados

1.

Seleccione Supervisar > Gestionar informes personalizados.

2.

Haga clic en Aadir y, a continuacin, introduzca un Nombre para el informe.

Para basar un informe en una plantilla predefinida, haga clic en Cargar plantilla y seleccione la plantilla.
A continuacin, podr editar la plantilla y guardarla como un informe personalizado.

3.

Seleccione la base de datos que debe utilizarse para el informe.

Cada vez que cree un informe personalizado, se crear un informe Vista de log automticamente. Este informe
muestra los logs que se utilizaron para crear el informe personalizado. El informe Vista de log utiliza el mismo
nombre que el informe personalizado, pero aade la frase Log View al nombre del informe.
Al crear un grupo de informes, puede incluir el informe Vista de log con el informe personalizado. Para obtener
ms informacin, consulte Gestin de grupos de informes.
4.

Seleccione la casilla de verificacin Programado para ejecutar el informe cada noche. A continuacin, el informe
estar disponible para su visualizacin en la columna Informes del lateral.

5.

Defina los criterios de filtrado. Seleccione el Perodo de tiempo, el orden Ordenar por y la preferencia Agrupar por
y seleccione las columnas que deben mostrarse en el informe.

6.

(Opcional) Seleccione los atributos de Generador de consultas si desea limitar aun ms los criterios de seleccin.
Para crear una consulta de informe, especifique lo siguiente y haga clic en Aadir. Repita las veces que sean necesarias
para crear la consulta completa.
Conector: Seleccione el conector (y/o) para preceder la expresin que est agregando.
Negar: Seleccione la casilla de verificacin para interpretar la consulta como una negativa. Si, por ejemplo, decide hacer
coincidir las entradas de las ltimas 24 horas o se originan en la zona no fiable, la opcin de negacin produce una
coincidencia en las entradas que no se hayan producido en las ltimas 24 horas o no pertenezcan a la zona no fiable.
Atributo: Seleccione un elemento de datos. Las opciones disponibles dependen de la eleccin de la base de datos.
Operador: Seleccione el criterio para determinar si se aplica el atributo (como =). Las opciones disponibles
dependen de la eleccin de la base de datos.
Valor: Especifique el valor del atributo para coincidir.
Por ejemplo, la siguiente ilustracin (basada en la base de datos Log de trfico) muestra una consulta que coincide
si se ha recibido la entrada de log de trfico en las ltimas 24 horas de la zona no fiable.

7.

Para comprobar los ajustes de informes, seleccione Ejecutar ahora. Modifique los ajustes segn sea necesario para
cambiar la informacin que se muestra en el informe.

8.

Haga clic en ACEPTAR para guardar el informe personalizado.

222

Informes y logs

Informes y logs

Gestin de informes

Generacin de informes personalizados (Continuacin)

Ejemplos de informes personalizados

Si desea configurar un informe sencillo en el que utiliza la base de datos de resumen de trfico de los ltimos
30 das y ordena los datos por las 10 sesiones principales y dichas sesiones se agrupan en 5 grupos por da de
la semana. Debera configurar el informe personalizado para que tuviera un aspecto parecido a este:

Y el resultado en PDF del informe debera tener un aspecto parecido a este:

Informes y logs

223

Gestin de informes

Informes y logs

Generacin de informes personalizados (Continuacin)

Ahora, si quiere utilizar el generador de consultas para generar un informe personalizado que represente a los
principales consumidores de los recursos de red dentro de un grupo de usuarios, debera configurar el informe
para que tuviera un aspecto parecido a este:

El informe debera mostrar a los principales usuarios del grupo de usuarios de gestin de productos ordenados
por bytes, de la manera siguiente:

224

Informes y logs

Informes y logs

Gestin de informes

Generacin de informes de Botnet

La funcin Informe de Botnet le permite utilizar mecanismos basados en el comportamiento para identificar
posibles hosts infectados por Botnet en la red. Para evaluar las amenazas, el cortafuegos utiliza los logs de
amenaza, URL y filtrado de datos que tienen datos sobre la actividad de usuario/red y consulta la lista de URL
malintencionadas en PAN-DB, proveedores de DNS dinmico conocidos y dominios registrados recientemente.
Con estos orgenes de datos, el cortafuegos correlaciona e identifica los hosts que visitaron sitios de malware y
sitios de DNS dinmico, dominios registrados recientemente (en los ltimos 30 das) y aplicaciones
desconocidas utilizadas, y busca la presencia de trfico de Internet Relay Chat (IRC).
Para los host que coincidan con los criterios, se asigna un margen de confianza del 1 al 5 para indicar la
probabilidad de infeccin de Botnet (1 indica la probabilidad de infeccin ms baja y 5 la ms alta). Como los
mecanismos de deteccin basados en el comportamiento requieren realizar una correlacin de trfico entre
varios logs durante un perodo de 24 horas, el cortafuegos genera un informe cada 24 horas con una lista de
hosts ordenada basndose en un nivel de confianza.

Configuracin de informes de Botnet

Generacin de informes de Botnet

Configuracin de informes de Botnet

Utilice estos ajustes para especificar tipos de trfico sospechoso que pueda indicar actividad de Botnet.
Configuracin de informes de Botnet

1.
2.

Seleccione Supervisar > Botnet y haga clic en el botn Configuracin del lado derecho de la pgina.
Para el trfico HTTP, seleccione la casilla de verificacin Habilitar para los eventos que desea incluir en los informes:
Visita a URL de software malintencionado: Identifica a los usuarios que se estn comunicando con URL con
software malintencionado conocidas basndose en las categoras de filtrado de URL de software malintencionado
y Botnet.
Uso de DNS dinmica: Busca trfico de consultas DNS dinmicas que pueden indicar una comunicacin de botnet.
Navegacin por dominios IP: Identifica a los usuarios que examinan dominios IP en lugar de URL.
Navegacin en dominios registrados recientemente: Busca trfico en dominios que se han registrado en los
ltimos 30 das.
Archivos ejecutables desde sitios desconocidos: Identifica los archivos ejecutables descargados desde URL
desconocidas.

3.

Para aplicaciones desconocidas, seleccione aplicaciones con TCP desconocido o UDP desconocido como sospechosas
y especifique la siguiente informacin:
Sesiones por hora: Nmero de sesiones de aplicacin por hora asociadas a la aplicacin desconocida.
Destinos por hora: Nmero de destinos por hora asociados a la aplicacin desconocida.
Bytes mnimos: Tamao mnimo de carga.
Bytes mximos: Tamao mximo de carga.

Informes y logs

225

Gestin de informes

Informes y logs

Configuracin de informes de Botnet

4.

Seleccione la casilla de verificacin para incluir servidores IRC como sospechosos. Los servidores IRC a menudo
utilizan bots para funciones automatizadas.

Generacin de informes de Botnet

Despus de configurar el informe de Botnet, especifique consultas de informe para generar informes de anlisis
de Botnet. El generador de consultas le permite incluir o excluir atributos tales como direcciones IP de origen
o de destino, usuarios, zonas, interfaces, regiones o pases para filtrar los resultados del informe.
Los informes programadas solo se ejecutan una vez al da. Tambin puede generar y mostrar informes a peticin
haciendo clic en Ejecutar ahora en la ventana donde define las consultas de informe. El informe generado se
muestra en Supervisar > Botnet.
Para gestionar informes de Botnet, haga clic en el botn Ajuste de informe en el lado derecho de la pantalla.
Para exportar un informe, seleccione el informe y haga clic en Exportar a PDF o Exportar a CSV.
Generacin de informes de Botnet

1.

En Perodo de ejecucin del informe, seleccione el intervalo de tiempo para el informe (ltimas 24 horas o
ltimo da del calendario).

2.

Seleccione el N. de filas que desea incluir en el informe.

3.

Seleccione Programado para ejecutar el informe a diario. De manera alternativa, puede ejecutar el informe
manualmente haciendo clic en Ejecutar ahora en la parte superior de la ventana Informe de Botnet.

4.

Cree la consulta de informe especificando lo siguiente y, a continuacin, haga clic en Aadir para agregar la
expresin configurada a la consulta. Repita las veces que sean necesarias para crear la consulta completa:
Conector: Especifique un conector lgico (Y/O).
Atributo: Especifique la zona, la direccin o el usuario de origen o destino.
Operador: Especifique el operador para relacionar el atributo con un valor.
Valor: Especifique el valor para coincidir.

5.

Seleccione Negar para aplicar la negacin a la consulta especificada, lo que significa que el informe contendr
toda la informacin que no sea resultado de la consulta definida.

6.

Confirme los cambios.

226

Informes y logs

Informes y logs

Gestin de informes

Gestin de informes de resumen en PDF

Los informes de resumen en PDF contienen informacin recopilada de informes existentes, basndose en datos
de los 5 principales de cada categora (en vez de los 50 principales). Tambin pueden contener grficos de
tendencias que no estn disponibles en otros informes.
Generacin de informes de resumen en PDF

Paso 1

Configure un Informe de resumen

1.

Seleccione Supervisar > Informes en PDF > Gestionar

resumen de PDF.

2.

Haga clic en Aadir y, a continuacin, introduzca un Nombre

para el informe.

3.

Utilice la lista desplegable para cada grupo de informes y

seleccione uno o varios de los elementos para disear el informe
de resumen en PDF. Puede incluir un mximo de 18 elementos
de informe.

en PDF.

Para eliminar un elemento del informe, haga clic en el

icono x o cancele la seleccin del men desplegable para el
grupo de informes adecuado.
Para reorganizar los informes, arrastre y coloque los iconos
en otra rea del informe.

Informes y logs

4.

Haga clic en ACEPTAR para guardar el informe.

5.

Confirme los cambios.

227

Gestin de informes

Informes y logs

Generacin de informes de resumen en PDF

Paso 2

228

Vea el informe.

Para descargar y ver el informe de resumen en PDF, consulte

Visualizacin de informes.

Informes y logs

Informes y logs

Gestin de informes

Generacin de informes de actividad del usuario/grupo

Los informes de actividad del usuario/grupo resumen la actividad web de usuarios individuales o grupos de
usuarios. Ambos informes incluyen la misma informacin con un par de excepciones: Resumen de navegacin
por categora de URL y Clculos de tiempo de exploracin se incluyen en Informes de actividad del usuario, pero
no se incluyen en Informes de actividad del grupo.
User-ID se debe configurar en el cortafuegos para acceder a lista de usuarios/grupos de usuarios.
Generacin de informes de actividad del usuario/grupo

1.

Seleccione Supervisar > Informes en PDF > Informe de actividad del usuario.

2.

Haga clic en Aadir y, a continuacin, introduzca un Nombre para el informe.

3.

Cree el informe:
Para un informe de actividad del usuario: Seleccione Usuario e introduzca el Nombre de usuario o la
Direccin IP (IPv4 o IPv6) del usuario que ser el asunto del informe.
Para informe de actividad de grupo: Seleccione Grupo y seleccione el Nombre de grupo para el que recuperar
informacin de grupos de usuarios en el informe.

4.

Seleccione el perodo de tiempo para el informe en el men desplegable.

El nmero de logs analizados en un informe de actividad del usuario est determinado por el nmero de filas
definido en Mx. de filas en informe de actividad de usuario en la seccin Configuracin de log e informes
en Dispositivo > Configuracin > Gestin.

5.

Seleccione Incluir exploracin detallada para incluir logs de URL detallados en el informe.
La informacin de navegacin detallada puede incluir un gran volumen de logs (miles de logs) para el usuario o grupo
de usuarios seleccionado y puede hacer que el informe sea muy extenso.

6.

Para ejecutar el informe a peticin, haga clic en Ejecutar ahora.

7.

Para guardar el informe, haga clic en Aceptar. Los informes de actividad del usuario/grupo no se pueden guardar en
el cortafuegos; para programar el informe para una entrega por correo electrnico, consulte Programacin de
informes para entrega de correos electrnicos.

Informes y logs

229

Gestin de informes

Informes y logs

Gestin de grupos de informes

Los grupos de informes le permiten crear conjuntos de informes que el sistema puede recopilar y enviar como un
informe agregado en PDF nico con una pgina de ttulo opcional y todos los informes constituyentes incluidos.
Configuracin de grupos de informes

Paso 1

Configure grupos de informes.

Debe configurar un
Grupo de informes para

enviar informes por

correo electrnico.

1.

Cree un perfil de servidor para su servidor de correo electrnico.

2.

Defina el Grupo de informes. Un grupo de informes puede compilar

informes predefinidos, informes de resumen en PDF, informes
personalizados e informes Vista de log en un nico PDF.
a. Seleccione Supervisar > Grupo de informes.
b. Haga clic en Aadir y, a continuacin, introduzca un Nombre para el
grupo de informes.
c. (Opcional) Seleccione Pgina de ttulo y aada un Ttulo para el PDF
creado.
d. Seleccione informes de la columna izquierda y haga clic en Aadir
para mover cada informe al grupo de informes en la derecha.

El informe Vista de log es un tipo de informe que se crea

automticamente cada vez que crea un informe personalizado y
utiliza el mismo nombre que el informe personalizado. Este informe
mostrar los logs que se han utilizado para crear el contenido del
informe personalizado.
Para incluir los datos de vista de log al crear un grupo de informes,
aada su informe personalizado a la lista Informes personalizados y,
a continuacin, para aadir el informe Vista de log, seleccione el
nombre del informe coincidente en la lista Vista de log. El informe
incluir los datos del informe personalizado y los datos de log que se
han utilizado para crear el informe personalizado.
e. Haga clic en ACEPTAR para guardar la configuracin.
f. Para utilizar el grupo de informes, consulte Programacin de
informes para entrega de correos electrnicos.

230

Informes y logs

Informes y logs

Gestin de informes

Programacin de informes para entrega de correos electrnicos

Los informes se pueden programar para una entrega diaria o semanal en un da especificado. Los informes
programados comienzan a ejecutarse a las 2:00 AM y la entrega de correo electrnico comienza despus de que
se hayan generado todos los informes programados.
Programacin de informes para entrega de correos electrnicos

1.

Seleccione Supervisar > Informes en PDF > Programador de correo electrnico.

2.

Seleccione el Grupo de informes para la entrega de correos electrnicos. Para configurar un grupo de informes,
consulte Gestin de grupos de informes.

3.

Seleccione la frecuencia con la que generar y enviar el informe en Periodicidad.

4.

Seleccione el perfil del servidor de correo electrnico que debe utilizarse para entregar los informes. Para configurar
un perfil de servidor de correo electrnico, consulte Cree un perfil de servidor para su servidor de correo electrnico.

5.

Cancelar correos electrnicos del destinatario le permite enviar este informe exclusivamente a los destinatarios
especificados en este campo. Cuando aade destinatarios a Cancelar correos electrnicos del destinatario, el

informe no se enva a los destinatarios configurados en el perfil de servidor de correo electrnico. Utilice esta opcin
para las ocasiones en las que el informe vaya dirigido a una persona distinta de los administradores o destinatarios
definidos en el perfil de servidor de correo electrnico.

Informes y logs

231

Descripcin de los campos de Syslog

Informes y logs

Descripcin de los campos de Syslog

Esta es una lista de los campos estndar de cada uno de los cinco tipos de logs que se reenvan a un servidor
externo. Para facilitar el anlisis, la coma es el delimitador; cada campo es una cadena de valores separados por
comas (CSV). La etiqueta FUTURE_USE se aplica a los campos que los dispositivos no implementan
actualmente.
Los logs de WildFire son un subtipo de logs de amenazas y utilizan el mismo formato que Syslog.

Logs de trfico

Logs de amenaza

Logs de coincidencias HIP

Logs de configuracin

Logs de sistema

Gravedad de Syslog

Formato de logs/eventos personalizados

Secuencias de escape

Logs de trfico
Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, IP de origen, IP de destino, NAT IP origen, NAT IP destino, Nombre de regla, Usuario de origen,
Usuario de destino, Aplicacin, Sistema virtual, Zona de origen, Zona de destino, Interfaz de entrada, Interfaz
de salida, Perfil de reenvo de logs, FUTURE_USE, ID de sesin, Nmero de repeticiones, Puerto de origen,
Puerto de destino, NAT puerto origen, NAT puerto destino, Marcas, Protocolo, Accin, Bytes, Bytes enviados,
Bytes recibidos, Paquetes, Fecha de inicio, Tiempo transcurrido, Categora, FUTURE_USE, Nmero de
secuencia, Marcas de accin, Ubicacin de origen, Ubicacin de destino, FUTURE_USE, Paquetes enviados,
Paquetes recibidos, Razn del fin de sesin*
Nombre de campo

Descripcin

Fecha de registro (receive_time)

Hora a la que se recibi el log en el plano de gestin.

Nmero de serie (serial)

Nmero de serie del dispositivo que gener el log.

Tipo (type)

Especifica el tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema
y Coincidencias HIP.

Subtipo (subtype)

Subtipo del log Trfico; los valores son Iniciar, Finalizar, Colocar y Denegar.
Iniciar: sesin iniciada.
Finalizar: sesin finalizada.
Colocar: sesin colocada antes de identificar la aplicacin; no hay ninguna regla
que permita la sesin.
Denegar: sesin colocada despus de identificar la aplicacin; hay una regla para
bloquear o no hay ninguna regla que permita la sesin.

232

Informes y logs

Informes y logs

Nombre de campo

Descripcin de los campos de Syslog

Descripcin

Tiempo generado (time_generated) Hora a la que se gener el log en el plano de datos.

IP de origen (src)

Direccin IP de origen de la sesin original.

IP de destino (dst)

Direccin IP de destino de la sesin original.

NAT IP origen (natsrc)

Si se ejecuta un NAT de origen, es el NAT de direccin IP de origen posterior.

NAT IP destino (natdst)

Si se ejecuta un NAT de destino, es el NAT de direccin IP de destino posterior.

Nombre de regla (rule)

Nombre de la regla con la que ha coincidido la sesin.

Usuario de origen (srcuser)

Nombre del usuario que inici la sesin.

Usuario de destino (dstuser)

Nombre del usuario para el que iba destinada la sesin.

Aplicacin (app)

Aplicacin asociada a la sesin.

Sistema virtual (vsys)

Sistema virtual asociado a la sesin.

Zona de origen (from)

Zona de origen de la sesin.

Zona de destino (to)

Zona de destino de la sesin.

Interfaz de entrada (inbound_if)

Interfaz de origen de la sesin.

Interfaz de salida (outbound_if)

Interfaz de destino de la sesin.

Perfil de reenvo de logs (logset)

Perfil de reenvo de logs aplicado a la sesin.

ID de sesin (sessionid)

Identificador numrico interno aplicado a cada sesin.

Nmero de repeticiones
(repeatcnt)

Nmero de sesiones con el mismo IP de origen, IP de destino, Aplicacin y Subtipo

observados en 5 segundos. Utilizado nicamente para ICMP.

Puerto de origen (sport)

Puerto de origen utilizado por la sesin.

Puerto de destino (dport)

Puerto de destino utilizado por la sesin.

NAT puerto origen (natsport)

NAT de puerto de origen posterior.

NAT puerto destino (natdport)

NAT de puerto de destino posterior.

Informes y logs

233

Descripcin de los campos de Syslog

Informes y logs

Nombre de campo

Descripcin

Marcas (flags)

Campo de 32 bits que proporciona informacin detallada sobre la sesin; este

campo puede descodificarse aadiendo los valores con Y y con el valor registrado:
0x80000000: la sesin tiene una captura de paquetes (PCAP)
0x02000000: sesin IPv6.
0x01000000: la sesin SSL se ha descifrado (proxy SSL).
0x00800000: la sesin se ha denegado a travs del filtrado de URL.
0x00400000: la sesin ha realizado una traduccin NAT (NAT).
0x00200000: la informacin de usuario de la sesin se ha capturado mediante el
portal cautivo (Portal cautivo).
0x00080000: el valor X-Forwarded-For de un proxy est en el campo Usuario de
origen.
0x00040000: el log corresponde a una transaccin en una sesin de proxy HTTP
(Transaccin proxy).
0x00008000: la sesin es un acceso a la pgina de contenedor (Pgina de
contenedor).
0x00002000: la sesin tiene una coincidencia temporal en una regla para la gestin
de las dependencias de las aplicaciones implcitas. Disponible en PAN-OS 5.0.0 y
posterior.
0x00000800: se utiliz el retorno simtrico para reenviar trfico para esta sesin.

Protocolo (proto)

Protocolo IP asociado a la sesin.

Accin (action)

Accin realizada para la sesin; los valores son Permitir o Denegar:

Permitir: la poltica permiti la sesin.
Denegar: la poltica deneg la sesin.

Bytes (bytes)

Nmero total de bytes (transmitidos y recibidos) de la sesin.

Bytes enviados (bytes_sent)

Nmero de bytes en la direccin cliente a servidor de la sesin.

Disponible en todos los modelos excepto la serie PA-4000.

Bytes recibidos (bytes_received)

Nmero de bytes en la direccin servidor a cliente de la sesin.

Disponible en todos los modelos excepto la serie PA-4000.

Paquetes (packets)

Nmero total de paquetes (transmitidos y recibidos) de la sesin.

Fecha de inicio (start)

Hora de inicio de sesin.

Tiempo transcurrido (elapsed)

Tiempo transcurrido en la sesin.

Categora (category)

Categora de URL asociada a la sesin (si es aplicable).

Nmero de secuencia (seqno)

Identificador de entrada de log de 64 bits que aumenta secuencialmente, cada tipo

de log tiene un espacio de nmero nico. Este campo no es compatible con los
cortafuegos PA-7050.

Marcas de accin (actionflags)

Campo de bits que indica si el log se ha reenviado a Panorama.

234

Informes y logs

Informes y logs

Descripcin de los campos de Syslog

Nombre de campo

Descripcin

Ubicacin de origen (srcloc)

Pas de origen o regin interna para direcciones privadas; la longitud mxima es de

32 bytes.

Ubicacin de destino (dstloc)

Pas de destino o regin interna para direcciones privadas. La longitud mxima es de

32 bytes.

Paquetes enviados (pkts_sent)

Nmero de paquetes de cliente a servidor de la sesin.

Disponible en todos los modelos excepto la serie PA-4000.

Paquetes recibidos (pkts_received) Nmero de paquetes de servidor a cliente de la sesin.

Disponible en todos los modelos excepto la serie PA-4000.
Razn del fin de sesin
(session_end_reason)
Novedad en la versin 6.1

Razn por la que ha finalizado una sesin. Si la finalizacin ha tenido varias causas,
este campo solo muestra la ms importante. Los valores de la posible razn de
finalizacin de la sesin son los siguientes en orden de prioridad (el primero es el
ms importante):
threat: el cortafuegos ha detectado una amenaza asociada a una accin de
restablecimiento, borrado o bloqueo (direccin IP).
policy-deny: la sesin ha hecho coincidir una poltica de seguridad con una accin
de denegacin o borrado.
tcp-rst-from-client: el cliente ha enviado un restablecimiento de TCP al servidor.
tcp-rst-from-server: el servidor ha enviado un restablecimiento de TCP al cliente.
resources-unavailable: la sesin se ha cancelado debido a una limitacin de
recursos del sistema. Por ejemplo, la sesin podra haber superado el nmero de
paquetes que no funcionan permitidos por flujo o por la cola de paquetes que no
funcionan globales.
tcp-fin: uno o varios hosts de la conexin han enviado un mensaje FIN de TCP
para cerrar la sesin.
tcp-reuse: se reutiliza una sesin y el cortafuegos cierra la sesin anterior.
decoder: el decodificador detecta una nueva conexin en el protocolo (como
HTTP-Proxy) y finaliza la conexin anterior.
aged-out: la sesin ha caducado.
unknown: este valor se aplica en las siguientes situaciones:
Terminaciones de sesiones a las que no se aplican los motivos anteriores (por
ejemplo, un comando clear session all).
Para logs generados en una versin de PAN-OS que no admite el campo de
razn de finalizacin de sesin (versiones posteriores a PAN-OS 6.1), el valor
ser unknown (desconocido) despus de una actualizacin de la versin actual
de PAN-OS o despus de que los logs se carguen en el cortafuegos.
En Panorama, los logs recibidos de los cortafuegos para los que la versin de
PAN-OS no admite razones de finalizacin de sesin tendrn un valor
unknown.
n/a: este valor se aplica cuando el tipo de log de trfico no es end.

Informes y logs

235

Descripcin de los campos de Syslog

Informes y logs

Logs de amenaza
Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, IP de origen, IP de destino, NAT IP origen, NAT IP destino, Nombre de regla, Usuario de origen,
Usuario de destino, Aplicacin, Sistema virtual, Zona de origen, Zona de destino, Interfaz de entrada, Interfaz
de salida, Perfil de reenvo de logs, FUTURE_USE, ID de sesin, Nmero de repeticiones, Puerto de origen,
Puerto de destino, NAT puerto origen, NAT puerto destino, Marcas, Protocolo, Accin, Varios, ID de amenaza,
Categora, Gravedad, Direccin, Nmero de secuencia, Marcas de accin, Ubicacin de origen, Ubicacin de
destino, FUTURE_USE, Tipo de contenido, ID de captura de paquetes, Resumen de archivo, Nube,
FUTURE_USE, Agente de usuario*, Tipo de archivo*, X-Forwarded-For*, Sitio de referencia*, Remitente*,
Asunto*, Destinatario*, ID de informe*
Nombre de campo

Descripcin

Fecha de registro (receive_time) Hora a la que se recibi el log en el plano de gestin.

Nmero de serie (serial)

Nmero de serie del dispositivo que gener el log.

Tipo (type)

Especifica el tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y
Coincidencias HIP.

Subtipo (subtype)

Subtipo del log de amenaza; los valores son URL, Virus, Spyware, Vulnerabilidades,
Archivo, Analizar, Inundacin, Datos y WildFire:
URL: log de filtrado de datos
Virus: deteccin de virus
Spyware: deteccin de spyware
Vulnerabilidades: deteccin de exploits de vulnerabilidades
Archivo: log de tipo de archivo
Analizar: exploracin detectada mediante un perfil de proteccin de zona
Inundacin: inundacin detectada mediante un perfil de proteccin de zona
Datos: patrn de datos detectado desde un perfil de proteccin de zona
WildFire: log de WildFire

Tiempo generado
(time_generated)

Hora a la que se gener el log en el plano de datos.

IP de origen (src)

Direccin IP de origen de la sesin original.

IP de destino (dst)

Direccin IP de destino de la sesin original.

NAT IP origen (natsrc)

Si se ejecuta un NAT de origen, es el NAT de direccin IP de origen posterior.

NAT IP destino (natdst)

Si se ejecuta un NAT de destino, es el NAT de direccin IP de destino posterior.

Nombre de regla (rule)

Nombre de la regla con la que ha coincidido la sesin.

Usuario de origen (srcuser)

Nombre del usuario que inici la sesin.

Usuario de destino (dstuser)

Nombre del usuario para el que iba destinada la sesin.

Aplicacin (app)

Aplicacin asociada a la sesin.

236

Informes y logs

Informes y logs

Descripcin de los campos de Syslog

Nombre de campo

Descripcin

Sistema virtual (vsys)

Sistema virtual asociado a la sesin.

Zona de origen (from)

Zona de origen de la sesin.

Zona de destino (to)

Zona de destino de la sesin.

Interfaz de entrada

Interfaz de origen de la sesin.

(inbound_if)
Interfaz de salida

Interfaz de destino de la sesin.

(outbound_if)
Perfil de reenvo de logs

Perfil de reenvo de logs aplicado a la sesin.

(logset)
ID de sesin (sessionid)

Identificador numrico interno aplicado a cada sesin.

Nmero de repeticiones
(repeatcnt)

Nmero de sesiones con el mismo IP de origen, IP de destino, Aplicacin y Subtipo

observados en 5 segundos. Utilizado nicamente para ICMP.

Puerto de origen (sport)

Puerto de origen utilizado por la sesin.

Puerto de destino (dport)

Puerto de destino utilizado por la sesin.

NAT puerto origen (natsport)

NAT de puerto de origen posterior.

NAT puerto destino (natdport)

NAT de puerto de destino posterior.

Marcas (flags)

Campo de 32 bits que proporciona informacin detallada sobre la sesin; este campo
puede descodificarse aadiendo los valores con Y y con el valor registrado:
0x80000000: la sesin tiene una captura de paquetes (PCAP)
0x02000000: sesin IPv6.
0x01000000: la sesin SSL se ha descifrado (proxy SSL).
0x00800000: la sesin se ha denegado a travs del filtrado de URL.
0x00400000: la sesin ha realizado una traduccin NAT (NAT).
0x00200000: la informacin de usuario de la sesin se ha capturado mediante el
portal cautivo (Portal cautivo).
0x00080000: el valor X-Forwarded-For de un proxy est en el campo Usuario de
origen.
0x00040000: el log corresponde a una transaccin en una sesin de proxy HTTP
(Transaccin proxy).
0x00008000: la sesin es un acceso a la pgina de contenedor (Pgina de
contenedor).
0x00002000: la sesin tiene una coincidencia temporal en una regla para la gestin
de las dependencias de las aplicaciones implcitas. Disponible en PAN-OS 5.0.0 y
posterior.
0x00000800: se utiliz el retorno simtrico para reenviar trfico para esta sesin.

Protocolo (proto)

Informes y logs

Protocolo IP asociado a la sesin.

237

Descripcin de los campos de Syslog

Informes y logs

Nombre de campo

Descripcin

Accin (action)

Accin realizada para la sesin; los valores son Alerta, Permitir, Denegar, Colocar,
Colocar todos los paquetes, Restablecer cliente, Restablecer servidor, Restablecer
ambos y Bloquear URL.
Alerta: amenaza o URL detectada pero no bloqueada.
Permitir: alerta de deteccin de inundacin.
Denegar: mecanismo de deteccin de inundacin activado y denegacin de trfico
basndose en la configuracin.
Colocar: amenaza detectada y se descart la sesin asociada.
Colocar todos los paquetes: amenaza detectada y la sesin permanece, pero se
colocan todos los paquetes.
Restablecer cliente: amenaza detectada y se enva un TCP RST al cliente.
Restablecer servidor: amenaza detectada y se enva un TCP RST al servidor.
Restablecer ambos: amenaza detectada y se enva un TCP RST tanto al cliente como
al servidor.
Bloquear URL: la solicitud de URL se bloque porque coincida con una categora
de URL que se haba establecido como bloqueada.

Varios (misc)

Campo de longitud variable con un mximo de 1.023 caracteres.

El URI real cuando el subtipo es URL.
Nombre de archivo o tipo de archivo cuando el subtipo es Archivo.
Nombre de archivo cuando el subtipo es Virus.
Nombre de archivo cuando el subtipo es WildFire.

ID de amenaza (threatid)

Identificador de Palo Alto Networks para la amenaza. Es una cadena de descripcin

seguida de un identificador numrico de 64 bits entre parntesis para algunos subtipos:
8000 - 8099: deteccin de exploracin
8500 - 8599: deteccin de inundacin
9999: log de filtrado de URL
10000 - 19999: deteccin de llamada a casa de spyware
20000 - 29999: deteccin de descarga de spyware
30000 - 44999: deteccin de exploits de vulnerabilidades
52000 - 52999: deteccin de tipo de archivo
60000 - 69999: deteccin de filtrado de datos
100000 - 2999999: deteccin de virus
3000000 - 3999999: distribucin de firmas de WildFire
4000000 - 4999999: firmas de Botnet basadas en DNS

Categora (category)

Para el subtipo URL, es la categora de URL; para el subtipo WildFire, es el veredicto

del archivo y es Malo o Bueno; para otros subtipos, el valor es Cualquiera.

Gravedad (severity)

Gravedad asociada a la amenaza; los valores son Informativo, Bajo, Medio, Alto y
Crtico.

238

Informes y logs

Informes y logs

Descripcin de los campos de Syslog

Nombre de campo

Descripcin

Direccin (direction)

Indica la direccin del ataque: cliente a servidor o servidor a cliente.

0: la direccin de la amenaza es cliente a servidor.
1: la direccin de la amenaza es servidor a cliente.

Nmero de secuencia (seqno)

Identificador de entrada de log de 64 bits que aumenta secuencialmente. Cada tipo de

log tiene un espacio de nmero exclusivo. Este campo no es compatible con los
cortafuegos PA-7050.

Marcas de accin (actionflags)

Campo de bits que indica si el log se ha reenviado a Panorama.

Ubicacin de origen (srcloc)

Pas de origen o regin interna para direcciones privadas. La longitud mxima es de

32 bytes.

Ubicacin de destino (dstloc)

Pas de destino o regin interna para direcciones privadas. La longitud mxima es de

32 bytes.

Tipo de contenido (contenttype) nicamente es aplicable cuando el subtipo es URL.

Tipo de contenido de los datos de respuesta HTTP. La longitud mxima es de 32 bytes.
ID de captura de paquetes
(pcap_id)

ID de captura de paquetes es un elemento integral no firmado de 64 bits que indica un

ID para correlacionar archivos de captura de paquetes de amenaza con capturas de
paquetes ampliadas tomadas como parte de dicho flujo. Todos los logs de amenaza
contendrn un pcap_id cuyo valor es 0 (ninguna captura de paquetes asociada) o un ID
que haga referencia al archivo de captura de paquetes ampliado.

Resumen de archivo (filedigest)

Solamente para el subtipo WildFire; el resto de tipos no utiliza este campo.

La cadena filedigest muestra el hash binario del archivo enviado para ser analizado por
el servicio WildFire.

Nube (cloud)

Solamente para el subtipo WildFire; el resto de los tipos no utilizan este campo.
La cadena cloud muestra el FQDN del dispositivo WildFire (privado) o la nube de
WildFire (pblica) desde donde se carg el archivo para su anlisis.

Novedad en la versin 6.1

Solamente para el subtipo Filtrado de URL; el resto de los tipos no utilizan este campo.

Agente de usuario (user_agent)

El campo Agente de usuario especifica el explorador web que utiliza el usuario para
acceder a la URL (por ejemplo, Internet Explorer). Esta informacin se enva en la
solicitud de HTTP al servidor.

Novedad en la versin 6.1

Solamente para el subtipo WildFire; el resto de los tipos no utilizan este campo.

Tipo de archivo (filetype)

Especifica el tipo de archivo que el cortafuegos ha reenviado para el anlisis de

WildFire.

Novedad en la versin 6.1

Solamente para el subtipo Filtrado de URL; el resto de los tipos no utilizan este campo.

X-Forwarded-For (xff)

El campo X-Forwarded-For del encabezado HTTP contiene la direccin IP del usuario

que ha solicitado la pgina web. Permite identificar la direccin IP del usuario, lo que
es especialmente til si tiene un servidor proxy en su red que reemplaza la direccin IP
del usuario por su propia direccin en el campo de direccin IP de origen del
encabezado del paquete.

Informes y logs

239

Descripcin de los campos de Syslog

Informes y logs

Nombre de campo

Descripcin

Novedad en la versin 6.1

Solamente para el subtipo Filtrado de URL; el resto de los tipos no utilizan este campo.

Sitio de referencia (referer)

El campo Sitio de referencia del encabezado HTTP contiene la direccin URL de la

pgina web que enlaza al usuario a otra pgina web. Es el origen que redirige (remite)
al usuario a la pgina web solicitada.

Novedad en la versin 6.1

Solamente para el subtipo WildFire; el resto de los tipos no utilizan este campo.

Remitente (sender)

Especifica el nombre del remitente de un mensaje de correo electrnico que WildFire

considera malintencionado al analizar el enlace del mensaje de correo electrnico
reenviado por el cortafuegos.

Asunto (subject)

Solamente para el subtipo WildFire; el resto de los tipos no utilizan este campo.

Novedad en la versin 6.1

Especifica el asunto de un mensaje de correo electrnico que WildFire considera

malintencionado al analizar el enlace del mensaje de correo electrnico reenviado por
el cortafuegos.

Destinatario (recipient)

Solamente para el subtipo WildFire; el resto de los tipos no utilizan este campo.

Novedad en la versin 6.1

Especifica el nombre del destinatario de un mensaje de correo electrnico que

WildFire considera malintencionado al analizar el enlace del mensaje de correo
electrnico reenviado por el cortafuegos.

ID de informe (reportid)

Solamente para el subtipo WildFire; el resto de los tipos no utilizan este campo.

Novedad en la versin 6.1

Identifica la solicitud de anlisis en la nube de WildFire o el dispositivo WildFire.

Logs de coincidencias HIP

Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, Usuario de origen, Sistema virtual, Nombre de la mquina, SO, Direccin de origen, HIP, Nmero
de repeticiones, Tipo HIP, FUTURE_USE, Nmero de secuencia, Marcas de accin
Nombre de campo

Descripcin

Fecha de registro
(receive_time)

Hora a la que se recibi el log en el plano de gestin.

Nmero de serie (serial)

Nmero de serie del dispositivo que gener el log.

Tipo (type)

Tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y Coincidencias HIP.

Subtipo (subtype)

Subtipo del log de coincidencias HIP; no utilizado.

Tiempo generado
(time_generated)

Hora a la que se gener el log en el plano de datos.

Usuario de origen (srcuser) Nombre del usuario que inici la sesin.

Sistema virtual (vsys)

Sistema virtual asociado al log de coincidencias HIP.

Nombre de la mquina
(machinename)

Nombre de la mquina del usuario.

240

Informes y logs

Informes y logs

Descripcin de los campos de Syslog

Nombre de campo

Descripcin

SO

Sistema operativo instalado en la mquina o el dispositivo del usuario (o en el sistema

cliente).

Direccin de origen (src)

Direccin IP del usuario de origen.

HIP (matchname)

Nombre del perfil u objeto HIP.

Nmero de repeticiones
(repeatcnt)

Nmero de veces que ha coincidido el perfil HIP.

Tipo HIP (matchtype)

Especifica si el campo HIP representa un objeto HIP o un perfil HIP.

Nmero de secuencia
(seqno)

Identificador de entrada de log de 64 bits que aumenta secuencialmente, cada tipo de log
tiene un espacio de nmero nico. Este campo no es compatible con los cortafuegos
PA-7050.

Marcas de accin
(actionflags)

Campo de bits que indica si el log se ha reenviado a Panorama.

Logs de configuracin
Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, Host, Sistema virtual, Comando, Administrador, Cliente, Resultado, Ruta de configuracin, Nmero
de secuencia, Marcas de accin, Detalle antes del cambio*, Detalle despus del cambio*
Nombre de campo

Descripcin

Fecha de registro
(receive_time)

Hora a la que se recibi el log en el plano de gestin.

Nmero de serie (serial)

Nmero de serie del dispositivo que gener el log.

Tipo (type)

Tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y Coincidencias HIP.

Subtipo (subtype)

Subtipo del log de configuracin; no utilizado.

Tiempo generado
(time_generated)

Hora a la que se gener el log en el plano de datos.

Host (host)

Nombre de host o direccin IP de la mquina cliente.

Sistema virtual (vsys)

Sistema virtual asociado al log de configuracin.

Comando (cmd)

Comando ejecutado por el administrador; los valores son Aadir, Duplicar, Compilar,
Eliminar, Editar, Mover, Renombrar, Establecer y Validar.

Administrador (admin)

Nombre de usuario del administrador que realiza la configuracin.

Cliente (client)

Cliente utilizado por el administrador; los valores son Web y CLI.

Resultado (result)

Resultado de la accin de configuracin; los valores son Enviada, Correctamente, Fallo y No

autorizado.

Informes y logs

241

Descripcin de los campos de Syslog

Informes y logs

Nombre de campo

Descripcin

Ruta de configuracin
(path)

Ruta del comando de configuracin emitido; puede tener una longitud de hasta 512 bytes.

Nmero de secuencia
(seqno)

Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada tipo de log
tiene un espacio de nmero exclusivo. Este campo no es compatible con los cortafuegos
PA-7050.

Marcas de accin
(actionflags)

Campo de bits que indica si el log se ha reenviado a Panorama.

Detalle antes del cambio

(before_change_detail)

Este campo solo se incluye en los logs personalizados y no tiene el formato predeterminado.

Novedad en la versin 6.1

Contiene la xpath completa antes del cambio de configuracin.

Detalle despus del cambio Este campo solo se incluye en los logs personalizados y no tiene el formato predeterminado.
(after_change_detail)
Contiene la xpath completa despus del cambio de configuracin.
Novedad en la versin 6.1

Logs de sistema
Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, Sistema virtual, ID de evento, Objeto, FUTURE_USE, FUTURE_USE, Mdulo, Gravedad,
Descripcin, Nmero de secuencia, Marcas de accin
Nombre de campo

Descripcin

Fecha de registro
(receive_time)

Hora a la que se recibi el log en el plano de gestin.

Nmero de serie (serial)

Nmero de serie del dispositivo que gener el log.

Tipo (type)

Tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y Coincidencias
HIP.

Subtipo (subtype)

Subtipo del log de sistema; hace referencia al demonio de sistema que genera el log; los
valores son Criptogrfico, DHCP, Proxy DNS, Denegacin de servicio, General,
GlobalProtect, HA, Hardware, NAT, Demonio NTP, PBF, Puerto, PPPoE, RAS,
Enrutamiento, satd, Gestor SSL, VPN SSL, ID de usuario, Filtrado de URL y VPN.

Tiempo generado
(time_generated)

Hora a la que se gener el log en el plano de datos.

Sistema virtual (vsys)

Sistema virtual asociado al log de configuracin.

ID de evento (eventid)

Cadena que muestra el nombre del evento.

Objeto (object)

Nombre del objeto asociado al evento del sistema.

Mdulo (module)

Este campo nicamente es vlido cuando el valor del campo Subtipo es General.
Proporciona informacin adicional acerca del subsistema que genera el log; los valores son
General, Gestin, Autenticacin, HA, Actualizar y Bastidor.

242

Informes y logs

Informes y logs

Descripcin de los campos de Syslog

Nombre de campo

Descripcin

Gravedad (severity)

Gravedad asociada al evento; los valores son Informativo, Bajo, Medio, Alto y Crtico.

Descripcin (opaque)

Descripcin detallada del evento, hasta un mximo de 512 bytes.

Nmero de secuencia
(seqno)

Identificador de entrada de log de 64 bits que aumenta secuencialmente, cada tipo de log
tiene un espacio de nmero nico. Este campo no es compatible con los cortafuegos
PA-7050.

Marcas de accin
(actionflags)

Campo de bits que indica si el log se ha reenviado a Panorama.

Gravedad de Syslog
La gravedad de Syslog se establece basndose en el tipo de log y el contenido.
Tipo/gravedad de log

Gravedad de Syslog

Trfico

Informacin

Configurar

Informacin

Amenaza/Sistema: Informativo

Informacin

Amenaza/Sistema: Bajo

Aviso

Amenaza/Sistema: Medio

Advertencia

Amenaza/Sistema: Alto

Error

Amenaza/Sistema: Crtico

Crtico

Formato de logs/eventos personalizados

Para facilitar la integracin con sistemas de anlisis de logs externos, el cortafuegos le permite personalizar el
formato de logs; tambin le permite aadir pares de atributos personalizados Clave: Valor. El formato de los
mensajes personalizados puede configurarse bajo Dispositivo > Perfiles de servidor > Syslog > Perfil de servidor
Syslog > Formato de log personalizado.
Para lograr un formato de log que cumpla con el formato de eventos comunes (CEF) de ArcSight, consulte CEF
Configuration Guide (en ingls).

Secuencias de escape
Cualquier campo que contenga una coma o comillas dobles aparecer entre comillas dobles. Adems, si aparecen
comillas dobles dentro de un campo, se definirn como carcter de escape anteponindoles otras comillas
dobles. Para mantener la compatibilidad con versiones anteriores, el campo Varios del log de amenaza siempre
aparecer entre comillas dobles.

Informes y logs

243

Descripcin de los campos de Syslog

Informes y logs

244

Informes y logs

User-ID
La identificacin de usuarios (User-ID) es una funcin de cortafuegos de prxima generacin de Palo Alto
Networks que le permite crear polticas y realizar informes basndose en usuarios y grupos en lugar de
direcciones IP individuales. Las siguientes secciones describen la funcin User-ID de Palo Alto Networks y
ofrecen instrucciones sobre cmo configurar el acceso basado en usuarios y grupos:

Descripcin general de User-ID

Conceptos de User-ID

Habilitacin de User-ID

Asignacin de usuarios a grupos

Asignacin de direcciones IP a usuarios

Configuracin de un cortafuegos para compartir datos de asignacin de usuarios con otros

cortafuegos

Habilitacin de poltica basada en usuarios y grupos

Verificacin de la configuracin de User-ID

User-ID

245

Descripcin general de User-ID

User-ID

Descripcin general de User-ID

User-ID integra sin problemas los cortafuegos de Palo Alto Networks con una gama de ofertas de servicios de
directorio y terminal empresariales, lo que le permite vincular polticas de seguridad y actividad de aplicaciones
a usuarios y grupos y no solo direcciones IP. Adems, con User-ID habilitado, el centro de comando de
aplicacin (ACC), Appscope, los informes y los logs incluyen nombres de usuarios adems de direcciones IP de
usuarios.
El cortafuegos de prxima generacin de Palo Alto Networks admite la supervisin de los siguientes servicios
empresariales:

Microsoft Active Directory

Lightweight Directory Access Protocol (LDAP)

eDirectory Novell

Citrix Metaframe Presentation Server o XenApp

Microsoft Terminal Services

Para poder crear polticas basadas en usuarios y grupos, el cortafuegos debe tener una lista de todos los usuarios
disponibles y sus correspondientes asignaciones de grupos desde los que puede seleccionarlos al definir sus
polticas. Obtiene esta informacin de Asignacin de grupos conectndose directamente a su servidor de
directorio LDAP.
Para poder aplicar las polticas basadas en usuarios y grupos, el cortafuegos debe poder asignar las direcciones
IP de los paquetes que recibe a nombres de usuarios. User-ID proporciona numerosos mecanismos para
obtener estas asignaciones de direcciones IP a nombres de usuarios. Por ejemplo, utiliza agentes para supervisar
logs de servidor en busca de eventos de inicio de sesin y/o sondear clientes, as como escuchar mensajes de
Syslog de servicios de autenticacin. Para identificar asignaciones de direcciones IP que no se asignaron
mediante uno de los mecanismos de agente, puede configurar el cortafuegos para que redirija las solicitudes
HTTP a un inicio de sesin de portal cautivo. Puede personalizar los mecanismos que utiliza para la Asignacin
de usuario para que se adapten a su entorno, e incluso puede utilizar diferentes mecanismos en sitios distintos.

246

User-ID

User-ID

Descripcin general de User-ID

Ilustracin: User-ID
Joe

Sondeo
de clientes
eDirectory

Portal
cautivo

GlobalProtect

Controlador
de dominios

Agente de
servicios Aerohive AP
de terminal
Blue Coat

AUTENTICACIN DE USUARIOS

Juniper UAC
RECEPTOR DE SYSLOG

EVENTO DE AUTENTICACIN

Directorios

Servicios Servicios de
de terminal autenticacin

Dispositivos de Joe
11.11.11.11
12.12.12.12

API XML

Directorios

Funciones/grupos de Joe
Active Directory
LDAP

Administradores de TI
Empleados de la sede

INFORMAR Y APLICAR POLTICA

Vaya a Conceptos de User-ID para obtener informacin sobre cmo funciona User-ID y a Habilitacin de
User-ID para obtener instrucciones sobre cmo configurar User-ID en el cortafuegos.

User-ID

247

Conceptos de User-ID

User-ID

Conceptos de User-ID

Asignacin de grupos

Asignacin de usuario

Asignacin de grupos
Para definir las polticas de seguridad basndose en usuarios o grupos, el cortafuegos debe recuperar la lista de grupos
y la correspondiente lista de miembros de su servidor de directorio. Para habilitar esta funcin como Asignacin de
usuarios a grupos, debe crear un perfil de servidor LDAP que indique al cortafuegos cmo conectarse al servidor y
autenticarlo, as como el modo de buscar en el directorio la informacin de usuarios y grupos. Tras conectarse al
servidor LDAP y configurar la funcin de asignacin de grupos para la identificacin de usuarios, podr seleccionar
usuarios o grupos al definir sus polticas de seguridad. El cortafuegos admite una variedad de servidores de directorio
LDAP, incluidos Microsoft Active Directory (AD), Novell eDirectory y Sun ONE Directory Server.

A continuacin podr definir polticas basndose en los miembros de grupos en lugar de en usuarios
individuales para una administracin simplificada. Por ejemplo, la siguiente poltica de seguridad permite el
acceso a aplicaciones internas especficas basndose en los miembros de grupos:

Asignacin de usuario
Contar con los nombres de los usuarios y grupos es nicamente una pieza del puzzle. El cortafuegos tambin
necesita saber qu direcciones IP asignar a qu usuarios de modo que las polticas de seguridad puedan aplicarse
correctamente. La Ilustracin: User-ID muestra los diferentes mtodos que se utilizan para identificar usuarios
y grupos en su red y presenta el modo en que la asignacin de usuarios y la asignacin de grupos trabajan en
conjunto para habilitar la visibilidad y la aplicacin de la seguridad basada en usuarios y grupos.

248

User-ID

User-ID

Conceptos de User-ID

Los temas siguientes describen los diferentes mtodos de asignacin de usuarios:

Supervisin de servidor

Sondeo de cliente

Asignacin de puertos

Syslog

Portal cautivo

GlobalProtect

API XML de User-ID

Supervisin de servidor
Con la supervisin de servidor, un agente de User-ID (ya sea un agente basado en Windows que se ejecute en
un servidor de dominio en su red, o el agente de User-ID de PAN-OS integrado que se ejecute en el cortafuegos)
supervisa los logs de eventos de seguridad en busca de Microsoft Exchange Servers especificados, controladores
de dominio o servidores Novell eDirectory en busca de eventos de inicio de sesin. Por ejemplo, en un entorno
AD, puede configurar el agente de User-ID para que supervise los logs de seguridad en busca de renovaciones
o concesiones de tickets de Kerberos, acceso al servidor Exchange (si est configurado) y conexiones de servicio
de impresin y archivo. Recuerde que para que estos eventos se registren en el log de seguridad, el dominio AD
debe configurarse para registrar eventos de inicio de sesin de cuenta correctos. Adems, dado que los usuarios
pueden iniciar sesin en cualquiera de los servidores del dominio, debe configurar la supervisin de servidor
para todos los servidores con el fin de capturar todos los eventos de inicio de sesin de usuarios.
Dado que la supervisin de servidor requiere muy pocos gastos y dado que la mayora de los usuarios por lo
general puede asignarse con este mtodo, se recomienda como el mtodo de asignacin de usuarios bsico para
la mayora de implementaciones de User-ID. Consulte Configuracin de la asignacin de usuarios mediante el
agente de User-ID de Windows o Configuracin de la asignacin de usuarios mediante el agente de User-ID
integrado en PAN-OS para obtener informacin detallada.

Sondeo de cliente
En un entorno de Microsoft Windows, puede configurar el agente de User-ID para sondear los sistemas cliente
mediante Windows Management Instrumentation (WMI). El agente de User-ID basado en Windows tambin
puede realizar un sondeo de NetBIOS (no compatible con el agente de User-ID integrado en PAN-OS). El
sondeo es de especial utilidad en entornos con una alta rotacin de direcciones IP, debido a que los cambios se
reflejarn en el cortafuegos ms rpido, permitiendo una aplicacin ms precisa de las polticas basadas en
usuarios. Sin embargo, si la correlacin entre direcciones IP y usuarios es bastante esttica, probablemente no
necesite habilitar el sondeo de cliente. Ya que el sondeo puede generar una gran cantidad de trfico de red
(basndose en el nmero total de direcciones IP asignadas), el agente que vaya a iniciar los sondeos debera estar
situado lo ms cerca posible de los clientes finales.
Si el sondeo est habilitado, el agente sondear peridicamente cada direccin IP obtenida (cada 20 minutos de
manera predeterminada, pero esto puede configurarse) para verificar que el mismo usuario sigue conectado.
Adems, cuando el cortafuegos se encuentre una direccin IP para la que no tenga una asignacin de usuarios,
enviar la direccin al agente para un sondeo inmediato.

User-ID

249

Conceptos de User-ID

User-ID

Consulte Configuracin de la asignacin de usuarios mediante el agente de User-ID de Windows o

Configuracin de la asignacin de usuarios mediante el agente de User-ID integrado en PAN-OS para obtener
informacin detallada.

Asignacin de puertos
En entornos con sistemas multiusuario (como entornos de Microsoft Terminal Server o Citrix), muchos
usuarios comparten la misma direccin IP. En este caso, el proceso de asignacin de usuario a direccin IP
requiere el conocimiento del puerto de origen de cada cliente. Para realizar este tipo de asignacin, debe instalar
el agente de servicios de terminal de Palo Alto Networks en el propio servidor de terminal Windows/Citrix para
que sirva de intermediario en la asignacin de puertos de origen a los diversos procesos de usuario. Para los
servidores de terminal que no admiten el agente de servicios de terminal, como los servidores de terminal de
Linux, puede utilizar la API XML para enviar informacin de asignacin de usuarios de eventos de inicio de
sesin y cierre de sesin a User-ID. Consulte Configuracin de la asignacin de usuarios para usuarios del
servidor de terminal para obtener informacin detallada sobre la configuracin.

Syslog
En entornos con servicios de red existentes que autentiquen usuarios, tales como controladores inalmbricos,
dispositivos 802.1x, servidores Open Directory de Apple, servidores proxy u otros mecanismos de control de
acceso a la red (NAC), el agente de User-ID del cortafuegos (bien el agente de Windows, bien el agente
integrado en PAN-OS en el cortafuegos) puede escuchar mensajes de Syslog de autenticacin de esos servicios.
Los filtros de Syslog, que se proporcionan mediante una actualizacin de contenido (solamente para agentes de
User-ID integrados) o se configuran manualmente, permiten que el agente de User-ID analice y extraiga
nombres de usuarios y direcciones IP de eventos de Syslog de autenticacin generados por el servicio externo,
as como que aada la informacin a las asignaciones de direcciones IP a nombres de usuarios de User-ID
mantenidas por el cortafuegos. Consulte Configuracin de User-ID para recibir asignaciones de usuarios desde
un emisor de Syslog para obtener informacin detallada sobre la configuracin.

250

User-ID

User-ID

Conceptos de User-ID

Ilustracin: Integracin de User-ID con Syslog

bash > ssh host

ltimo inicio de sesin: 29/02/2013 desde localhost
[user@host ~]

Autenticacin de Unix

Autenticacin de proxy

Autenticacin 802.1x
Autenticacin
802.1x

Receptor de Syslog

Dispositivos de Joe
11.11.11.11
12.12.12.12

Funciones/grupos
de Joe
Administradores de TI
Empleados de la sede

Portal cautivo
Si el cortafuegos o el agente de User-ID no puede asignar una direccin IP a un usuario (por ejemplo, si el
usuario no ha iniciado sesin o si est utilizando un sistema operativo como Linux que no es compatible con
sus servidores de dominio), podr configurar un portal cautivo. Cuando est configurado, cualquier trfico web
(HTTP o HTTPS) que coincida con su poltica de portal cautivo requerir la autenticacin de usuario, ya sea de
manera transparente a travs de un desafo NT LAN Manager (NTLM) para el explorador, o de manera activa
redirigiendo al usuario a un formulario de autenticacin web para una autenticacin con una base de datos de
autenticacin RADIUS, LDAP, Kerberos o local o utilizando una autenticacin de certificado de cliente.
Consulte Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo para obtener
informacin detallada.

GlobalProtect
En el caso de usuarios mviles o con itinerancia, el cliente GlobalProtect proporciona la informacin de
asignacin de usuarios directamente al cortafuegos. En este caso, cada usuario de GlobalProtect tiene un agente
o una aplicacin ejecutndose en el cliente que requiere que el usuario introduzca credenciales de inicio de sesin
para un acceso mediante VPN al cortafuegos. A continuacin, esta informacin de inicio de sesin se aade a
la tabla de asignaciones de usuarios de User-ID del cortafuegos para lograr visibilidad y la aplicacin de polticas
de seguridad basadas en usuarios. Dado que los usuarios de GlobalProtect deben autenticarse para poder

User-ID

251

Conceptos de User-ID

User-ID

acceder a la red, la asignacin de direcciones IP a nombres de usuarios se conoce de manera explcita. Esta es
la mejor solucin en entornos confidenciales en los que deba estar seguro de quin es un usuario para permitirle
el acceso a una aplicacin o un servicio. Para obtener ms informacin sobre cmo configurar GlobalProtect,
consulte la Gua del administrador de GlobalProtect.

API XML de User-ID

Para otros tipos de acceso de usuario que no se puedan asignar utilizando ninguno de los mtodos de asignacin
de usuarios estndar o el portal cautivo (por ejemplo, para aadir asignaciones de usuarios que se conecten desde
una solucin de VPN externa o usuarios que se conecten a una red inalmbrica con 802.1x), puede utilizar la
API XML de User-ID para capturar eventos de inicio de sesin y enviarlos al agente de User-ID o directamente
al cortafuegos. Consulte Envo de asignaciones de usuarios a User-ID mediante la API XML para obtener
informacin detallada.

252

User-ID

User-ID

Habilitacin de User-ID

Habilitacin de User-ID
Debe completar las siguientes tareas para configurar el cortafuegos para utilizar usuarios y grupos en la
aplicacin de polticas, la creacin de logs y la elaboracin de informes:

Asignacin de usuarios a grupos

Asignacin de direcciones IP a usuarios
Habilitacin de poltica basada en usuarios y grupos
Verificacin de la configuracin de User-ID

User-ID

253

Asignacin de usuarios a grupos

User-ID

Asignacin de usuarios a grupos

Utilice el siguiente procedimiento para conectarse a su directorio LDAP y as permitir que el cortafuegos
recupere informacin de asignacin de usuario a grupo:
Prcticas recomendadas para la asignacin de grupos en un entorno de Active Directory:

Si tiene un nico dominio, solamente necesita un perfil de servidor LDAP que conecte el cortafuegos
con el controlador de dominio utilizando la mejor conectividad. Puede aadir controladores de dominio
adicionales para la tolerancia a errores.
Si tiene varios dominios y/o varios bosques, deber crear un perfil de servidor para conectarse a un
servidor de dominio en cada dominio/bosque. Tome las medidas oportunas para garantizar que los
nombres se usuarios son exclusivos en los distintos bosques.
Si tiene grupos universales, cree un perfil de servidor para conectarse con el servidor de catlogo global.

Asignacin de usuarios a grupos

Paso 1

254

Cree un perfil de servidor LDAP que especifique cmo conectarse a los servidores de directorio que desee que utilice
el cortafuegos para obtener informacin de asignacin de grupos.
1. Seleccione Dispositivo > Perfiles de
servidor > LDAP.
2. Haga clic en Aadir y, a continuacin,
introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al
que se aplica este perfil en el men
desplegable Ubicacin.
4. Haga clic en Aadir para aadir una nueva
entrada de servidor LDAP y, a continuacin,
introduzca un nombre de Servidor para
identificar al servidor (de 1 a 31 caracteres) y
el nmero de Direccin IP y Puerto que
debera utilizar el cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP; 636 para
LDAP sobre SSL). Puede aadir hasta cuatro servidores LDAP al perfil; sin embargo, todos los servidores que
aada a un perfil debern ser del mismo tipo. Para la redundancia, debera aadir como mnimo dos servidores.
5. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor que
introduzca aqu depender de su implementacin:
Si est utilizando Active Directory, deber introducir el nombre de dominio NetBIOS; NO el FQDN (por
ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios dominios,
deber crear perfiles de servidor separados.
Si est utilizando un servidor de catlogo global, deje este campo en blanco.
6. Seleccione el Tipo de servidor LDAP al que se est conectando. Los atributos de LDAP correctos de la
configuracin de asignacin de grupos se cumplimentarn automticamente segn su seleccin. Sin embargo, si ha
personalizado su esquema de LDAP, puede que tenga que modificar los ajustes predeterminados.
7. En el campo Base, seleccione el DN que se corresponda con el punto del rbol de LDAP donde desee que el
cortafuegos comience su bsqueda de informacin de usuarios y grupos.
8. Introduzca las credenciales de autenticacin para el enlace con el rbol de LDAP en los campos Enlazar DN,
Enlazar contrasea y Confirmar contrasea de enlace. El valor de Enlazar DN puede tener el formato Nombre
principal del usuario (UPN)
(p. ej., [email protected]) o puede ser un nombre de LDAP completo
(p. ej., cn=administrador,cn=usuarios,dc=acme,dc=local).
9. Si desea que el cortafuegos se comunique con los servidores LDAP a travs de una conexin segura, seleccione la
casilla de verificacin SSL. Si habilita SSL, asegrese de que tambin ha especificado el nmero de puerto adecuado.
10. Haga clic en Aceptar para guardar el perfil.

User-ID

User-ID

Asignacin de usuarios a grupos

Asignacin de usuarios a grupos (Continuacin)

Paso 2

Aada el perfil de servidor LDAP a la configuracin de asignacin de grupos de User-ID.

1. Seleccione Dispositivo > Identificacin de
usuarios > Configuracin de asignacin de
grupo y haga clic en Aadir.

2. Introduzca un nombre exclusivo para

identificar la configuracin de asignacin de
grupo.
3. Seleccione el Perfil de servidor que cre en el
Paso 1.
4. (Opcional) Para filtrar los grupos a los que
User-ID realiza un seguimiento para la
asignacin de grupo, en la seccin Objetos de
grupo, introduzca un Filtro de bsqueda
(consulta LDAP) y, a continuacin, especifique
la Clase de objeto (definicin de grupo), el
Nombre de grupo y el Miembro de grupo.
5. (Opcional) Para filtrar los usuarios a los que
User-ID realiza un seguimiento para la
asignacin de grupo, en la seccin Objetos de
usuario, introduzca un Filtro de bsqueda
(consulta LDAP) y, a continuacin, especifique
la Clase de objeto (definicin de usuario) y el
Nombre de usuario.
6. (Opcional) Para hacer que la informacin de User-ID coincida con la informacin de encabezado de correo
electrnico identificada en los enlaces y archivos adjuntos de correos electrnicos reenviados a WildFire,
introduzca la lista de dominios de correo electrnico de su organizacin en la seccin Dominios de correo,
en el campo Lista de dominios. Utilice comas para separar varios dominios (hasta 256 caracteres). Despus
de hacer clic en ACEPTAR (paso 9), PAN-OS cumplimenta automticamente el campo Atributos de correo
electrnico basndose en su tipo de servidor LDAP (Sun/RFC, Active Directory o Novell). Cuando se
produzca una coincidencia, el nombre de usuario de la seccin de encabezado de correo electrnico de log de
WildFire contendr un vnculo que abre la pestaa ACC, filtrada por el usuario o el grupo de usuarios.
7. Asegrese de que la casilla de verificacin Habilitado est seleccionada.
8. (Opcional) Para limitar qu grupos aparecen en la poltica de seguridad, seleccione la pestaa Lista de
inclusin de grupos y explore el rbol de LDAP para ubicar los grupos que desee. En el caso de cada grupo
que desee incluir, seleccinelo en la lista Grupos disponibles y haga clic en el icono de adicin para
moverlo a la lista Grupos incluidos.
9. Haga clic en ACEPTAR para guardar la configuracin.
Paso 3

User-ID

Compile la configuracin.

255

Asignacin de direcciones IP a usuarios

User-ID

Asignacin de direcciones IP a usuarios

Las tareas que necesita realizar para asignar direcciones IP a nombres de usuarios dependen del tipo y la
ubicacin de los sistemas cliente de su red. Realice todas las tareas siguientes que sean necesarias para habilitar
la asignacin de sus sistemas cliente:

Para asignar usuarios a medida que inicien sesin en sus servidores Exchange, controladores de dominio o
servidores eDirectory o clientes de Windows que puedan sondearse directamente, debe configurar un
agente de User-ID para supervisar los logs de servidor y/o sondear sistemas cliente. Puede instalar el
agente de User-ID de Windows independiente en uno o ms servidores miembros en el dominio que
contenga los servidores y clientes que vayan a supervisarse (consulte Configuracin de la asignacin de
usuarios mediante el agente de User-ID de Windows) o puede configurar el agente de User-ID del
cortafuegos que est integrado con PAN-OS (Configuracin de la asignacin de usuarios mediante el
agente de User-ID integrado en PAN-OS). Para obtener orientacin sobre qu configuracin de agente es
adecuada para su red y el nmero y las ubicaciones de agentes que son obligatorios, consulte Architecting
User Identification Deployments (en ingls).

Si tiene clientes que ejecuten sistemas multiusuario como Microsoft Terminal Server, Citrix Metaframe
Presentation Server o XenApp, consulte Configuracin del agente de servidor de terminal de Palo Alto
Networks para la asignacin de usuarios para obtener instrucciones sobre cmo instalar y configurar el
agente en un servidor de Windows. Si tiene un sistema multiusuario que no se est ejecutando en
Windows, puede utilizar la API XML de User-ID para enviar las asignaciones de direcciones IP a nombres
de usuarios directamente al cortafuegos. Consulte Recuperacin de asignaciones de usuarios de un
servidor de terminal mediante la API XML de User-ID.

Para obtener asignaciones de usuarios a partir de servicios de red existentes que autentiquen usuarios, tales
como controladores inalmbricos, dispositivos 802.1x, servidores Open Directory de Apple, servidores
proxy u otros mecanismos de control de acceso a la red (NAC), configure el agente de User-ID (bien el
agente de Windows, bien la funcin de asignacin de usuarios sin agente en el cortafuegos) para que
escuche mensajes de Syslog de autenticacin de esos servicios. Consulte Configuracin de User-ID para
recibir asignaciones de usuarios desde un emisor de Syslog.

Si tiene usuarios con sistemas cliente que no hayan iniciado sesin en sus servidores de dominio (por
ejemplo, usuarios que ejecuten clientes Linux que no inicien sesin en el dominio), consulte Asignacin de
direcciones IP a nombres de usuario mediante un portal cautivo.

En el caso de otros clientes que no pueda asignar utilizando los mtodos anteriores, puede utilizar la API
XML de User-ID para aadir asignaciones de usuarios directamente al cortafuegos. Consulte Envo de
asignaciones de usuarios a User-ID mediante la API XML.

Como la poltica es local en cada cortafuegos, cada uno de ellos debe tener una lista actual de las
asignaciones de direcciones IP a nombres de usuarios para aplicar de forma precisa la poltica de seguridad
segn el grupo o usuario. Sin embargo, puede configurar un cortafuegos para que recopile todas las
asignaciones de usuarios y las distribuya a los otros cortafuegos. Para obtener ms informacin, consulte
Configuracin de un cortafuegos para compartir datos de asignacin de usuarios con otros cortafuegos.

256

User-ID

User-ID

Asignacin de direcciones IP a usuarios

Configuracin de la asignacin de usuarios mediante el agente de User-ID

de Windows
En la mayora de los casos, la gran parte de los usuarios de su red tendrn inicios de sesin en sus servicios de
dominio supervisados. Para estos usuarios, el agente de User-ID de Palo Alto Networks supervisa los servidores
en busca de eventos de inicio de sesin y cierre de sesin y realiza la asignacin de direcciones IP a usuarios. El
modo en que configure el agente de User-ID depender del tamao de su entorno y la ubicacin de sus
servidores de dominio. La prctica recomendada es que ubique sus agentes de User-ID cerca de sus servidores
supervisados (es decir, los servidores supervisados y el agente de User-ID de Windows no deberan estar
separados por un enlace WAN). Esto se debe a que la mayor parte del trfico para la asignacin de usuarios se
produce entre el agente y el servidor supervisado, y nicamente una pequea cantidad del trfico (la diferencia
de asignaciones de direcciones IP desde la ltima actualizacin) se produce desde el agente al cortafuegos.
Los siguientes temas describen cmo instalar y configurar el agente de User-ID y cmo configurar el
cortafuegos para que recupere informacin de asignacin de usuarios del agente:

Instalacin del agente de User-ID

Configuracin del agente de User-ID para la asignacin de usuarios

Instalacin del agente de User-ID

El siguiente procedimiento muestra cmo instalar el agente de User-ID en un servidor miembro en el dominio
y configurar la cuenta de servicio con los permisos obligatorios. Si est actualizando, el instalador eliminar
automticamente la versin anterior; no obstante, es conveniente hacer una copia de seguridad del archivo
config.xml antes de ejecutar el instalador.
Para obtener informacin sobre los requisitos del sistema para instalar el agente de User-ID
basado en Windows y para obtener informacin sobre las versiones admitidas del sistema
operativo del servidor, consulte Operating System (OS) Compatibility User-ID Agent (en ingls)
en las notas de versin de agente de User-ID, que estn disponibles en la pgina Actualizaciones
de software de Palo Alto Networks.

User-ID

257

Asignacin de direcciones IP a usuarios

User-ID

Instalacin del agente de User-ID de Windows

Paso 1

Debe instalar el agente de User-ID en un sistema que ejecute una

de las versiones de SO admitidas: consulte Operating System
(OS) Compatibility User-ID Agent (en ingls) en las notas de
El agente de User-ID consulta los logs del
versin de agente de User-ID.
controlador de dominio y el servidor
Asegrese de que el sistema en el que tiene la intencin de instalar
Exchange mediante llamadas a
el agente de User-ID sea miembro del dominio al que pertenecen
procedimiento remoto de Microsoft
los servidores que supervisar.
(MSRPC), que requieren una
transferencia completa de todo el log en La prctica recomendada es instalar el agente de User-ID cerca de
cada consulta. Por lo tanto, siempre
los servidores que supervisar (hay ms trfico entre el agente de
debera instalar uno o ms agentes de
User-ID y los servidores supervisados que entre el agente de
User-ID en cada ubicacin que tenga
User-ID y el cortafuegos, de modo que ubicar el agente cerca de
servidores que tengan que supervisarse.
los servidores supervisados optimiza el uso del ancho de banda).
Decida dnde instalar los agentes de
User-ID.

Para obtener informacin ms

detallada sobre dnde instalar
agentes de User-ID, consulte
Architecting User Identification
(User-ID) Deployments (en
ingls).
Paso 2

Descargue el instalador de agente de

User-ID.

Para garantizar la asignacin de usuarios ms completa, debe

supervisar todos los servidores que contengan informacin de
inicio de sesin de usuarios. Puede que necesite instalar varios
agentes de User-ID para supervisar eficazmente todos sus
recursos.
1.

2.
La prctica recomendada es instalar la
misma versin del agente de User-ID que
la versin de PAN-OS que se est
3.
ejecutando en los cortafuegos.

Paso 3

Inicie sesin en el sitio de asistencia tcnica de Palo Alto

Networks.
Seleccione Actualizaciones de software en la seccin
Gestionar dispositivos.
Desplcese hasta la seccin Agente de identificacin de usuarios
de la pantalla y haga clic en Descargar para descargar la versin
del agente de User-ID que quiera instalar.

4.

Guarde el archivo UaInstall-x.x.x-xx.msi en los sistemas

donde tenga la intencin de instalar el agente.

Ejecute el instalador como administrador. 1.

Para iniciar una lnea de comandos como administrador, haga

clic en Iniciar, haga clic con el botn derecho en Lnea de
comandos y, a continuacin, seleccione Ejecutar como
administrador.

2.

Desde la lnea de comandos, ejecute el archivo .msi que ha

descargado. Por ejemplo, si guard el archivo .msi en el
escritorio, debera introducir lo siguiente:
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>UaInstall-6.0.
0-1.msi

258

3.

Siga los mensajes de configuracin para instalar el agente con los

ajustes predeterminados. De manera predeterminada, el agente
se instala en la carpeta C:\Program Files (x86)\Palo Alto
Networks\User-ID Agent, pero puede hacer clic en Examinar
para seleccionar una ubicacin diferente.

4.

Cuando finalice la instalacin, haga clic en Cerrar para cerrar la

ventana de configuracin.

User-ID

User-ID

Asignacin de direcciones IP a usuarios

Instalacin del agente de User-ID de Windows (Continuacin)

Paso 4

Inicie la aplicacin del agente de User-ID. 1.

Paso 5

(Opcional) Cambie la cuenta de servicio

que utiliza el agente de User-ID para
iniciar sesin.

User-ID

Haga clic en Iniciar y seleccione Agente de User-ID.

De manera predeterminada, el agente utiliza la cuenta de

administrador utilizada para instalar el archivo .msi. Sin embargo,
puede que quiera cambiarla por una cuenta restringida de la manera
siguiente:
1. Seleccione Identificacin de usuarios > Configuracin y haga
clic en Editar.
2.

Seleccione la pestaa Autenticacin e introduzca el nombre de

cuenta de servicio que quiera que utilice el agente de User-ID en
el campo Nombre de usuario para Active Directory.

3.

Introduzca la Contrasea para la cuenta especificada.

259

Asignacin de direcciones IP a usuarios

User-ID

Instalacin del agente de User-ID de Windows (Continuacin)

Paso 6

(Opcional) Asigne permisos de cuenta a la 1.

carpeta de instalacin.

Otorgue permisos a la cuenta de servicio para la carpeta de

instalacin:

Solamente necesita realizar este paso si la

cuenta de servicio que configur para el
agente de User-ID no es miembro del
grupo de administradores para el dominio
o miembro de los grupos Operadores de
servidor y Lectores de log de evento.

a. Desde el Explorador de Windows, desplcese hasta

C:\Program Files\Palo Alto Networks, haga clic con el
botn derecho en la carpeta y seleccione Propiedades.
b. En la pestaa Seguridad, haga clic en Aadir para aadir la
cuenta de servicio del agente de User-ID y asignarle permisos
para Modificar, Leer y ejecutar, Enumerar contenido de
carpeta y Leer; a continuacin, haga clic en ACEPTAR para
guardar la configuracin de la cuenta.
2.

Otorgue permisos a la cuenta de servicio para el subrbol de

registro del agente de User-ID:
a. Ejecute regedit32 y desplcese hasta el subrbol de Palo
Alto Networks en una de las siguientes ubicaciones:
Sistemas de 32 bits: HKEY_LOCAL_MACHINE\Software\
Palo Alto Networks

Sistemas de 64 bits: HKEY_LOCAL_MACHINE\Software\

WOW6432Node\Palo Alto Networks

b. Haga clic con el botn derecho en el nodo de Palo Alto

Networks y seleccione Permisos.
c. Asigne a la cuenta de servicio de User-ID Control completo
y, a continuacin, haga clic en ACEPTAR para guardar el
ajuste.
3.

En el controlador de dominio, aada la cuenta de servicio a los

grupos integrados para habilitar privilegios para leer los eventos
de logs de seguridad (grupo Lectores de log de evento) y abrir
sesiones (grupo Operadores de servidor):
a. Ejecute MMC e inicie el complemento de usuarios y equipos
de Active Directory.
b. Desplcese hasta la carpeta Builtin del dominio y, a
continuacin, haga clic con el botn derecho en cada grupo
que necesite editar (Lectores de log de evento y Operadores
de servidor) y seleccione Aadir al grupo para abrir el cuadro
de dilogo de propiedades.
c. Haga clic en Aadir e introduzca el nombre de la cuenta de
servicio que configur para ser utilizada por el servicio de
User-ID y, a continuacin, haga clic en Comprobar nombres
para validar que tiene el nombre de objeto adecuado.
d. Haga clic en ACEPTAR dos veces para guardar la
configuracin.

260

User-ID

User-ID

Asignacin de direcciones IP a usuarios

Configuracin del agente de User-ID para la asignacin de usuarios

El agente de User-ID de Palo Alto Networks es un servicio de Windows que se conecta con servidores de su
red (por ejemplo, servidores Active Directory, Microsoft Exchange y Novell eDirectory) y supervisa los logs en
busca de eventos de inicio de sesin y cierre de sesin. El agente utiliza esta informacin para asignar direcciones
IP a nombres de usuarios. Los cortafuegos de Palo Alto Networks se conectan con el agente de User-ID para
recuperar esta informacin de asignacin de usuarios, habilitando la visibilidad de la actividad de los usuarios
por nombre de usuario en lugar de por direccin IP. Esto tambin habilita la aplicacin de la seguridad basada
en usuarios y grupos.
Para obtener informacin sobre las versiones del sistema operativo del servidor admitidas por el
agente de User-ID, consulte Operating System (OS) Compatibility User-ID Agent (en ingls) en
las notas de versin de agente de User-ID, que estn disponibles en la pgina Actualizaciones
de software de Palo Alto Networks.

Asignacin de direcciones IP a usuarios mediante el agente de User-ID

Paso 1

User-ID

Inicie la aplicacin del agente de User-ID. 1.

Seleccione Agente de User-ID en el men Inicio de Windows.

261

Asignacin de direcciones IP a usuarios

User-ID

Asignacin de direcciones IP a usuarios mediante el agente de User-ID (Continuacin)

Paso 2

Defina los servidores que debera

supervisar el agente de User-ID para
recopilar informacin de asignacin de
direcciones IP a usuarios.

1.

Seleccione Identificacin de usuarios > Descubrimiento.

2.

En la seccin Servidores de la pantalla, haga clic en Aadir.

3.

Introduzca un Nombre y una Direccin de servidor para el

servidor que vaya a supervisarse. La direccin de red puede ser
un FQDN o una direccin IP.

El agente de User-ID puede supervisar

hasta 100 servidores y escuchar mensajes 4.
de Syslog de hasta 100 emisores de Syslog.
Recuerde que para recopilar todas las
asignaciones necesarias, deber
conectarse a todos los servidores en los
que sus usuarios inician sesin para
supervisar los archivos de log de
seguridad en todos los servidores que
contengan eventos de inicio de sesin.

5.

(Opcional) Para permitir que el cortafuegos detecte

automticamente controladores de dominio en su red mediante
bsquedas de DNS, haga clic en Descubrir automticamente.
La deteccin automtica nicamente localiza los
controladores de dominio del dominio local; deber
aadir manualmente los servidores Exchange, los
servidores eDirectory y los emisores de Syslog.

6.

262

Seleccione el Tipo de servidor (Microsoft Active Directory,

Microsoft Exchange, Novell eDirectory, o Emisor de syslog) y,
a continuacin, haga clic en ACEPTAR para guardar la entrada
del servidor. Repita este paso para este servidor que vaya a
supervisarse.

(Opcional) Para ajustar la frecuencia con la que el cortafuegos

sondea los servidores configurados en busca de informacin de
asignacin, seleccione Identificacin de usuarios >
Configuracin y haga clic en Editar para editar la seccin
Configuracin. En la pestaa Supervisin de servidor,
modifique el valor del campo Frecuencia de supervisin de log
de servidor (segundos). La prctica recomendada es que
debera aumentar el valor de este campo a 5 segundos en
entornos con controladores de dominio de mayor antigedad o
enlaces de alta latencia. Haga clic en ACEPTAR para guardar los
cambios.

User-ID

User-ID

Asignacin de direcciones IP a usuarios

Asignacin de direcciones IP a usuarios mediante el agente de User-ID (Continuacin)

Paso 3

1.
(Opcional) Si ha configurado el agente
para que se conecte a un servidor Novell
eDirectory, debe especificar el modo en 2.
que el agente debera buscar el directorio.

Seleccione Identificacin de usuarios > Configuracin y haga

clic en Editar en la seccin Configuracin de la ventana.
Seleccione la pestaa eDirectory y, a continuacin,
cumplimente los campos siguientes:
Base de bsqueda: Punto de partida o contexto raz para las
consultas del agente, por ejemplo: dc=domain1,
dc=example, dc=com.
Enlazar nombre distintivo: Cuenta que debe utilizarse para
enlazarla con el directorio, por ejemplo: cn=admin, ou=IT,
dc=domain1, dc=example, dc=com.
Enlazar contrasea: Contrasea de la cuenta de enlace. El
agente guardar la contrasea cifrada en el archivo de
configuracin.
Filtro de bsqueda: Consulta de bsqueda para entradas de
usuarios (el valor predeterminado es objectClass=Person).
Prefijo del dominio de servidor: Prefijo que identifica de
manera exclusiva al usuario. Esto solamente es obligatorio si
hay espacios de nombres solapados, como diferentes
usuarios con el mismo nombre de dos directorios diferentes.
Utilizar SSL: Seleccione la casilla de verificacin para utilizar
SSL para el enlace de eDirectory.
Comprobar certificado de servidor: Seleccione la casilla de
verificacin para comprobar el certificado de servidor de
eDirectory al utilizar SSL.

Paso 4

(Opcional) Habilite el sondeo de clientes. 1.

El sondeo de clientes es de utilidad en
entornos en los que las direcciones IP no
estn estrechamente ligadas a los usuarios, 2.
porque garantiza que las direcciones
asignadas anteriormente siguen siendo
vlidas. Sin embargo, a medida que
aumenta el nmero total de direcciones IP
obtenidas, tambin lo hace la cantidad de
trfico generado. La prctica
recomendada es habilitar el sondeo
nicamente en segmentos de red en los
que la rotacin de direcciones IP sea
elevada.

En la pestaa Sondeo de clientes, seleccione la casilla de

verificacin Habilitar sondeo de WMI y/o la casilla de
verificacin Habilitar sondeo de NetBIOS.
Asegrese de que el cortafuegos de Windows permitir el
sondeo de clientes aadiendo una excepcin de administracin
remota al cortafuegos de Windows para cada cliente sondeado.
Para que el sondeo de NetBIOS funcione de forma
efectiva, cada PC cliente sondeado debe proporcionar un
puerto 139 en el cortafuegos de Windows y debe tener
los servicios de uso compartido de archivos e impresoras
activados. El sondeo de WMI siempre es preferible antes
que el sondeo de NetBIOS cuando sea posible.

Para obtener informacin ms detallada

sobre la colocacin de agentes de User-ID
mediante el sondeo de clientes, consulte
Architecting User Identification
(User-ID) Deployments (en ingls).

User-ID

263

Asignacin de direcciones IP a usuarios

User-ID

Asignacin de direcciones IP a usuarios mediante el agente de User-ID (Continuacin)

Paso 5

Guarde la configuracin.

Haga clic en ACEPTAR para guardar los ajustes de configuracin del

agente de User-ID y, a continuacin, haga clic en Confirmar para
reiniciar el agente de User-ID y cargar los nuevos ajustes.

Paso 6

(Opcional) Defina el conjunto de usuarios

para los que no necesite proporcionar
asignaciones de direccin IP a nombre de
usuario, como cuentas de servicio o
cuentas de kiosco.

Cree un archivo ignore_user_list.txt y gurdelo en la carpeta

User-ID Agent del servidor de dominio donde el agente est
instalado.

Tambin puede utilizar la lista

para identificar a
usuarios que desee obligar a
autenticar mediante un portal
cautivo.
ignore-user

Paso 7

264

Configure los cortafuegos para

conectarlos al agente de User-ID.

Enumere las cuentas de usuario que deben ignorarse; no hay ningn

lmite en el nmero de cuentas que puede aadir a la lista. Cada
nombre de cuenta de usuario debe estar en una lnea separada. Por
ejemplo:
SPAdmin
SPInstall
TFSReport

Realice los siguientes pasos en cada cortafuegos que quiera conectar

al agente de User-ID para recibir asignaciones de usuarios:
1. Seleccione Dispositivo > Identificacin de usuarios > Agentes
de User-ID y haga clic en Aadir.
2.

Introduzca un Nombre para el agente de User-ID.

3.

Introduzca la direccin IP del Host de Windows en el que est

instalado el agente de User-ID.

4.

Introduzca el nmero de Puerto en el que el agente escuchar

solicitudes de asignacin de usuarios. Este valor debe coincidir
con el valor configurado en el agente de User-ID. De manera
predeterminada, el puerto se establece como 5007 en el
cortafuegos y en versiones ms recientes del agente de User-ID.
Sin embargo, algunas versiones anteriores del agente de User-ID
utilizan el puerto 2010 como valor predeterminado.

5.

Asegrese de que la configuracin est Habilitada y, a

continuacin, haga clic en ACEPTAR.

6.

Confirme los cambios.

7.

Verifique que el estado Conectado aparece como conectado

(una luz verde).

User-ID

User-ID

Asignacin de direcciones IP a usuarios

Asignacin de direcciones IP a usuarios mediante el agente de User-ID (Continuacin)

Paso 8

User-ID

Verifique que el agente de User-ID est 1.

asignando correctamente direcciones IP a
nombres de usuarios y que los
2.
cortafuegos pueden conectarse con el
agente.

Inicie el agente de User-ID y seleccione Identificacin de

usuarios.
Verifique que el estado del agente muestra El agente se est
ejecutando. Si el agente no se est ejecutando, haga clic en
Iniciar.

3.

Para verificar que el agente de User-ID se puede conectar con

servidores supervisados, asegrese de que el estado de cada
servidor sea Conectado.

4.

Para verificar que los cortafuegos se pueden conectar con el

agente de User-ID, asegrese de que el estado de cada
dispositivo conectado sea Conectado.

5.

Para verificar que el agente de User-ID est asignando

direcciones IP a nombres de usuarios, seleccione Supervisando
y asegrese de que la tabla de asignaciones se cumplimenta.
Tambin puede seleccionar Bsqueda para buscar usuarios
especficos o Eliminar para borrar asignaciones de usuarios de
la lista.

265

Asignacin de direcciones IP a usuarios

User-ID

Configuracin de la asignacin de usuarios mediante el agente de User-ID

integrado en PAN-OS
El siguiente procedimiento muestra cmo configurar el agente integrado en PAN-OS en el cortafuegos para la
asignacin de usuarios. El agente de User-ID integrado realiza las mismas tareas que el agente basado en
Windows a excepcin del sondeo de clientes de NetBIOS (se admite el sondeo de WMI).
Asignacin de direcciones IP a usuarios mediante el agente de User-ID integrado

Paso 1

Servidores de dominio Windows 2008 o posteriores: Aada la

Cree una cuenta de Active Directory
cuenta al grupo Lectores de log de evento. Si est utilizando el
(AD) para el agente del cortafuegos que
agente de User-ID incluido en el dispositivo, la cuenta tambin
tenga los niveles de privilegios necesarios
debe ser miembro del grupo Usuarios COM distribuidos.
para iniciar sesin en cada servicio o host
que tenga la intencin de supervisar para Servidores de dominio Windows 2003: Asigne permisos
recopilar datos de asignacin de usuarios.
Gestionar logs de seguridad y auditora a travs de polticas de
grupo.
Sondeo de WMI: Asegrese de que la cuenta tiene los derechos
necesarios para leer el espacio de nombres CIMV2; de manera
predeterminada, las cuentas de administrador de dominio y
operador de servidor tienen este permiso.
Autenticacin de NTLM: Como el cortafuegos debe unirse al
dominio si est utilizando la autenticacin de NTLM con un agente
de User-ID incluido en el dispositivo, la cuenta de Windows que
cree para el acceso a NTLM deber tener privilegios
administrativos. Tenga en cuenta que, debido a las restricciones de
AD sobre los sistemas virtuales que se ejecutan en el mismo host,
si ha configurado varios sistemas virtuales, nicamente vsys1 podr
unirse al dominio.

266

User-ID

User-ID

Asignacin de direcciones IP a usuarios

Asignacin de direcciones IP a usuarios mediante el agente de User-ID integrado (Continuacin)

Paso 2

1.
Defina los servidores que debera
supervisar el cortafuegos para recopilar
informacin de asignacin de direccin 2.
IP a usuario. Puede definir entradas para
hasta 100 servidores Microsoft Active
3.
Directory, Microsoft Exchange o Novell
eDirectory en su red.
4.
Recuerde que para recopilar todas las
5.
asignaciones necesarias, deber
conectarse a todos los servidores en los
que sus usuarios inician sesin para que el 6.
cortafuegos pueda supervisar los archivos
de log de seguridad en todos los
servidores que contengan eventos de
inicio de sesin.

Seleccione Dispositivo > Identificacin de usuarios >

Asignacin de usuario.
En la seccin Supervisor del servidor de la pantalla, haga clic en
Aadir.
Introduzca un Nombre y una Direccin de red para el servidor.
La direccin de red puede ser un FQDN o una direccin IP.
Seleccione el Tipo de servidor.
Asegrese de que la casilla de verificacin Habilitado est
seleccionada y, a continuacin, haga clic en ACEPTAR
(Opcional) Para permitir que el cortafuegos detecte
automticamente controladores de dominio en su red mediante
bsquedas de DNS, haga clic en Descubrir.

La funcin de deteccin automtica es nicamente para

controladores de dominio; deber aadir manualmente
los servidores Exchange o eDirectory que desee
supervisar.
7.

Paso 3

User-ID

Establezca las credenciales de dominio de 1.

la cuenta que utilizar el cortafuegos para
acceder a recursos de Windows. Esto es 2.
necesario para supervisar servidores
Exchange y controladores de dominio, as
como para el sondeo de WMI.

(Opcional) Para ajustar la frecuencia con la que el cortafuegos

sondea servidores configurados para obtener informacin de
asignacin, edite la seccin Configuracin del agente de
User-ID de Palo Alto Networks de la pantalla y, a continuacin,
seleccione la pestaa Supervisor del servidor. Modifique el
valor del campo Frecuencia del supervisor de log del servidor
(seg.). La prctica recomendada es que debera aumentar el
valor de este campo a 5 segundos en entornos con DC de mayor
antigedad o enlaces de alta latencia. Haga clic en ACEPTAR
para guardar los cambios.
Edite la seccin Configuracin del agente de User-ID de Palo
Alto Networks de la pantalla.
En la pestaa Autenticacin de WMI, introduzca el Nombre de
usuario y la Contrasea de la cuenta que se utilizar para
sondear los clientes y supervisar los servidores. Introduzca el
nombre de usuario mediante la sintaxis de dominio/nombre de
usuario.

267

Asignacin de direcciones IP a usuarios

User-ID

Asignacin de direcciones IP a usuarios mediante el agente de User-ID integrado (Continuacin)

Paso 4

(Opcional) Habilite el sondeo de WMI.

1.

El agente incluido en el dispositivo

no admite el sondeo de NetBIOS; 2.
nicamente se admite en el agente
de User-ID basado en Windows.
3.

Paso 5

Paso 6

Guarde la configuracin.

que se sondeen todas las direcciones IP obtenidas.

Asegrese de que el cortafuegos de Windows permitir el
sondeo de cliente aadiendo una excepcin de administracin
remota al cortafuegos de Windows para cada cliente sondeado.
Haga clic en Aceptar para guardar los ajustes de configuracin
de agente de User-ID.

2.

Haga clic en Confirmar para guardar la configuracin.

(Opcional) Defina el conjunto de usuarios 1.

para los que no necesite proporcionar
2.
asignaciones de direccin IP a nombre de
usuario, como cuentas de servicio o
cuentas de kiosco.

Abra una sesin de CLI al cortafuegos.

Para aadir la lista de cuentas de usuario para las que no desea
que el cortafuegos realice la asignacin, ejecute el comando
siguiente:
set user-id-collector ignore-user <value>
donde <value> es una lista de las cuentas de usuario que hay que
ignorar; no hay ningn lmite en el nmero de cuentas que puede
aadir a la lista. Separe las entradas con un espacio y no incluya
el nombre de dominio con el nombre de usuario. Por ejemplo:
set user-id-collector ignore-user SPAdmin SPInstall
TFSReport

3.
Verifique la configuracin.

(Opcional) Si es necesario, modifique el valor de Intervalo de

sondeo para garantizar que sea lo suficientemente largo para

1.

Tambin puede utilizar la lista

ignore-user para identificar a
usuarios que desee obligar a
autenticar mediante un portal
cautivo.

Paso 7

En la pestaa Sondeo de clientes, seleccione la casilla de

verificacin Habilitar pruebas.

1.

Compile sus cambios.

Desde la CLI, introduzca el siguiente comando:

show user server-monitor state all

2.

268

En la pestaa Dispositivo > Identificacin de usuarios >

Asignacin de usuario de la interfaz web, verifique que el
Estado de cada servidor que ha configurado para la supervisin
de servidor est Conectado.

User-ID

User-ID

Asignacin de direcciones IP a usuarios

Configuracin de User-ID para recibir asignaciones de usuarios desde un

emisor de Syslog
Los siguientes temas describen cmo configurar el agente de User-ID (ya sea el agente de Windows o el agente
integrado en el cortafuegos) como receptor de Syslog:

Configuracin del agente de User-ID integrado como receptor de Syslog

Configuracin del agente de User-ID de Windows como receptor de Syslog

Configuracin del agente de User-ID integrado como receptor de Syslog

El siguiente flujo de trabajo describe cmo configurar el agente de User-ID integrado en PAN-OS para recibir
mensajes de Syslog de servicios de autenticacin.
El agente de User-ID integrado en PAN-OS acepta Syslogs nicamente a travs de SSL y UDP.

Recopilacin de asignaciones de usuarios de emisores de Syslog

Paso 1

Determine si hay un filtro de Syslog

predefinido para sus emisores de Syslog
en concreto.

1.

Palo Alto Networks proporciona varios

filtros de Syslog predefinidos, que se
distribuyen como actualizaciones de
contenido de aplicacin y, por lo tanto, se
actualizan dinmicamente como filtros
nuevos. Los filtros predefinidos son
generales para el cortafuegos, mientras
2.
que los filtros manuales solamente se
aplican a un sistema virtual.
Los filtros de Syslog nuevos de
una versin de contenido en
particular se documentarn en la
nota de versin correspondiente
junto con la regex especfica
utilizada para definir el filtro.

User-ID

Verifique que su base de datos de aplicaciones o aplicaciones y

amenazas est actualizada:
a. Seleccione Dispositivo > Actualizaciones dinmicas.
b. Haga clic en Comprobar ahora (ubicado en la esquina
inferior izquierda de la ventana) para comprobar las
actualizaciones ms recientes.
c. Si hay una nueva actualizacin disponible, haga clic en
Descargar e Instalar para descargarla e instalarla.
Compruebe qu filtros predefinidos estn disponibles:
a. Seleccione Dispositivo > Identificacin de usuarios >
Asignacin de usuario.
b. En la seccin Supervisor del servidor de la pantalla, haga clic
en Aadir.
c. Seleccione Emisor de syslog como el Tipo de servidor.
d. Seleccione el men desplegable Filtro y compruebe si hay un
filtro para el fabricante y el producto desde los que tiene la
intencin de reenviar Syslogs. Si el filtro que necesita est
disponible, vaya al Paso 5 para obtener instrucciones sobre
cmo definir los servidores. Si el filtro que necesita no est
disponible, vaya al Paso 2.

269

Asignacin de direcciones IP a usuarios

User-ID

Recopilacin de asignaciones de usuarios de emisores de Syslog (Continuacin)

Paso 2

Defina manualmente los filtros de Syslog 1.

para extraer la informacin de asignacin
de direcciones IP a nombres de usuario de
User-ID desde mensajes de Syslog.
Para que el agente de User-ID los analice,
los mensajes de Syslog deben cumplir los
siguientes criterios:
Cada mensaje de Syslog debe ser una
cadena de texto de una sola lnea. Los
saltos de lnea estn delimitados por un
retorno de carro y una nueva lnea
(\r\n) o por una nueva lnea (\n).
El tamao mximo permitido de un
mensaje de Syslog individual es de
2.048 bytes.
Los mensajes de Syslog enviados a
travs de UDP deben estar incluidos en
un nico paquete; los mensajes
enviados a travs de SSL pueden
repartirse entre varios paquetes.
Un nico paquete puede contener
varios mensajes de Syslog.

Revise los Syslogs generados por el servicio de autenticacin

para identificar la sintaxis de los eventos de inicio de sesin.
Esto le permite crear los patrones de coincidencias que
permitirn que el cortafuegos identifique y extraiga los eventos
de autenticacin de los Syslogs.
Mientras revisa los Syslogs, determine tambin si el
nombre de dominio se incluye en las entradas de log.
Si los logs de autenticacin no contienen informacin
de dominio, considere la opcin de definir un nombre
de dominio personalizado cuando aada el emisor de
Syslog a la lista de servidores supervisados en el Paso 5.

2.

Seleccione Dispositivo > Identificacin de usuarios >

Asignacin de usuario y edite la seccin Configuracin del
agente de User-ID de Palo Alto Networks.

3.

En la pestaa Filtrados de Syslog, haga clic en Aadir para

aadir un nuevo perfil de anlisis de Syslog.

4.

Introduzca un nombre para el Perfil de anlisis de Syslog.

5.

Especifique el Tipo de anlisis que debe utilizarse para filtrar y

descartar la informacin de asignacin de usuarios
seleccionando una de las opciones siguientes:
Identificador Regex: Con este tipo de anlisis puede
especificar expresiones regulares para describir patrones de
bsqueda e identificar y extraer informacin de asignacin de
usuario de los mensajes de Syslog. Vaya al Paso 3 para
obtener instrucciones sobre cmo crear los identificadores
regex.
Identificador de campo: Con este tipo de anlisis, se
especifica una cadena para que coincida con el evento de
autenticacin y cadenas de prefijo y sufijo para identificar la
informacin de asignacin de usuarios en los Syslogs. Vaya al
Paso 4 para obtener instrucciones sobre cmo crear los
identificadores de campo.

270

User-ID

User-ID

Asignacin de direcciones IP a usuarios

Recopilacin de asignaciones de usuarios de emisores de Syslog (Continuacin)

Paso 3

Si seleccion Identificador Regex como 1.

el Tipo de anlisis, cree los patrones de
coincidencias de regex para identificar los
eventos de autenticacin y extraer la
informacin de asignacin de usuarios.
El ejemplo siguiente muestra una
configuracin de Regex para mensajes de
Syslog coincidentes con el siguiente
formato:

[Tue Jul 5 13:15:04 2005 CDT] Administrator

authentication success User:johndoe1
Source:192.168.3.212

2.

Si el Syslog contiene un espacio

y/o una tabulacin independiente 3.
como delimitador, debe utilizar \s
(para un espacio) y/o \t (para una
tabulacin) con el fin de que el
agente analice el Syslog.
4.

User-ID

Especifique cmo hacer coincidir eventos de autenticacin

correctos en los Syslogs introduciendo un patrn de
coincidencias en el campo Regex de eventos. Por ejemplo,
cuando se hacen coincidir con el mensaje de Syslog del ejemplo,
la siguiente regex pide al cortafuegos que extraiga la primera {1}
instancia de la cadena authentication success. La barra
invertida antes del espacio es un carcter regex de escape
estndar que indica al motor de regex que no trate el espacio
como carcter especial: (authentication\ success){1}.
Introduzca la regex para identificar el principio del nombre de
usuario en los mensajes de autenticaciones realizadas con xito
en el campo Regex de nombre de usuario. Por ejemplo, la
regex User:([a-zA-Z0-9\\\._]+) coincidira con la cadena
User:johndoe1 en el mensaje de ejemplo y extraera
acme\johndoe1 como User-ID.
Si los Syslogs no contienen informacin de dominio y
requiere nombres de dominio en sus asignaciones de
usuarios, asegrese de introducir el Nombre de dominio
predeterminado al definir la entrada del servidor
supervisado en el Paso 5.
Introduzca la regex para identificar la parte de la direccin IP de
los mensajes de autenticacin correcta en el campo Regex de
direccin. Por ejemplo, la expresin regular Source:([0-9]
{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) coincidira
con una direccin IPv4 (Source:192.168.0.212 en el Syslog
de ejemplo).
Haga clic en ACEPTAR.

271

Asignacin de direcciones IP a usuarios

User-ID

Recopilacin de asignaciones de usuarios de emisores de Syslog (Continuacin)

Paso 4

1.
Si seleccion Identificador de campo
como el Tipo de anlisis, defina los
patrones de coincidencias de cadenas para
identificar los eventos de autenticacin y
extraer la informacin de asignacin de
usuarios.

Especifique cmo hacer coincidir eventos de autenticacin

correctos en los Syslogs introduciendo un patrn de
coincidencias en el campo Cadena de eventos. Por ejemplo,
cuando coincidan con el mensaje de Syslog de muestra, debera
introducir la cadena authentication success para identificar
eventos de autenticacin en el Syslog.

2.
El ejemplo siguiente muestra una
configuracin de identificador de campo
para mensajes de Syslog coincidentes con
el siguiente formato:

Introduzca la cadena de coincidencia para identificar el principio

del campo del nombre de usuario en el mensaje de Syslog de
autenticacin en el campo Prefijo de nombre de usuario.
Por ejemplo, la cadena User: identifica el principio del
campo del nombre de usuario en el Syslog de muestra.

[Tue Jul 5 13:15:04 2005 CDT] Administrator

authentication success User:johndoe1
Source:192.168.3.212

3.

Introduzca el Delimitador de nombre de usuario para marcar

el final del campo del nombre de usuario en un mensaje de
Syslog de autenticacin. Por ejemplo, si el nombre de usuario
est seguido de un espacio, debera introducir \s para indicar
que el campo del nombre de usuario est delimitado por un
espacio independiente en el log de muestra.

4.

Introduzca la cadena de coincidencia para identificar el principio

del campo de la direccin IP en el log de eventos de
autenticacin en el campo Prefijo de direccin. Por ejemplo, la
cadena Source: identifica el principio del campo de la direccin
en el log de ejemplo.

Si el Syslog contiene un espacio

y/o una tabulacin independiente 5.
como delimitador, debe utilizar \s
(para un espacio) y/o \t (para una
tabulacin) con el fin de que el
agente analice el Syslog.
6.
Paso 5

Haga clic en ACEPTAR.

Defina los servidores que enviarn

1.
mensajes de Syslog al cortafuegos para la
asignacin de usuarios.
2.

Seleccione Dispositivo > Identificacin de usuarios >

Asignacin de usuario.

Puede definir hasta 50 emisores de Syslog

por sistema virtual y hasta un total de 100
servidores supervisados, incluidos
emisores de Syslog o servidores Microsoft
Active Directory, Microsoft Exchange o
Novell eDirectory. El cortafuegos
descartar los mensajes de Syslog
recibidos de servidores que no estn en
esta lista.

Aadir.

En la seccin Supervisor del servidor de la pantalla, haga clic en

3.

Introduzca un Nombre y una Direccin de red para el servidor.

4.

Seleccione Emisor de syslog como el Tipo de servidor.

5.

Asegrese de que la casilla de verificacin Habilitado est

seleccionada.

6.

(Opcional) Si los Syslogs que enva el dispositivo de

autenticacin no incluyen informacin de dominio en los logs
de eventos de inicio de sesin, introduzca el Nombre de
dominio predeterminado que deber adjuntarse a las
asignaciones de usuarios.

Un emisor de Syslog que utilice

SSL para conectarse solamente
7.
mostrar el Estado Conectado
cuando haya una conexin SSL
activa. Los emisores de Syslog que
utilicen UDP no mostrarn
ningn valor para Estado.

272

Introduzca el Delimitador de direccin para marcar el final del

campo de la direccin IP en el mensaje de autenticacin correcta
en el campo. Por ejemplo, si la direccin est seguida de un salto
de lnea, debera introducir \n para indicar que el campo de la
direccin est delimitado por una nueva lnea.

Haga clic en ACEPTAR para guardar la configuracin.

User-ID

User-ID

Asignacin de direcciones IP a usuarios

Recopilacin de asignaciones de usuarios de emisores de Syslog (Continuacin)

Paso 6

Habilite servicios de receptor de Syslog

en el perfil de gestin asociado a la
interfaz utilizada para la asignacin de
usuarios.

1.

Seleccione Red > Perfiles de red > Gestin de interfaz y, a

continuacin, seleccione un perfil de interfaz para editarlo o
haga clic en Aadir para crear un nuevo perfil.

2.

Seleccione SSL de escucha de Syslog de User-ID y/o UDP de

escucha de Syslog de User-ID, dependiendo de los protocolos
que defini cuando configur sus emisores de Syslog en la lista
Supervisin de servidor.
En el agente de User-ID de Windows, el puerto de
escucha predeterminado para Syslog a travs de UDP o
TCP es 514, pero el valor del puerto puede configurarse.
Para la funcin Asignacin de usuario sin agente en el
cortafuegos, solamente se admiten Syslogs a travs de
UDP y SSL, y los puertos de escucha (514 para UDP y
6514 para SSL) no pueden configurarse; se habilitan
nicamente a travs del servicio de gestin.

3.

Haga clic en Aceptar para guardar el perfil de gestin de

interfaz.
Incluso despus de habilitar el servicio de receptor de
Syslog de User-ID en la interfaz, esta solamente aceptar
conexiones con Syslog desde servidores que tengan una
entrada correspondiente en la configuracin de los
servidores supervisados de User-ID. Las conexiones o
los mensajes de servidores que no estn en la lista se
descartarn.

Paso 7

User-ID

Guarde la configuracin.

Haga clic en Confirmar para guardar la configuracin.

273

Asignacin de direcciones IP a usuarios

User-ID

Recopilacin de asignaciones de usuarios de emisores de Syslog (Continuacin)

Paso 8

Verifique la configuracin abriendo una conexin de SSH con el cortafuegos y, a continuacin, ejecutando los
siguientes comandos de la CLI:

Para ver el estado de un emisor de Syslog en concreto:

admin@PA-5050> show user server-monitor state Syslog2
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Syslog2(vsys: vsys1)
Host: Syslog2(10.5.204.41)
number of log messages
:
number of auth. success messages
:
number of active connections
:
total connections made
:

1000
1000
0
4

Para ver cuntos mensajes de log entraron a travs de emisores de Syslog y cuntas entradas se asignaron correctamente:
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name

TYPE

Host

Vsys

Status

----------------------------------------------------------------------------AD
AD
10.2.204.43
vsys1
Connected
Syslog Servers:
Name
Connection Host
Vsys
Status
----------------------------------------------------------------------------Syslog1
UDP
10.5.204.40
vsys1
N/A
Syslog2
SSL
10.5.204.41
vsys1
Not connected

Para ver cuntas asignaciones de usuarios se detectaron a travs de emisores de Syslog:

admin@PA-5050> show user ip-user-mapping all type SYSLOG
IP
axTimeout(s)
--------------192.168.3.8
476
192.168.5.39
480
192.168.2.147
476
192.168.2.175
476
192.168.4.196
480
192.168.4.103
480
192.168.2.193
476
192.168.2.119
476
192.168.3.176
478

Vsys

From

User

IdleTimeout(s) M

------ ------- -------------------------------- -------------- vsys1 SYSLOG acme\jreddick

2476
2
vsys1

SYSLOG

acme\jdonaldson

2480

vsys1

SYSLOG

acme\ccrisp

2476

vsys1

SYSLOG

acme\jjaso

2476

vsys1

SYSLOG

acme\jblevins

2480

vsys1

SYSLOG

acme\bmoss

2480

vsys1

SYSLOG

acme\esogard

2476

vsys1

SYSLOG

acme\acallaspo

2476

vsys1

SYSLOG

acme\jlowrie

2478

Total: 9 users

Configuracin del agente de User-ID de Windows como receptor de Syslog

El siguiente flujo de trabajo describe cmo configurar un agente de User-ID basado en Windows para escuchar
Syslogs de servicios de autenticacin.
El agente de User-ID de Windows acepta Syslogs nicamente a travs de TCP y UDP.

274

User-ID

User-ID

Asignacin de direcciones IP a usuarios

Configuracin del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de
Syslog

Paso 1

Inicie la aplicacin del agente de User-ID. 1.

Haga clic en Iniciar y seleccione Agente de User-ID.

Paso 2

Defina manualmente los filtros de Syslog 1.

para extraer la informacin de asignacin
de direcciones IP a nombres de usuario de
User-ID desde mensajes de Syslog.

Revise los Syslogs generados por el servicio de autenticacin

para identificar la sintaxis de los eventos de inicio de sesin.
Esto le permite crear los patrones de coincidencias que
permitirn que el cortafuegos identifique y extraiga los eventos
de autenticacin de los Syslogs.

Para que el agente de User-ID los analice,

los mensajes de Syslog deben cumplir los
siguientes criterios:
Cada mensaje de Syslog debe ser una
cadena de texto de una sola lnea. Los
saltos de lnea estn delimitados por un
retorno de carro y una nueva lnea
(\r\n) o por una nueva lnea (\n).
El tamao mximo permitido de un
mensaje de Syslog individual es de
2.048 bytes.
Los mensajes de Syslog enviados a
travs de UDP deben estar incluidos en
un nico paquete; los mensajes
enviados a travs de SSL pueden
repartirse entre varios paquetes.
Un nico paquete puede contener
varios mensajes de Syslog.

Mientras revisa los Syslogs, determine tambin si el

nombre de dominio se incluye en las entradas de log. Si
los logs de autenticacin no contienen informacin de
dominio, considere la opcin de definir un nombre de
dominio personalizado cuando aada el emisor de Syslog
a la lista de servidores supervisados en el Paso 5.
2.

Seleccione Identificacin de usuarios > Configuracin y haga

clic en Editar en la seccin Configuracin del cuadro de dilogo.

3.

En la pestaa Syslog, haga clic en Aadir para aadir un nuevo

perfil de anlisis de Syslog.

4.

Introduzca un Nombre de perfil y una Descripcin.

5.

Especifique el Tipo de anlisis que debe utilizarse para filtrar y

descartar la informacin de asignacin de usuarios
seleccionando una de las opciones siguientes:
Regex: Con este tipo de anlisis puede especificar
expresiones regulares para describir patrones de bsqueda e
identificar y extraer informacin de asignacin de usuarios de
los mensajes de Syslog. Vaya al Paso 3 para obtener
instrucciones sobre cmo crear los identificadores regex.
Campo: Con este tipo de anlisis, se especifica una cadena
para que coincida con el evento de autenticacin y cadenas de
prefijo y sufijo para identificar la informacin de asignacin
de usuarios en los Syslogs. Vaya al Paso 4 para obtener
instrucciones sobre cmo crear los identificadores de campo.

User-ID

275

Asignacin de direcciones IP a usuarios

User-ID

Configuracin del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de
Syslog (Continuacin)

Paso 3

1.
Si seleccion Regex como el Tipo de
anlisis, cree los patrones de coincidencias
de regex para identificar los eventos de
autenticacin y extraer la informacin de
asignacin de usuarios.
El ejemplo siguiente muestra una
configuracin de Regex para mensajes de
Syslog coincidentes con el siguiente
formato:

[Tue Jul 5 13:15:04 2005 CDT] Administrator

authentication success User:johndoe1
Source:192.168.3.212

2.

Especifique cmo hacer coincidir eventos de autenticacin

correctos en los Syslogs introduciendo un patrn de
coincidencias en el campo Regex de eventos. Por ejemplo,
cuando se hacen coincidir con el mensaje de Syslog del ejemplo,
la siguiente regex pide al cortafuegos que extraiga la primera {1}
instancia de la cadena authentication success. La barra
invertida antes del espacio es un carcter regex de escape
estndar que indica al motor de regex que no trate el espacio
como carcter especial: (authentication\ success){1}.
Introduzca la regex para identificar el principio del nombre de
usuario en los mensajes de autenticaciones realizadas con xito
en el campo Regex de nombre de usuario. Por ejemplo, la
regex User:([a-zA-Z0-9\\\._]+) coincidira con la cadena
User:johndoe1 en el mensaje de ejemplo y extraera
acme\johndoe1 como User-ID.
Si los Syslogs no contienen informacin de dominio y
requiere nombres de dominio en sus asignaciones de
usuarios, asegrese de introducir el Nombre de dominio
predeterminado al definir la entrada del servidor
supervisado en el Paso 5.

3.
Si el Syslog contiene un espacio
y/o una tabulacin independiente
como delimitador, debe utilizar \s
(para un espacio) y/o \t (para una
tabulacin) con el fin de que el
agente analice el Syslog.
4.

276

Introduzca la regex para identificar la parte de la direccin IP de

los mensajes de autenticacin correcta en el campo Regex de
direccin. Por ejemplo, la expresin regular Source:([0-9]
{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) coincidira
con una direccin IPv4 (Source:192.168.0.212 en el Syslog
de ejemplo).
Haga clic en Aceptar para guardar el perfil.

User-ID

User-ID

Asignacin de direcciones IP a usuarios

Configuracin del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de
Syslog (Continuacin)

Paso 4

1.
Si seleccion Identificador de campo
como el Tipo de anlisis, defina los
patrones de coincidencias de cadenas para
identificar los eventos de autenticacin y
extraer la informacin de asignacin de
usuarios.

Especifique cmo hacer coincidir eventos de autenticacin

correctos en los Syslogs introduciendo un patrn de
coincidencias en el campo Cadena de eventos. Por ejemplo,
cuando coincidan con el mensaje de Syslog de muestra, debera
introducir la cadena authentication success para identificar
eventos de autenticacin en el Syslog.

2.
El ejemplo siguiente muestra una
configuracin de identificador de campo
para mensajes de Syslog coincidentes con
el siguiente formato:

Introduzca la cadena de coincidencia para identificar el principio

del campo del nombre de usuario en el mensaje de Syslog de
autenticacin en el campo Prefijo de nombre de usuario. Por
ejemplo, la cadena User: identifica el principio del campo del
nombre de usuario en el Syslog de muestra.

[Tue Jul 5 13:15:04 2005 CDT] Administrator

authentication success User:johndoe1
Source:192.168.3.212

Paso 5

3.

Introduzca el Delimitador de nombre de usuario para marcar

el final del campo del nombre de usuario en un mensaje de
Syslog de autenticacin. Por ejemplo, si el nombre de usuario
est seguido de un espacio, debera introducir \s para indicar
que el campo del nombre de usuario est delimitado por un
espacio independiente en el log de muestra.

4.

Introduzca la cadena de coincidencia para identificar el principio

del campo de la direccin IP en el log de eventos de
autenticacin en el campo Prefijo de direccin. Por ejemplo, la
cadena Source: identifica el principio del campo de la direccin
en el log de ejemplo.

Si el Syslog contiene un espacio

5.
y/o una tabulacin independiente
como delimitador, debe utilizar \s
(para un espacio) y/o \t (para una
tabulacin) con el fin de que el
agente analice el Syslog.
6.

Introduzca el Delimitador de direccin para marcar el final del

campo de la direccin IP en el mensaje de autenticacin correcta
en el campo. Por ejemplo, si la direccin est seguida de un salto
de lnea, debera introducir \n para indicar que el campo de la
direccin est delimitado por una nueva lnea.

Habilite el servicio de escucha de Syslog

en el agente.

Haga clic en Aceptar para guardar el perfil.

1.

Seleccione la casilla de verificacin Habilitar servicio de Syslog.

2.

(Opcional) Modifique el nmero del Puerto del servicio de

Syslog para que coincida con el nmero del puerto utilizado por

3.

Para guardar la configuracin de Syslog de agente, haga clic en

ACEPTAR.

1.
Defina los servidores que enviarn
mensajes de Syslog al agente de User-ID. 2.
Puede definir hasta 100 emisores de
3.
Syslog. El agente de User-ID descartar
los mensajes de Syslog recibidos de
4.
servidores que no estn en esta lista.
5.
6.

Seleccione Identificacin de usuarios > Descubrimiento.

En la seccin Servidores de la pantalla, haga clic en Aadir.
Introduzca un Nombre y una Direccin de servidor para el
servidor que vaya a enviar Syslogs al agente.
Seleccione Emisor de syslog como el Tipo de servidor.
Seleccione un Filtro que defini en el Paso 2.
(Opcional) Si los Syslogs que enva el dispositivo de
autenticacin no incluyen informacin de dominio en los logs
de eventos de inicio de sesin, introduzca el Nombre de
dominio predeterminado que deber adjuntarse a las
asignaciones de usuarios.
Haga clic en ACEPTAR para guardar la configuracin.

el emisor de Syslog (valor predeterminado = 514).

Paso 6

7.

User-ID

277

Asignacin de direcciones IP a usuarios

User-ID

Configuracin del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de
Syslog (Continuacin)

Paso 7

Guarde la configuracin.

Haga clic en Confirmar para guardar la configuracin.

Paso 8

Verifique la configuracin abriendo una conexin de SSH con el cortafuegos y, a continuacin, ejecutando los
siguientes comandos de la CLI:

Para ver el estado de un emisor de Syslog en concreto:

admin@PA-5050> show user server-monitor state Syslog2
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Syslog2(vsys: vsys1)
Host: Syslog2(10.5.204.41)
number of log messages
:
number of auth. success messages
:
number of active connections
:
total connections made
:

1000
1000
0
4

Para ver cuntos mensajes de log entraron a travs de emisores de Syslog y cuntas entradas se asignaron correctamente:
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name

TYPE

Host

Vsys

Status

----------------------------------------------------------------------------AD
AD
10.2.204.43
vsys1
Connected
Syslog Servers:
Name
Connection Host
Vsys
Status
----------------------------------------------------------------------------Syslog1
UDP
10.5.204.40
vsys1
N/A
Syslog2
SSL
10.5.204.41
vsys1
Not connected

Para ver cuntas asignaciones de usuarios se detectaron a travs de emisores de Syslog:

admin@PA-5050> show user ip-user-mapping all type SYSLOG
IP
axTimeout(s)
--------------192.168.3.8
476
192.168.5.39
480
192.168.2.147
476
192.168.2.175
476
192.168.4.196
480
192.168.4.103
480
192.168.2.193
476
192.168.2.119
476
192.168.3.176
478

Vsys

From

User

IdleTimeout(s) M

------ ------- -------------------------------- -------------- vsys1 SYSLOG acme\jreddick

2476
2
vsys1

SYSLOG

acme\jdonaldson

2480

vsys1

SYSLOG

acme\ccrisp

2476

vsys1

SYSLOG

acme\jjaso

2476

vsys1

SYSLOG

acme\jblevins

2480

vsys1

SYSLOG

acme\bmoss

2480

vsys1

SYSLOG

acme\esogard

2476

vsys1

SYSLOG

acme\acallaspo

2476

vsys1

SYSLOG

acme\jlowrie

2478

Total: 9 users

278

User-ID

User-ID

Asignacin de direcciones IP a usuarios

Asignacin de direcciones IP a nombres de usuario mediante un portal

cautivo
Si el cortafuegos recibe una solicitud de una zona que tiene habilitado identificacin de usuarios (User-ID) y la
direccin IP de origen no tiene datos de usuario asociados con la misma todava, comprobar su poltica de
portal cautivo en busca de una coincidencia para determinar si se realizar la autenticacin. Esto es de utilidad
en entornos donde tenga clientes que no hayan iniciado sesin en sus servidores de dominio, como clientes
Linux. Este mtodo de asignacin de usuarios nicamente se activa para el trfico web (HTTP o HTTPS) que
coincida con una poltica/regla de seguridad, pero que no se haya asignado utilizando un mtodo diferente.

Mtodos de autenticacin de portal cautivo

Modos de portal cautivo

Configuracin de portal cautivo

Mtodos de autenticacin de portal cautivo

El portal cautivo utiliza los siguientes mtodos para obtener datos de usuario del cliente cuando una solicitud
coincide con una poltica de portal cautivo:
Mtodo de autenticacin

Descripcin

Autenticacin de NTLM

El cortafuegos utiliza un mecanismo de respuesta por desafo cifrado para obtener

las credenciales del usuario desde el explorador. Si se configura correctamente, el
explorador proporcionar las credenciales al cortafuegos de manera transparente
sin preguntar al usuario, pero mostrar un mensaje de solicitud de credenciales si es
necesario. Si el explorador no puede realizar la autenticacin NTLM o esta falla, el
cortafuegos retroceder a una autenticacin con formato web o certificado de
cliente, dependiendo de su configuracin de portal cautivo.
De manera predeterminada, IE admite NTLM. Firefox y Chrome pueden
configurarse para utilizarlo. No puede utilizar NTLM para autenticar clientes que
no sean de Windows.

Formato web

Las solicitudes se redirigen a un formato web para su autenticacin. Puede

configurar un portal cautivo para que utilice una base de datos de usuario local,
RADIUS, LDAP o Kerberos para autenticar usuarios. Aunque siempre se
solicitarn las credenciales a los usuarios, este mtodo de autenticacin funciona
con todos los exploradores y sistemas operativos.

Certificado de autenticacin de cliente Solicita al explorador que presente un certificado de cliente vlido para autenticar al

usuario. Para utilizar este mtodo debe proporcionar certificados de cliente en cada
sistema de usuario e instalar el certificado de CA de confianza utilizado para emitir
esos certificados en el cortafuegos. Este es el nico mtodo de autenticacin que
habilita una autenticacin transparente para clientes de Mac OS y Linux.

User-ID

279

Asignacin de direcciones IP a usuarios

User-ID

Modos de portal cautivo

El modo de portal cautivo define cmo se capturan las solicitudes para su autenticacin:
Modo

Descripcin

Transparente

El cortafuegos intercepta el trfico del explorador mediante la regla de portal

cautivo y representa la URL de destino original, emitiendo un HTTP 401 para
invocar la autenticacin. Sin embargo, como el cortafuegos no tiene el certificado
real para la URL de destino, el explorador mostrar un error de certificado a los
usuarios que intenten acceder a un sitio seguro. Por lo tanto, nicamente debera
utilizar este modo cuando sea absolutamente necesario, como en implementaciones
de capa 2 o cable virtual (Virtual Wire).

Redirigir

El cortafuegos intercepta sesiones de HTTP o HTTPS desconocidas y las redirige

a una interfaz de capa 3 en el cortafuegos utilizando una redireccin HTTP 302
para realizar la autenticacin. Este es el modo preferido porque proporciona una
mejor experiencia de usuario final (sin errores de certificado). Sin embargo, requiere
una configuracin de capa 3 adicional. Otra ventaja del modo Redirigir es que
permite el uso de cookies de sesin, que permiten que el usuario siga explorando
sitios autenticados sin tener que volver a asignar cada vez que venza el tiempo. Esto
es de especial utilidad para los usuarios que se desplazan de una direccin IP a otra
(por ejemplo, de la LAN corporativa a la red inalmbrica) porque no tendrn que
volver a autenticar al cambiar de direccin IP siempre que la sesin permanezca
abierta. Adems, si tiene la intencin de utilizar la autenticacin de NTLM, deber
utilizar el modo Redirigir porque el explorador nicamente proporcionar
credenciales a sitios fiables.

Configuracin de portal cautivo

El siguiente procedimiento muestra cmo configurar un portal cautivo utilizando el agente de User-ID
integrado en PAN-OS para redirigir solicitudes que coincidan con una poltica de portal cautivo a una interfaz
de capa 3 en el cortafuegos.
Si tiene la intencin de utilizar un portal cautivo sin utilizar las otras funciones de User-ID
(asignacin de usuarios y grupos), no necesita configurar un agente.

Configuracin de portal cautivo mediante el agente de User-ID integrado en PAN-OS

En esta versin del producto, el cortafuegos debe ser capaz de

comunicarse con los servidores a travs de la interfaz de gestin, as
que debe asegurarse de que la red en la que se encuentran sus
servidores de directorio es accesible desde esta interfaz. Si esta
configuracin no funciona en su entorno, deber configurar el portal
cautivo utilizando el agente de User-ID basado en Windows.

Paso 1

Asegrese de que el cortafuegos tiene

una ruta hacia los servidores que
supervisar para recopilar datos de
usuario (por ejemplo, sus controladores
de dominio y sus servidores Exchange).

Paso 2

Asegrese de que DNS est configurado Para verificar que la resolucin es correcta, haga ping en el FQDN
para resolver sus direcciones de
del servidor. Por ejemplo:
controlador de dominio.
admin@PA-200> ping host dc1.acme.com

280

User-ID

User-ID

Asignacin de direcciones IP a usuarios

Configuracin de portal cautivo mediante el agente de User-ID integrado en PAN-OS (Continuacin)

Paso 3

(nicamente en el modo Redirigir) Cree

una interfaz de capa 3 a la que redirigir
solicitudes de portal cautivo.

1.

Cree un perfil de gestin para habilitar la interfaz para que

muestre pginas de respuesta de portal cautivo:
a. Seleccione Red > Gestin de interfaz y haga clic en Aadir.
b. Introduzca un Nombre para el perfil, seleccione Pginas de
respuesta y, a continuacin, haga clic en Aceptar.

Paso 4

(nicamente en el modo Redirigir) Para

redirigir usuarios de forma transparente
sin mostrar errores de certificado, instale
un certificado que coincida con la
direccin IP de la interfaz a la que est
redirigiendo solicitudes. Puede generar un
certificado autofirmado o importar un
certificado firmado por una CA externa.

2.

Cree la interfaz de capa 3. Asegrese de adjuntar el perfil de

gestin que acaba de crear (en la pestaa Avanzado > Otra
informacin del cuadro de dilogo Interfaz Ethernet).

3.

Cree un registro DNS A que asigne la direccin IP que

configur en la interfaz de capa 3 a un nombre de host de
intranet (es decir, un nombre de host que no tiene ningn punto
en el nombre, como ntlmhost).

Para utilizar un certificado autofirmado, primero deber crear un

certificado de CA raz y, a continuacin, utilizar esa CA para firmar
el certificado que utilizar para el portal cautivo de la manera
siguiente:
1. Para crear un certificado de CA raz, seleccione Dispositivo >

Al configurar un portal cautivo

por primera vez, puede que los
certificados importados no
funcionen. Si tiene la intencin de
utilizar un certificado importado, 2.
complete la configuracin inicial
sin especificar un Certificado de
servidor. Despus de poner en
funcionamiento el portal cautivo,
podr volver y cambiar al
certificado importado.

3.

User-ID

Gestin de certificados > Certificados > Certificados de

dispositivos y, a continuacin, haga clic en Generar. Introduzca
un Nombre de certificado, como RootCA. No seleccione
ningn valor en el campo Firmado por (esto es lo que indica que

est autofirmado). Asegrese de seleccionar la casilla de

verificacin Autoridad del certificado y, a continuacin, haga
clic en Generar para generar el certificado.
Para crear el certificado que se utilizar para el portal cautivo,
haga clic en Generar. Introduzca un Nombre de certificado e
introduzca el nombre de DNS del host de intranet para la
interfaz como el Nombre comn. En el campo Firmado por,
seleccione la CA que cre en el paso anterior. Aada un atributo
de direccin IP y especifique la direccin IP de la interfaz de
capa 3 a la que redirigir las solicitudes. Seleccione Generar el
certificado.

Para configurar clientes para que confen en el certificado,

seleccione el certificado de CA en la pestaa Certificados de
dispositivos y haga clic en Exportar. A continuacin deber
importar el certificado como una CA raz de confianza en todos
los exploradores de cliente, ya sea configurando manualmente el
explorador o aadiendo el certificado a las races de confianza
en un objeto de directiva de grupo (GPO) de Active Directory.

281

Asignacin de direcciones IP a usuarios

User-ID

Configuracin de portal cautivo mediante el agente de User-ID integrado en PAN-OS (Continuacin)

Paso 5

Configure un mecanismo de
1.
autenticacin para utilizarlo cuando se
invoque el formato web. Tenga en cuenta
que aunque tenga la intencin de utilizar
NTLM, tambin deber configurar un
mecanismo de autenticacin secundario
que pueda utilizarse si falla la
autenticacin de NTLM o si el agente de
usuario no la admite.
Prcticas recomendadas:
Si utiliza RADIUS para autenticar
a usuarios desde el formato web,
asegrese de introducir un
dominio de RADIUS. Esto se
2.
utilizar como el dominio
predeterminado si los usuarios no
proporcionan uno al iniciar sesin.
Si utiliza AD para autenticar a
usuarios desde el formato web,
asegrese de introducir
sAMAccountName como
LogonAttribute.

282

Configure el cortafuegos para conectarse al servicio de

autenticacin que tiene intencin de utilizar para que pueda
acceder a las credenciales de autenticacin.
Si tiene la intencin de autenticar mediante LDAP, Kerberos
o RADIUS, deber crear un perfil de servidor que indique al
cortafuegos cmo conectarse al servicio y acceder a las
credenciales de autenticacin de sus usuarios. Seleccione
Dispositivo > Perfiles de servidor y aada un nuevo perfil
para el servicio especfico al que acceder.
Si tiene la intencin de utilizar una autenticacin de base de
datos local, primero deber crear la base de datos local.
Seleccione Dispositivo > Base de datos de usuario local y
aada los usuarios y grupos que se autenticarn.
Cree un perfil de autenticacin que haga referencia al perfil de
servidor o base de datos de usuario local que acaba de crear.
Seleccione Dispositivo > Perfil de autenticacin y aada un
nuevo perfil para utilizarlo con el portal cautivo. Para obtener
informacin detallada sobre cmo crear un tipo especfico de
perfil de autenticacin, consulte la ayuda en lnea.

User-ID

User-ID

Asignacin de direcciones IP a usuarios

Configuracin de portal cautivo mediante el agente de User-ID integrado en PAN-OS (Continuacin)

Paso 6

(Opcional) Configure la autenticacin de 1.

certificado de cliente. Tenga en cuenta
que no necesita configurar tanto un perfil 2.
de autenticacin como un perfil de
3.
certificado de cliente para habilitar el
portal cautivo. Si configura los dos, el
usuario deber autenticar utilizando los
dos mtodos.
Consulte la ayuda en lnea para
obtener detalles de otros campos
de perfil de certificado, como si
debe usar CRL u OCSP.

Genere certificados para cada usuario que vaya a autenticar

mediante el portal cautivo.
Descargue el certificado de CA en el formato Base64.
Importe el certificado de CA raz desde la CA que gener los
certificados de cliente al cortafuegos:
a. Seleccione Dispositivo > Gestin de certificados >
Certificados > Certificados de dispositivos y haga clic en
Importar.
b. Introduzca un Nombre de certificado que identifique al
certificado como su certificado de CA de cliente.
c. Seleccione Examinar para desplazarse al Archivo del
certificado que descarg de la CA.
d. Seleccione Certificado codificado en Base64 (PEM) como
Formato de archivo y, a continuacin, haga clic en Aceptar.
e. Seleccione el certificado que acaba de importar en la pestaa
Certificados de dispositivos para abrirlo.
f. Seleccione CA raz de confianza y, a continuacin, haga clic
en Aceptar.

4.

Cree el perfil de certificado de cliente que utilizar cuando

configure el portal cautivo.
a. Seleccione Dispositivo > Certificados > Gestin de
certificados > Perfil del certificado, haga clic en Aadir e
introduzca un Nombre de perfil.
b. En el men desplegable Campo de nombre de usuario,
seleccione el campo de certificado que contenga la
informacin de la identidad del usuario.
c. En el campo Certificados de CA, haga clic en Aadir,
seleccione el certificado de CA raz de confianza que acaba de
importar y, a continuacin, haga clic en ACEPTAR.

Paso 7

Habilite la autenticacin de NTLM.

1.

Al utilizar el agente de
identificacin de usuarios incluido
2.
en el dispositivo, el cortafuegos
debe poder resolver
correctamente el nombre de DNS 3.
de su controlador de dominio para
que el cortafuegos se una al
dominio. Las credenciales que
4.
proporcione aqu se utilizarn para
unir el cortafuegos al dominio tras
la correcta resolucin de DNS.

User-ID

Seleccione Dispositivo > Identificacin de usuarios >

Asignacin de usuario y edite la seccin Configuracin del
agente de User-ID de Palo Alto Networks de la pantalla.
En la pestaa NTLM, seleccione la casilla de verificacin
Habilitar procesamiento de autenticacin de NTLM.
Introduzca el dominio de NTLM con el que el agente de
User-ID del cortafuegos debera comprobar las credenciales de
NTLM.
Introduzca el nombre de usuario y la contrasea de la cuenta de
Active Directory que cre en el Paso 1 de Asignacin de
direcciones IP a usuarios mediante el agente de User-ID
integrado para la autenticacin de NTLM.

283

Asignacin de direcciones IP a usuarios

User-ID

Configuracin de portal cautivo mediante el agente de User-ID integrado en PAN-OS (Continuacin)

Paso 8

Configure los ajustes del portal cautivo.

1.

Seleccione Dispositivo > Identificacin de usuarios >

Configuracin de portal cautivo y edite la seccin Portal
cautivo de la pantalla.

2.

Asegrese de que la casilla de verificacin