Escolar Documentos
Profissional Documentos
Cultura Documentos
Informacin de contacto
Sede de la empresa:
Para obtener informacin sobre funciones adicionales e instrucciones sobre cmo configurar las funciones en el
cortafuegos, consulte https://www.paloaltonetworks.com/documentation.
Para acceder a la base de conocimientos, documentacin al completo, foros de debate y vdeos, consulte
https://live.paloaltonetworks.com.
Para ponerse en contacto con el equipo de asistencia tcnica, obtener informacin sobre los programas de asistencia
tcnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.
Para leer las notas sobre la ltima versin, vaya la pgina de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
ii
Contenido
Descripcin general de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Acerca de los componentes de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Portal GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Gestor de seguridad mvil de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Qu versiones de sistema operativo del cliente admite GlobalProtect? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Acerca de las licencias de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
iii
87
87
88
89
106
106
109
112
114
118
136
158
158
159
160
iv
166
166
167
168
169
169
172
172
vi
Portal GlobalProtect
Cliente de GlobalProtect
Portal GlobalProtect
El portal de GlobalProtect proporciona las funciones de gestin para su infraestructura de GlobalProtect.
Todos los sistemas clientes que participan en la red de GlobalProtect reciben informacin de configuracin
desde el portal, incluida informacin sobre las puertas de enlace disponibles, as como certificados cliente que
pueden ser necesarios para conectarse a las puertas de enlace de GlobalProtect o a su gestor de seguridad mvil.
Adems, el portal controla el comportamiento y la distribucin del software del agente de GlobalProtect para
los porttiles con Mac y Windows. (En dispositivos mviles, la aplicacin GlobalProtect se distribuye a travs
de la Apple App Store para los dispositivos iOS o mediante Google Play para dispositivos Android.) Si est
usando la funcin Perfil de informacin del host (HIP), el portal tambin define qu informacin se recopila
desde el host, incluyendo cualquier informacin personalizada que necesite. La Configuracin del portal de
GlobalProtect se realiza en una interfaz de cualquier cortafuegos de ltima generacin de Palo Alto Networks.
Puertas de enlace externas: Permiten a los usuarios remotos acceder a la red privada virtual (VPN) o
aplicar la seguridad.
Puertas de enlace internas: Una interfaz en la red interna configurada como una puerta de enlace de
GlobalProtect que permite aplicar la poltica de seguridad para el acceso a recursos internos. Al usarla junto
con el ID de usuario o las comprobaciones HIP, una puerta de enlace interna permite ofrecer un mtodo
preciso y seguro para identificar y controlar el trfico por usuario o estado del dispositivo. Las puertas de
enlace internas son tiles en entornos confidenciales que requieren acceso autenticado a los recursos crticos.
Puede configurar una puerta de enlace interna tanto en el modo de tnel como de no tnel.
La Configuracin de las puertas de enlace de GlobalProtect se realiza en una interfaz de cualquier
cortafuegos de ltima generacin de Palo Alto Networks. Puede ejecutar tanto una puerta de enlace y un
portal en el mismo cortafuegos como mltiples puertas de enlace distribuidas por toda su empresa.
Cliente de GlobalProtect
El software del cliente de GlobalProtect se ejecuta en sistemas de usuarios finales y habilita el acceso a los
recursos de su red a travs de los portales y las puertas de enlace de GlobalProtect que ha implementado. Hay
dos tipos de clientes de GlobalProtect:
La aplicacin de GlobalProtect: Se ejecuta en dispositivos iOS y Android. Los usuarios deben obtener la
aplicacin GlobalProtect de la tienda App Store de Apple (para iOS) o de Google Play (para Android).
Consulte Qu versiones de sistema operativo del cliente admite GlobalProtect? para obtener ms informacin.
El siguiente diagrama ilustra el modo en que los portales, puertas de enlace y agentes / aplicaciones de
GlobalProtect se coordinan para ofrecer a todos sus usuarios un acceso seguro, independientemente de los
dispositivos que usen o de donde se encuentren.
Las polticas de implementacin que crea en el gestor de seguridad mvil ofrecen aprovisionamiento de
cuentas simplificado para que los usuarios de dispositivos mviles puedan acceder a las aplicaciones de la
empresa (tales como las configuraciones VPN y correo electrnico). Tambin puede realizar ciertas acciones,
tales como bloquear el dispositivo, hacer que emita una alarma para ayudar a localizarlo o incluso borrarlo si
duda de la seguridad del mismo.
Para comunicarse con un dispositivo, el gestor de seguridad mvil enva una notificacin push mediante
OTA. En el caso de dispositivos iOS, enva notificaciones push mediante el servicio Notificaciones Push de
Apple (APN) y en el de dispositivos Android las enva mediante Mensajera de Google Cloud (GCM).
Cuando un dispositivo recibe una notificacin push, la comprueba estableciendo una conexin HTTPS con
la interfaz de comprobacin del dispositivo en el gestor de seguridad mvil.
Apruebe las aplicaciones que podrn utilizar los usuarios para fines comerciales en sus dispositivos mviles.
Las aplicaciones que apruebe y aada al gestor de seguridad mvil como aplicaciones gestionadas se pueden
enviar a sus usuarios a travs de la implementacin de polticas. Los usuarios pueden examinar y luego
instalar las aplicaciones que tengan asignadas en la tienda de aplicaciones empresariales de la aplicacin
GlobalProtect.
Habilite configuraciones de seguridad para aplicaciones gestionadas con el gestor de seguridad mvil de
modo que los datos comerciales estn contenidos solo en aplicaciones y cuentas gestionadas en un
dispositivo mvil, y que el trfico de las aplicaciones gestionadas se enrute a travs de la VPN corporativa
(pero no el trfico personal).
Cuando un dispositivo se registra en el gestor de seguridad mvil, enva informacin del host que incluye
informacin adicional adems de la recopilada por la puerta de enlace de GlobalProtect, incluyendo una lista
de todas las aplicaciones instaladas gestionadas, una lista de aplicaciones instaladas no gestionadas (se puede
deshabilitar), la ubicacin del dispositivo en el momento del registro (se puede deshabilitar), si el dispositivo
tiene un cdigo de acceso establecido o si est modificado o desbloqueado. Adems, si el gestor de seguridad
mvil tiene una suscripcin WildFire, puede detectar si un dispositivo contiene software malintencionado
(solo dispositivos Android).
Al aprovechar los datos HIP extendidos que recopila el gestor de seguridad mvil, puede crear una poltica
de seguridad muy granular para usuarios de dispositivos mviles en sus puertas de enlace de GlobalProtect.
Envo de
manual
Envo de puerta
de enlace
Trfico de
Internet
Recopilacin de
App Store
Trfico
corporativo
Firmas de malware mvil
WildFire
Puertas de
enlace de
GlobalProtect
Gestor de seguridad
mvil de GlobalProtect
Consulte Configuracin del gestor de seguridad mvil de GlobalProtect para obtener ms informacin.
Versin mnima de
agente / aplicacin
1.1
4.1.0 o superior
1.1
1.1.6
1.2
2.1
1.0
1.0
1.0
1.2
1.2
1.2
App 1.3
App 1.3
App 2.1
App 1.3
4.1.6 o superior
N/D
5.0 o posterior
N/D
6.1 o posterior
4.0 o posterior
4.1.0 o superior
* La app 2.x es necesaria para que un dispositivo pueda ser gestionado por el gestor de seguridad mvil de GlobalProtect
y el cortafuegos debe ejecutar PAN-OS 6.0 o posterior.
**Para obtener informacin sobre cmo habilitar el acceso de clientes de strongSwan Ubuntu y CentOS a la VPN de
GlobalProtect, consulte Configuracin de la autenticacin para clientes strongSwan Ubuntu y CentOS.
Los usuarios deben obtener la aplicacin GlobalProtect de la tienda App Store de Apple (para iOS) o de Google
Play (para Android). Para obtener informacin sobre cmo distribuir el agente GlobalProtect, consulte
Implementacin del software del agente de GlobalProtect.
Licencia de portal: Una licencia perpetua que debe instalarse una nica vez en el cortafuegos que ejecute
el portal para habilitar la compatibilidad con la puerta de enlace interna, mltiples puertas de enlace (internas
o externas) o comprobaciones HIP.
Suscripcin de puerta de enlace: Una suscripcin anual que habilita las comprobaciones de HIP y las
actualizaciones de contenido asociadas. Esta licencia debe instalarse en cada cortafuegos que contenga
puertas de enlace que realicen comprobaciones HIP. Asimismo, la licencia de puerta de enlace habilita la
compatibilidad con aplicaciones mviles de GlobalProtect para iOS y Android.
Licencia del gestor de seguridad mvil de GlobalProtect en el dispositivo GP-100: Una licencia
perpetua de instalacin nica para el gestor de seguridad mvil basada en el nmero de dispositivos mviles
que se van a gestionar. Esta licencia solo es necesaria si pretende gestionar ms de 500 dispositivos mviles.
Hay disponibles licencias perpetuas para 1000, 2000, 5000, 10 000, 25 000, 50 000 o 100 000 dispositivos
mviles.
Caracterstica
Suscripcin de
puerta de
enlace
Suscripcin a
WildFire
Consulte Activacin de licencias para obtener informacin sobre la instalacin de licencias en el cortafuegos.
Consulte la Activacin/recuperacin de licencias para obtener informacin sobre la instalacin de licencias en
el gestor de seguridad mvil.
Configuracin de la infraestructura de
GlobalProtect
Para que GlobalProtect funcione, debe configurar la infraestructura bsica que permite que todos los
componentes se comuniquen. Bsicamente, esto implica configurar las interfaces y zonas que a las que se
conectarn los usuarios finales de GlobalProtect para acceder al portal y las puertas de enlace. Puesto que los
componentes de GlobalProtect se comunican a travs de canales seguros, debe adquirir e implementar todos
los certificados SSL necesarios de los distintos componentes. Las siguientes secciones le guiarn a travs de los
pasos bsicos para configurar la infraestructura de GlobalProtect:
Portal de GlobalProtect: Requiere una interfaz de bucle o capa 3 para que se conecten los clientes de
GlobalProtect. Si el portal y la puerta de enlace se encuentran en el mismo cortafuegos, pueden usar la misma
interfaz. El portal debe estar en una zona accesible desde fuera de su red, por ejemplo: no fiable.
Puertas de enlace de GlobalProtect: Los requisitos de interfaz y zona para la puerta de enlace dependen
de si est configurando una puerta de enlace externa o una puerta de enlace interna, como se indica a
continuacin:
Puertas de enlace externas: Requieren una interfaz de bucle o capa 3 y una interfaz de tnel lgica
para que el cliente se conecte con el fin de establecer un tnel VPN. La interfaz de capa 3/bucle
invertido debe encontrarse en una zona externa, como una no fiable. La interfaz de tnel puede estar
en la misma zona que la interfaz que se conecta a sus recursos internos, por ejemplo, fiable, o bien, para
mejorar la seguridad y la visibilidad, puede crear una zona separada, como corp-vpn. Si crea una zona
separada para su interfaz de tnel, necesitar crear polticas de seguridad que habiliten el flujo del trfico
entre la zona VPN y la zona fiable.
Puertas de enlace internas: Requiere una interfaz de bucle o de capa 3 en su zona fiable. Tambin
puede crear una interfaz de tnel para acceder a sus puertas de enlace internas, pero no es necesario.
Puede encontrar consejos sobre el uso de la interfaz de bucle para proporcionar acceso a
GlobalProtect a travs de diferentes puertos y direcciones en Can GlobalProtect Portal Page be
Configured to be Accessed on any Port? (Se puede configurar la pgina del portal de
GlobalProtect para acceder desde cualquier dispositivo?)
Si desea ms informacin sobre portales y puertas de enlace, consulte Acerca de los componentes de
GlobalProtect.
10
Paso 1
1.
Seleccione Red > Interfaces > Ethernet o Red > Interfaces >
Bucle invertido y, a continuacin, seleccione la interfaz que
quiere configurar para GlobalProtect. En este ejemplo, estamos
configurando ethernet1/1 como la interfaz del portal.
2.
3.
5.
6.
11
Paso 2
1.
2.
3.
No se requieren direcciones IP en la
interfaz de tnel a menos que
requiera enrutamiento dinmico.
Adems, asignar una direccin IP a
la interfaz de tnel puede resultar
til para solucionar problemas de
conexin.
Paso 3
5.
6.
Paso 4
Guarde la configuracin.
12
13
Uso
Certificado de CA
Certificado de servidor
del portal
Habilita a los
agentes / aplicaciones de
GlobalProtect para que
establezcan una conexin
HTTPS con el portal.
14
Certificado
Uso
(Opcional) Certificado
de cliente
Adems de habilitar la
autenticacin mutua al
establecer una sesin HTTPS
entre el cliente y el
portal / puerta de enlace,
Puede usar otros mecanismos para implementar certificados
tambin puede usar certificados
de clientes exclusivos para cada sistema de cliente que se
de cliente para autenticar a
usarn en la autenticacin del usuario final.
usuarios finales.
Tal vez deba probar su configuracin primero sin el
certificado de cliente y, a continuacin, aadir el certificado
del cliente cuando est seguro de que el resto de ajustes de la
configuracin son correctos.
(Opcional) Certificado
de mquina
15
Certificado
Uso
Certificado de gestor
de seguridad mvil del
servicio Notificaciones
Push de Apple (APN)
Certificados de
identidad
Si desea informacin detallada sobre los tipos de claves empleadas para establecer una comunicacin segura
entre el agente de GlobalProtect y los portales y puertas de enlace, consulte Referencia: Funciones criptogrficas
del agente de GlobalProtect.
16
Importe un certificado de servidor desde una CA Para importar un certificado y una clave desde una CA pblica,
asegrese de que se puede acceder a los archivos de clave y
externa conocida.
certificado desde su sistema de gestin y de que tiene la frase de
Use un certificado de servidor de una CA
contrasea para descifrar la clave privada. A continuacin, siga estos
externa conocida para el portal de
pasos:
GlobalProtect y el gestor de seguridad
mvil. De este modo puede asegurarse de 1. Seleccione Dispositivo > Gestin de certificados >
Certificados > Certificados de dispositivos.
que los clientes finales podrn establecer
una conexin HTTPS sin recibir
advertencias de certificado.
El campo de nombre comn (CN) y, si es
aplicable, de nombre alternativo del asunto
(SAN) del certificado deben coincidir
exactamente con el nombre de dominio
completo (FQDN) o la direccin IP de la
interfaz donde pretende configurar el
portal o la interfaz de registro del
dispositivo en el gestor de seguridad mvil.
Admite coincidencias con comodines.
2.
3.
4.
5.
6.
7.
Cree el certificado de CA raz para la emisin de Para usar certificados autofirmados, primero debe crear un
certificados autofirmados de los componentes de certificado de CA raz que servir para firmar los certificados de
componentes de GlobalProtect del siguiente modo:
GlobalProtect.
Cree el certificado de CA raz en el portal y 1. Para crear un certificado de CA raz, seleccione Dispositivo >
selo para emitir certificados de servidor
para puertas de enlace y, de manera
opcional, clientes.
2.
3.
4.
17
1.
2.
3.
4.
5.
6.
7.
1.
2.
3.
Prcticas recomendadas:
Exporte los certificados de servidor
autofirmados emitidos por la CA raz al
portal e imprtelos desde las puertas de
enlace.
Asegrese de emitir un nico certificado
de servidor para cada puerta de enlace.
4.
Al usar certificados autofirmados, debe
distribuir el certificado de CA raz a los
clientes finales en las configuraciones de
5.
clientes del portal.
6.
7.
8.
9.
18
19
Descripcin
Autenticacin local
Autenticacin externa
Autenticacin de
certificacin de cliente
El portal o la puerta de enlace usan un certificado de cliente para obtener el nombre de usuario y
autenticar al usuario antes de permitirle acceder al sistema. Con este tipo de autenticacin, debe
emitir un certificado de cliente para cada usuario final; los certificados que emita deben contener
el nombre de usuario en uno de los campos del certificado, como el campo Nombre de asunto. Si
se ha configurado el perfil del certificado en el portal de GlobalProtect, el cliente debe presentar
un certificado para conectarse. Esto significa que los certificados deben implantarse previamente
en clientes finales antes de su conexin inicial al portal.
Adems, el perfil del certificado especifica el campo del certificado del que obtener el nombre de
usuario. Si el perfil del certificado especifica Asunto en Campo nombre de usuario, el certificado
presentado por el cliente debe contener un nombre comn para poder conectarse. Si el perfil del
certificado especifica un Asunto alternativo con un Correo electrnico o Nombre principal como
Campo de nombre de usuario, el certificado presentado por el cliente debe contener los campos
correspondientes, que se usarn como nombre de usuario cuando el agente de GlobalProtect se
autentique en el portal o la puerta de enlace.
GlobalProtect tambin es compatible con una tarjeta de acceso comn (CAC) y autenticacin con
tarjetas inteligentes, que se basan en un perfil del certificado. En este caso, el perfil del certificado
debe contener el certificado de CA raz que emiti el certificado en la tarjeta inteligente/CAC.
Si usa la autenticacin de certificado de cliente, no debera configurar un certificado de cliente en
la configuracin del portal, ya que lo proporcionar el sistema del cliente cuando se conecte el
usuario final. En VPN de acceso remoto (Perfil del certificado) puede ver un ejemplo de cmo
configurar una autenticacin de certificado de cliente.
20
Mtodo de
autenticacin
Descripcin
Puede habilitar la autenticacin en dos fases configurando tanto un perfil de certificado como un
perfil de autenticacin y aadir ambos a la configuracin de portal o puerta de enlace. Tenga en
cuenta que con la autenticacin en dos fases, el cliente deber autenticarse correctamente en
ambos mecanismos para poder acceder al sistema.
Adems, si el perfil de certificado especifica un Campo nombre de usuario desde el que obtener
el nombre de usuario del certificado, el nombre de usuario se usar automticamente para la
autenticacin en el servicio de autenticacin externo especificado en el perfil de autenticacin. Por
ejemplo, si en el perfil del certificado Campo nombre de usuario se ha definido como Asunto, el
valor en el campo de nombre comn del certificado se usar por defecto como el nombre de
usuario cuando el usuario intente autenticarse en el servidor de autenticacin. Si no quiere obligar
a los usuarios a autenticarse con un nombre de usuario desde el certificado, asegrese de que el
perfil del certificado se ha establecido en Ninguno para Campo nombre de usuario. Consulte un
ejemplo de configuracin en VPN de acceso remoto con autenticacin de dos factores.
Autenticacin de cookies en el portal: El agente usa cookies cifradas para la autenticacin en el portal al
actualizar una configuracin que se ha almacenado previamente en cach (se solicitar la autenticacin del usuario
siempre que se trate de la configuracin inicial o al expirar una cookie). De este modo se simplifica el proceso de
autenticacin para usuarios finales, puesto que ya no tendrn que iniciar sesin sucesivamente tanto en el portal
como en la puerta de enlace o introducir varias OTP para autenticarse en ambas. Adems, esto permite el uso de
una contrasea temporal para habilitar el acceso VPN tras la caducidad de la contrasea.
Deshabilitacin del reenvo de credenciales a algunas o todas las puertas de enlace: El agente no
intentar usar sus credenciales del portal para iniciar sesin en la puerta de enlace, lo que permite a la puerta de
enlace solicitar inmediatamente su propio conjunto de credenciales. Esta opcin acelera el proceso de
autenticacin cuando el portal y la puerta de enlace requieren credenciales distintas (ya se trate de OTP distintas o
credenciales de inicio de sesin completamente diferentes). Tambin puede optar por usar una contrasea
diferente solo para puertas de enlace manuales. Con esta opcin, el agente reenviar credenciales a puertas de
enlace automticas pero no a las manuales, lo que le permite tener la misma seguridad en sus portales y en las
puertas de enlace automticas, y al mismo tiempo solicitar una OTP como segundo factor o una contrasea
diferente para acceder a esas puertas de enlace, que permiten acceder a los recursos ms importantes de su
empresa.
Si desea un ejemplo de cmo usar estas opciones, consulte Habilitacin de la autenticacin en dos fases mediante
contraseas de un solo uso (OTP).
21
Paso 1
1.
6.
22
7.
8.
Paso 2
1.
Guarde la configuracin.
23
Paso 1
24
4.
5.
7.
Paso 2
4.
5.
25
Paso 3
Paso 4
1.
2.
Paso 5
1.
26
Guarde la configuracin.
27
Paso 1
1.
6.
Paso 2
7.
8.
1.
5.
28
Paso 3
1.
Paso 4
Paso 5
3.
1.
2.
Guarde la configuracin de
GlobalProtect.
29
Paso 1
Configure su servidor RADIUS para que Puede consultar instrucciones especficas en su servidor RADIUS.
En la mayora de los casos, necesitar configurar un agente de
interaccione con el cortafuegos.
autenticacin y una configuracin de cliente en el servidor RADIUS
Este procedimiento da por hecho que su
para habilitar la comunicacin entre el cortafuegos y el servidor
servicio RADIUS ya est configurado
RADIUS. Tambin deber definir el secreto compartido usado para
para OTP o token y que los usuarios ya
cifrar las sesiones entre el cortafuegos y el servidor RADIUS.
han implementado los dispositivos
necesarios (como tokens de hardware).
Paso 2
1.
En el cortafuegos que actuar como su
puerta de enlace o portal, cree un perfil de
servidor RADIUS.
2.
Prctica recomendada:
3.
siguiente informacin:
Un nombre descriptivo para identificar este Servidor
RADIUS
La Direccin IP del servidor RADIUS
El Secreto compartido usado para cifrar sesiones entre el
cortafuegos y el servidor RADIUS
El nmero de Puerto desde el que el servidor RADIUS
escuchar las solicitudes de autenticacin (por defecto, 1812)
Paso 3
4.
1.
Paso 4
30
2.
3.
4.
Paso 5
3.
4.
Paso 6
Guarde la configuracin.
Paso 7
Verifique la configuracin.
31
Paso 1
Configure su infraestructura para tarjetas Puede consultar instrucciones especficas en la documentacin del
software del proveedor de autenticacin de usuarios. En la mayora
inteligentes
de los casos, la configuracin de la infraestructura para tarjetas
Este procedimiento da por hecho que ha
inteligentes requiere la generacin de certificados para los usuarios
facilitado tarjetas inteligentes y lectores de
finales y los servidores que participan en el sistema, que en este caso
tarjetas inteligentes a sus usuarios finales.
son los portales o puertas de enlace de GlobalProtect. Todos los
certificados para usuarios finales y el portal o la puerta de enlace
deben haber sido emitidos por la misma CA raz.
Paso 2
Importe el certificado de la CA raz que Asegrese de que se puede acceder a los archivos de clave y
emiti los certificados contenidos en las certificado desde su sistema de gestin y de que tiene la frase de
tarjetas inteligentes de los usuarios finales. contrasea para descifrar la clave privada. A continuacin, siga estos
pasos:
1. Seleccione Dispositivo > Gestin de certificados >
Certificados > Certificados de dispositivos.
Paso 3
32
2.
3.
4.
5.
6.
7.
2.
3.
4.
Paso 4
Paso 5
Guarde la configuracin.
Paso 6
Verifique la configuracin.
Paso 1
Clientes de Ubuntu:
ipsec start
Clientes de CentOS:
strongswan start
Paso 2
Clientes de CentOS:
strongswan up <nombre>
33
Paso 3
ipsec.conf
Compruebe que los ajustes de conexin
predeterminados del archivo de configuracin del conn %default
ikelifetime=20
tnel de IPsec (/etc/ipsec.conf) se han
definido correctamente en la seccin conn
reauth=yes
%default del archivo ipsec.conf.
rekey=yes
keylife=10m
rekeymargin=3m
rekeyfuzz=0%
keyingtries=1
type=tunnel
Paso 4
Paso 4
ipsec.conf
keyexchange=ikev1
authby-rsasig
ike=aes-sha1-modp1024,aes256#esp=aes-sha1
left=<direccin IP cliente strongSwan/Linux>
leftcert=<certificado de cliente con el
nombre de usuario de cliente de strongSwan
usado como nombre comn del certificado>
leftsourceip=%config
leftauth2=xauth
right=<direccin IP de GlobalProtect>
rightid=<direccin IP puerta enlace
GlobalProtect>
rightsubnet=0.0.0.0/0
auto=add
ipsec.secrets
:RSA <archivo clave privada>
34
Paso 4
ipsec.conf
aggressive=yes
ike=aes-sha1-modp1024,aes256
esp=aes-sha1
xauth=client
left=<direccin IP cliente strongSwan/Linux>
leftid=@#<nombregrupo>
leftsourceip=%modeconfig
leftauth=psk
rightauth=psk
leftauth2=xauth
right=<direccin IP puerta enlace
GlobalProtect>
rightsubnet=0.0.0.0/0
xauth_identity=<nombre usuario LDAP>
auto=add
ipsec.secrets
:PSK <secreto>
<nombre usuario> :XAUTH <contrasea>
ipsec.conf
conn certldap
keyexchange=ikev1
authby=xauthrsasig
ike=aes-sha1-modp1024
esp=aes-sha1
xauth=client
left=<direccin IP cliente strongSwan/Linux>
35
Paso 5
Clientes de CentOS:
Clientes de CentOS:
strongswan stop
Clientes de Ubuntu:
ipsec down <nombre de conexin>
Clientes de CentOS:
strongswan down <nombre de conexin>
36
37
Utilice el siguiente procedimiento para conectarse a su directorio LDAP y as permitir que el cortafuegos
recupere informacin de asignacin de usuario a grupo:
Asignacin de usuarios a grupos
Paso 1
1.
Cree un perfil de servidor LDAP que
especifique cmo conectarse a los
2.
servidores de directorio a los que debera
conectarse el cortafuegos para obtener
3.
informacin de asignacin de grupos.
4.
5.
38
6.
7.
8.
9.
Paso 2
Paso 3
Guarde la configuracin.
2.
3.
4.
5.
6.
39
Aplicar polticas de seguridad para los agentes y aplicaciones de GlobalProtect que se conectan e ella.
Tambin puede habilitar la recopilacin HIP en la puerta de enlace para mejorar la granularidad de la poltica
de seguridad. Para obtener ms informacin sobre la habilitacin de comprobaciones HIP, consulte Uso de
la informacin de host en la aplicacin de polticas.
Ofrece acceso a su red interna a travs de una red privada virtual (VPN). El acceso VPN se proporciona a
travs de tnel SSL o IPSec entre el cliente y una interfaz de tnel en el cortafuegos de la puerta de enlace.
Entonces podr configurar las puertas de enlace de GlobalProtect en los cortafuegos de
VM-Series implementados en la nube AWS. Al implementar un cortafuegos VM-Series en la nube
AWS, puede implementar rpida y fcilmente GlobalProtect en cualquier regin sin el gasto o la
logstica de TI que suelen ser necesaria para establecer esta infraestructura usando sus propios
recursos. Si desea informacin detallada, consulte Caso de uso: Cortafuegos VM-Series como
puertas de enlace GlobalProtect en AWS.
Crear las interfaces (y zonas) para la interfaz donde pretende configurar cada puerta de enlace. Para las
puertas de enlace que requieren conexiones de tnel, debe configurar tanto la interfaz fsica como la
interfaz de tnel virtual. Consulte Creacin de interfaces y zonas para GlobalProtect.
Configurar los certificados de servidor de puerta de enlace requeridos por el agente de GlobalProtect para
establecer una conexin SSL con la puerta de enlace. Consulte Habilitacin de SSL entre componentes de
GlobalProtect.
Definir los perfiles de autenticacin o perfiles del certificado que servirn para la autenticacin de usuarios
de GlobalProtect. Consulte Configuracin de la autenticacin de usuario en GlobalProtect.
40
Paso 1
Paso 2
1.
2.
3.
1.
2.
41
Paso 4
1.
5.
42
Paso 5
1.
(Solo Modo de tnel) Configure los
ajustes de red para asignar el adaptador de
red virtual de los clientes cuando un
2.
agente establece un tnel con la puerta de
enlace.
Los ajustes de red no son necesarios
en las configuraciones de puerta de
enlace interna en modo de no tnel
porque, en este caso, los agentes
usan los ajustes de red asignados
por el adaptador de red fsico.
3.
4.
43
Paso 6
1.
(Opcional) Defina los mensajes de
notificacin que vern los usuarios finales
cuando se aplique una regla de seguridad
2.
con un perfil de informacin de host (HIP).
5.
6.
Paso 7
Paso 8
1.
2.
3.
4.
5.
6.
7.
8.
Paso 9
44
Guarde la configuracin.
Personalizacin de las pginas de inicio de sesin, bienvenida y ayuda del portal de GlobalProtect
Crear las interfaces (y zonas) para la interfaz del cortafuegos donde pretende configurar cada portal.
Consulte Creacin de interfaces y zonas para GlobalProtect.
Configurar el certificado del servidor del portal, el certificado del servidor de la puerta de enlace y,
opcionalmente, cualquier certificado de cliente que se vaya a implementar a los usuarios finales para
habilitar las conexiones mutuas SSL a los servicios de GlobalProtect. Consulte Habilitacin de SSL entre
componentes de GlobalProtect.
Definir los perfiles de autenticacin o perfiles del certificado que servirn para la autenticacin de usuarios
de GlobalProtect. Consulte Configuracin de la autenticacin de usuario en GlobalProtect.
Configurar las puertas de enlace de GlobalProtect Consulte Configuracin de las puertas de enlace de
GlobalProtect.
45
Paso 1
Aada el portal.
1.
Paso 2
Paso 3
2.
3.
1.
Especifique la informacin de red que
permita a los agentes conectarse al portal.
Paso 4
46
1.
2.
Una lista de puertas de enlace a las que se puede conectar el agente o la aplicacin, que define adems si el
usuario puede establecer conexiones manuales con esas puertas de enlace.
El certificado de CA raz requerido para habilitar el agente o la aplicacin para establecer una conexin SSL
con las puertas de enlace de GlobalProtect o el gestor de seguridad mvil.
El certificado de cliente que el agente debera presentar a la puerta de enlace al conectarse. Esto solo es
necesario si se requiere autenticacin mutua entre el agente y la puerta de enlace.
La configuracin que usa el agente para determinar si est conectado a la red local y a una red externa.
Los ajustes de la configuracin del agente, como las visualizaciones del agente que los usuarios pueden ver,
si los usuarios pueden guardar sus contraseas de GlobalProtect, y si se indicar a los usuarios que actualicen
el software del agente.
Si el portal est inactivo o inaccesible, el agente usar la versin en cach de su configuracin
cliente desde su ltima conexin de portal realizada con xito para obtener los ajustes, incluida
con qu puerta(s) de enlace conectar, qu certificados de CA raz usar para establecer una
comunicacin segura con las puertas de enlace y qu mtodo de conexin emplear.
47
Paso 1
1.
Aada los certificados de CA raz de
confianza que el agente/aplicacin usar
para realizar las comprobaciones de
certificados al conectar con la puerta de
enlace de GlobalProtect o el gestor de
seguridad mvil. Si no aade un certificado
CA raz de confianza hacia la configuracin 2.
cliente, los agentes/aplicaciones asociados
no realizarn comprobaciones de
certificados cuando se conecten.
Se recomienda implementar
siempre los certificados de CA
3.
raz de confianza en la
configuracin de cliente para
garantizar que los
agentes/aplicaciones realizan las
comprobaciones de certificados
para validar la identidad de la
puerta de enlace antes de
establecer una conexin. Esto
evita que los agentes/aplicaciones
sean presa de ataques de
intermediarios
(man-in-the-middle).
Paso 2
48
1.
2.
3.
Paso 4
1.
Prcticas recomendadas:
Use la opcin a peticin solo si est
usando GlobalProtect para acceder
a puertas de enlace externas a travs
de una VPN.
No use la opcin a peticin si
pretende ejecutar el agente de
GlobalProtect en el modo oculto.
Consulte Personalizacin del agente
de GlobalProtect.
Para acelerar sus tiempos de
conexin, use la deteccin de host
interno en las configuraciones
donde tenga SSO habilitado.
49
Paso 5
1.
50
Paso 8
2.
Prcticas recomendadas:
5.
Paso 9
51
52
1.
2.
1.
2.
Si los usuarios pueden deshabilitar el agente (vlido solo para el mtodo de conexin de inicio de sesin del
usuario).
Si desea mostrar una pgina de bienvenida cuando el inicio de sesin se realice correctamente. Tambin
puede crear pginas de bienvenida y pginas de ayuda personalizadas que indiquen a sus usuarios cmo usar
GlobalProtect dentro de su entorno. Consulte Personalizacin de las pginas de inicio de sesin, bienvenida
y ayuda del portal de GlobalProtect.
Si las actualizaciones del agente se realizarn automticamente o si se les pedir a los usuarios que actualicen.
Tambin puede definir la configuracin del agente desde el registro de Windows o el archivo plist
global de Mac. Para los clientes de Windows, tambin puede definir la configuracin del agente
directamente desde el instalador de Windows (MSIEXEC). Los ajustes definidos en las
configuraciones del cliente del portal en la interfaz web siempre anulan a los ajustes definidos en
el registro de Windows/MSIEXEC o archivo plist de Mac. Si desea informacin ms detallada,
consulte Implementacin de la configuracin del agente de forma transparente.
Paso 1
1.
2.
3.
53
Paso 2
54
55
Paso 4
Si desea controlar el momento en el que los Si quiere que las actualizaciones se produzcan sin ninguna
interaccin con el usuario, seleccione transparente.
usuarios pueden actualizarse, por ejemplo, si
desea probar una versin con un pequeo Para impedir las actualizaciones del agente, seleccione
grupo de usuarios antes de implementarla
deshabilitar.
en toda la base de usuarios, puede
Para permitir a los usuarios finales iniciar las actualizaciones del
personalizar el comportamiento de la
agente, seleccione manual. En este caso, el usuario seleccionar la
actualizacin del agente "por
opcin
Comprobar versin en el agente para determinar si hay
configuracin". En este caso, podra crear
una
nueva
versin del agente y, a continuacin, actualizar si lo
una configuracin que se aplique a los
desea.
Observe
que esta opcin no funcionar si el agente
usuarios de su grupo de TI solo para
GlobalProtect
est
oculto para el usuario. Consulte el Paso 2 para
permitirles actualizar y probar y deshabilitar
obtener
informacin
detallada.
la actualizacin en el resto de
configuraciones de usuario/grupo. A
continuacin, despus de haber probado
exhaustivamente la nueva versin, podra
modificar las configuraciones del agente
para el resto de usuarios, con el fin de
permitirles actualizar.
Paso 5
Paso 6
1.
2.
3.
56
Paso 1
Paso 2
1.
2.
3.
1.
2.
Paso 3
3.
1.
2.
3.
4.
5.
57
Paso 4
Paso 5
1.
2.
3.
4.
58
Hosts de Mac OS y Microsoft Windows hosts: necesitan el software del agente de GlobalProtect,
distribuido por el portal de GlobalProtect. Para habilitar el software para su distribucin, debe descargar la
versin que desea que utilicen los hosts de su red en el cortafuegos que aloja su portal de GlobalProtect y, a
continuacin, activar el software para su descarga. Para obtener instrucciones sobre cmo descargar y activar
el software del agente en el cortafuegos, consulte Implementacin del software del agente de GlobalProtect.
Dispositivos iOS y Android: necesitan la aplicacin de GlobalProtect. Como con otras aplicaciones para
dispositivos mviles, el usuario final debe descargar la aplicacin de GlobalProtect desde la AppStore de
Apple (dispositivos iOS) o desde Google Play (dispositivos Android). Descarga e instalacin de la aplicacin
mvil de GlobalProtect.
Si desea ms informacin, consulte Qu versiones de sistema operativo del cliente admite GlobalProtect?
Directamente desde el portal: descargue el software del agente en el cortafuegos que aloja el portal y
actvelo para que los usuarios finales puedan instalar las actualizaciones cuando se conecten al portal. Esta
opcin proporciona una flexibilidad que le permitir controlar el modo y el momento en el que los usuarios
finales recibirn actualizaciones basadas en la configuracin del cliente definida para cada usuario, grupo o
sistema operativo. Sin embargo, si dispone de un gran nmero de agentes que necesitan actualizaciones,
puede que aumente la carga de su portal. Consulte Alojamiento de actualizaciones de agente en el portal para
obtener instrucciones.
Desde un servidor web: si tiene un gran nmero de hosts que necesiten actualizar el agente de forma
simultnea, considere alojar las actualizaciones del agente en un servidor web para reducir la carga del
cortafuegos. Consulte Alojamiento de actualizaciones de agente en un servidor web para obtener
instrucciones.
De forma transparente desde la lnea de comandos: para los clientes de Windows, puede implementar
la configuracin del agente automticamente en el Windows Installer (MSIEXEC). Sin embargo, para
actualizar a una versin del agente posterior utilizando MSIEXEC, primero debe desinstalar el agente
existente. Adems, MSIEXEC permite la implementacin de la configuracin del agente directamente en los
sistemas cliente estableciendo valores en el registro de Windows o el archivo plist de Mac. Consulte
Implementacin de la configuracin del agente de forma transparente.
Con reglas de polticas de grupo: en entornos Active Directory, el agente de GlobalProtect tambin se
puede distribuir a usuarios finales, utilizando polticas de grupo de directorios activas. Las polticas de grupos
de AD permiten la modificacin automtica de la configuracin de ordenadores host de Windows y de
software. Consulte el artculo http://support.microsoft.com/kb/816102 para obtener ms informacin
sobre cmo utilizar la poltica de grupo para distribuir automticamente programas para alojar ordenadores
o usuarios.
59
Paso 1
Paso 2
Paso 3
60
Paso 4
Paso 1
Paso 2
Publique los archivos en su servidor web. Cargue los archivos de imagen en su servidor web.
Paso 4
Compruebe la redireccin.
1.
61
Paso 1
Paso 2
4.
5.
6.
1.
62
Paso 3
Descargue el agente.
1.
2.
3.
Paso 4
1.
2.
3.
63
Paso 5
64
Paso 1
Paso 2
Paso 3
3.
4.
5.
6.
Inicie la aplicacin.
65
Paso 4
1.
2.
66
Configuracin de la infraestructura
de GlobalProtect
67
Configuracin de la infraestructura
de GlobalProtect
Registro de Windows/archivo
plist de Mac
Parmetro MSIEXEC
Valor
predeterm
inado
enable-advanced-view yes | no
ENABLEADVANCEDVIEW=yes|no
show-agent-icon yes | no
SHOWAGENTICON=yes|no
can-change-portal yes | no
CANCHANGEPORTAL=yes|no
can-save-password yes | no
CANSAVEPASSWORD=yes|no
rediscover-network yes | no
REDISCOVERNETWORK=yes|no
resubmit-host-info yes | no
RESUBMITHOSTINFO=yes|no
can-continue-if-portal-certinvalid yes | no
CANCONTINUEIFPORTALCERTINVALID=ye
s|no
Intervalo de actualizacin de
configuracin (horas)
refresh-config-interval <hours>
REFRESHCONFIGINTERVAL=<hours>
24
Mtodo de conexin
connect-method on-demand |
pre-logon | user-logon
CONNECTMETHOD=on-demand |
pre-logon | user-logon
user-logon
use-sso yes | no
USESSO=yes|no
can-prompt-user-credential yes |
no
CANPROMPTUSERCREDENTIAL=yes | no
WRAPCPGUID={guid_value]"
FILTERNONGPCP=yes|no
no
(Solo Windows)
Solo Windows/no en portal
Este ajuste se utiliza junto con el inicio
de sesin nico e indica si se deben
pedir o no al usuario las credenciales en
caso de que falle la SSO.
filter-non-gpcp no
68
Configuracin de la infraestructura
de GlobalProtect
Uso del registro de Windows para implementar los ajustes de agente de GlobalProtect
69
Configuracin de la infraestructura
de GlobalProtect
Uso del registro de Windows para implementar los ajustes de agente de GlobalProtect (Continuacin)
Por ejemplo, para evitar que los usuarios se conecten al portal si el certificado no es vlido, puede cambiar la
configuracin de la siguiente forma:
msiexec.exe /i GlobalProtect.msi CANCONTINUEIFPORTALCERTINVALID="no"
Para obtener una lista de ajustes y de los correspondientes valores predeterminados, consulte Tabla: Ajustes
personalizables del agente.
Para configurar el agente de GlobalProtect para ajustar credenciales de terceros en un cliente
de Windows desde MSIEXEC, consulte Habilitacin del ajuste de SSO para credenciales
externas con el instalador de Windows.
70
Configuracin de la infraestructura
de GlobalProtect
Habilitacin del ajuste de SSO para credenciales externas con el registro de Windows
Habilitacin del ajuste de SSO para credenciales externas con el instalador de Windows
El ajuste de SSO de GlobalProtect para proveedores de credenciales externos (CP) depende de
la configuracin del CP externo y, en algunos casos, el ajuste de SSO de GlobalProtect no
funcionar correctamente si la implementacin de CP externo no permite a GlobalProtect ajustar
con xito su CP.
Habilitacin del ajuste de SSO para credenciales externas con el registro de Windows
Siga estos pasos en el Registro de Windows para permitir que el SSO ajuste las credenciales externas en clientes
de Windows 7 y Windows Vista.
Uso del registro de Windows para permitir el ajuste de SSO de credenciales externas
Paso 1
3.
71
Configuracin de la infraestructura
de GlobalProtect
Uso del registro de Windows para permitir el ajuste de SSO de credenciales externas (Continuacin)
Paso 2
1.
2.
3.
72
Configuracin de la infraestructura
de GlobalProtect
Uso del registro de Windows para permitir el ajuste de SSO de credenciales externas (Continuacin)
Siguientes pasos...
Paso 3
Habilitacin del ajuste de SSO para credenciales externas con el instalador de Windows
Use las siguientes opciones en el instalador de Windows (MSIEXEC) para permitir que el SSO ajuste las
credenciales externas en clientes de Windows 7 y Windows Vista.
Uso del instalador de Windows para permitir el ajuste de SSO de credenciales externas
Ajuste las credenciales externas y muestre el mosaico nativo a los usuarios en el inicio de sesin. Los usuarios
hacen clic en el mosaico e inician sesin en el sistema con sus credenciales nativas de Windows. El inicio de
sesin nico autentica a los usuarios en Windows, GlobalProtect y el proveedor de credenciales externas.
Utilice la siguiente sintaxis desde el instalador de Windows (MSIEXEC):
msiexec.exe /i GlobalProtect.msi WRAPCPGUID={guid_value} FILTERNONGPCP=yes
En la sintaxis anterior, el parmetro FILTERNONGPCP, que filtra el mosaico de inicio de sesin del proveedor de
credenciales externas para que solo aparezca el mosaico nativo, se ha definido como "no. En este caso, tanto
el mosaico nativo de Windows como el del proveedor de credenciales externas se muestran a los usuarios
cuando inician sesin en el sistema de Windows.
73
Configuracin de la infraestructura
de GlobalProtect
Uso inicial de la plist de Mac para implementar los ajustes de agente de GlobalProtect.
74
Configuracin de la infraestructura
de GlobalProtect
75
Use la aplicacin iOS de GlobalProtect con un MDM de terceros Configuracin de la infraestructura de GlobalProtect
76
77
Use la aplicacin iOS de GlobalProtect con un MDM de terceros Configuracin de la infraestructura de GlobalProtect
78
Configuracin de la infraestructura
de GlobalProtect
Clave
Uso
Winhttp (Windows) y
NSURLConnection (MAC)
AES256-SHA
OpenSSL
AES256-SHA
79
80
Configuracin de la infraestructura
de GlobalProtect
81
Actualizaciones de Palo Alto: El gestor de seguridad mvil recupera actualizaciones de firmas de WildFire
que le permiten detectar malware en dispositivos gestionados de Android. Por defecto, el gestor de seguridad
mvil recupera las actualizaciones de WildFire desde el servidor de actualizaciones de Palo Alto Networks
en su interfaz de gestin. Sin embargo, si su red de gestin no proporciona acceso a Internet, podr
modificar la ruta de servicios para el servicio de actualizaciones de Palo Alto para usar la interfaz ethernet1.
Servicios de notificaciones Push: Como el gestor de seguridad mvil no puede conectarse directamente
con los dispositivos mviles que gestiona, debe enviar notificaciones de envo a travs del servicio de
notificaciones Push de Apple (APNs) o los servicios de mensajera en la nube de Google (GCM) siempre
que necesite interactuar con un dispositivo, por ejemplo para enviar una solicitud de registro o realizar una
accin como el envo de un mensaje o una nueva poltica. Se recomienda configurar la ruta de servicio de
notificaciones Push para que use la interfaz ethernet1.
Dispositivos mviles: Los dispositivos mviles se conectan inicialmente desde la red externa para su
inscripcin y despus para registrarse y recibir la poltica de implementacin. Se recomienda usar ethernet1
para la inscripcin y registro de dispositivo, pero usar puertos de escucha distintos. Para evitar que el usuario
final vea advertencias de certificados, use el puerto 443 (predeterminado) para la inscripcin y otro puerto
diferente (configurable a 7443 o 8443) para el registro. Advertencia: Como el puerto de registro de
dispositivos se enva al dispositivo durante la inscripcin, si lo cambia tras la configuracin inicial los
dispositivos debern volver a inscribirse con gestor de seguridad mvil.
82
MGT
GP-100 enva
notificaciones push a
dispositivos en la
interfaz MGT.
Los dispositivos se conectan al GP-100 a
travs de ethernet1/1.
Inscripcin de dispositivos (puerto 443).
Registro de dispositivos (puerto 7443 o 8443).
Dispositivos
gestionados
WildFire
Las puertas de enlace
recuperan los informes HIP
para dispositivos gestionados
en ethernet1/1 (puerto 5008).
Puertas de enlace
de GlobalProtect
83
Paso 1
Paso 2
Paso 3
Paso 4
Paso 5
84
2.
3.
4.
5.
Paso 6
Paso 7
Paso 8
2.
3.
4.
5.
1.
2.
3.
4.
Paso 9
1.
3.
4.
1.
2.
85
3.
2.
86
Activacin/recuperacin de licencias
Paso 1
Inicie sesin en la interfaz web del gestor Use una conexin segura (https) de un navegador web, inicie sesin
de seguridad mvil.
con la direccin IP y contrasea asignadas durante la configuracin
inicial (https://<Direccin IP> o https://<Direccin IP>:4443 si la
comprobacin de dispositivos est activada en la interfaz).
Paso 2
Busque el nmero de serie y cpielo en el El nmero de serie del dispositivo GP-100 aparece en el Panel;
portapapeles.
encuentre el Nmero de serie en la seccin Informacin general de
la pantalla.
Paso 3
87
Paso 4
Activacin/recuperacin de licencias
El gestor de seguridad mvil necesita una licencia de asistencia vlida que le permita recuperar las
actualizaciones de software y las actualizaciones de contenido dinmico. El dispositivo incluye 90 das de
asistencia gratuita; sin embargo, debe adquirir una licencia de asistencia para seguir recibiendo actualizaciones
tras este periodo introductorio. Si planea gestionar ms de 500 dispositivos mviles, necesitar una licencia del
gestor de seguridad mvil de GlobalProtect. Esta licencia nica y perenne permite gestionar hasta 1000, 2000,
5000, 10 000, 25 000, 50 000 o 100 000 dispositivos mviles.
Puede adquirir una suscripcin a WildFire para el gestor de seguridad mvil para habilitar las actualizaciones
dinmicas que contienen firmas de malware creadas como resultado del anlisis realizado por la nube de
WildFire. Si mantiene al da las actualizaciones de malware, podr evitar que los dispositivos Android
gestionados que contienen aplicaciones infectadas con malware se conecten a sus recursos de red. Debe adquirir
una suscripcin a WildFire que admita el mismo nmero de dispositivos que admite su licencia del gestor de
seguridad mvil. Por ejemplo, si tiene una licencia perenne del gestor de seguridad mvil para
10 000 dispositivos y desea activar la asistencia para detectar el malware ms reciente, deber adquirir una
suscripcin a WildFire para 10 000 dispositivos.
Para adquirir licencias, pngase en contacto con su ingeniero de sistemas de Palo Alto Networks o distribuidor.
Si desea ms informacin sobre requisitos de licencias, consulte Acerca de las licencias de GlobalProtect.
Despus de obtener una licencia, desplcese hasta Configuracin > Licencias para realizar las siguientes tareas
dependiendo de cmo recibe las licencias:
Recuperar claves de licencia del servidor de licencias: utilice esta opcin si la licencia se ha activado en
el portal de asistencia tcnica.
Activar caracterstica mediante cdigo de autorizacin: utilice el cdigo de autorizacin para activar
una licencia que no se ha activado anteriormente en el portal de asistencia tcnica.
88
Paso 1
Paso 2
1.
2.
3.
Paso 3
(No es necesario si ha completado el paso Utilice la opcin Recuperar claves de licencia del servidor de
licencias si ha activado las claves de licencia en el portal de asistencia
2) Recupere las claves de licencia del
servidor de licencias.
tcnica.
Seleccione Configuracin > Asistencia tcnica y seleccione
Recuperar claves de licencia del servidor de licencias.
89
Paso 1
1.
Paso 3
Paso 4
Descargar la actualizacin.
Si el gestor de seguridad mvil no
tiene acceso a Internet desde el
puerto de gestin, puede descargar
la actualizacin de software desde el
sitio de asistencia tcnica de Palo
Alto Networks. Despus podr
cargarla manualmente en el gestor
de seguridad mvil.
Paso 5
Instale la actualizacin.
1.
2.
3.
1.
2.
1.
2.
Reinicie el dispositivo:
Si se le pide que reinicie, haga clic en S.
Si no se le pide que reinicie, seleccione Configuracin >
Ajustes > Operaciones y haga clic en Reiniciar dispositivo
en la seccin Operaciones de dispositivo de la pantalla.
90
91
Paso 1
1.
2.
Aunque puede usar la interfaz de
gestin para registrar dispositivos, si
configura una interfaz distinta
podr separar el trfico de gestin 3.
del de datos. Si est usando la
interfaz de gestin para el registro
de dispositivos, omita el Paso 4.
Paso 2
92
4.
5.
6.
Paso 3
1.
(Opcional) Si el puerto de gestin del
gestor de seguridad mvil no tiene acceso
a Internet, configure los enrutadores de 2.
servicio para permitir el acceso desde la
3.
interfaz de registro de dispositivos a los
recursos externos necesarios, como el
servicio de notificaciones push de Apple
(APNs) y el servicio de Mensajera de
Google Cloud (GCM) para el envo de
notificaciones push.
4.
5.
93
Paso 4
Importe un certificado de servidor para la Para importar un certificado y una clave privada, descargue el
certificado y el archivo de clave de la CA y asegrese de que son
interfaz de registro de dispositivos del
accesibles desde el sistema de gestin y que tiene la frase de
gestor de seguridad mvil.
contrasea para descifrar la clave privada. Despus complete los
El campo de nombre comn (CN) y, si es
siguientes pasos en el gestor de seguridad mvil:
aplicable, de nombre alternativo del
1. Seleccione Configuracin > Gestin de certificados >
asunto (SAN) del certificado del gestor de
Certificados > Certificados de dispositivos.
seguridad mvil deben coincidir
exactamente con la direccin IP o con el 2.
nombre de dominio completo (FQDN) 3.
de la interfaz de registro de dispositivos
(se admiten certificados de comodn).
4.
Aunque puede generar un certificado de
servidor autofirmado para la interfaz de 5.
registro de dispositivos del gestor de
6.
seguridad mvil (Configuracin >
Gestin de certificados > Certificados >
Generar), se recomienda usar un
7.
certificado de una CA pblica como
VeriSign o Go Daddy para garantizar que
los dispositivos finales puedan conectarse
para inscribirse. Si no usa un certificado 8.
en el que confen los dispositivos, deber
aadir el certificado de CA raz a la
configuracin del gestor de seguridad
mvil y la configuracin correspondiente
de clientes del portal para que el portal
pueda implementar el certificado en los
dispositivos tal y como se describe en
Definicin de las configuraciones de
cliente de GlobalProtect.
94
Paso 5
1.
2.
3.
4.
5.
6.
7.
8.
9.
95
Paso 6
2.
3.
4.
5.
6.
7.
8.
9.
96
Paso 7
Paso 8
Guarde la configuracin.
2.
3.
4.
Autenticacin: Para poder inscribir un dispositivo mvil, el usuario del mismo debe autenticarse en el gestor
de seguridad mvil para que pueda determinar la identidad del usuario y garantizar que forma parte de la
organizacin. El gestor de seguridad mvil de GlobalProtect admite los mismos mtodos de autenticacin
que se admiten en los otros componentes de GlobalProtect: autenticacin local, autenticacin externa en un
servicio LDAP, Kerberos o RADIUS externo (incluida la asistencia de una autenticacin OTP de dos
factores). Si desea informacin detallada sobre estos mtodos consulte Acerca de la autenticacin de
usuarios de GlobalProtect.
Generacin de certificados de identidad: Cuando haya autenticado con xito al usuario final, el gestor de
seguridad mvil emitir un certificado de identidad para el dispositivo. Para permitir que el gestor de
seguridad mvil emita certificados de identidad, genere un certificado de CA autofirmado que podr usar
para la firma. Adems, si tiene un servidor de protocolo de inscripcin de certificados simple (SCEP) de
empresa como el servidor Microsoft SCEP, puede el gestor de seguridad mvil para usar el servidor SCEP
para que emita certificados para los dispositivos iOS. Tras la inscripcin, el gestor de seguridad mvil usar
el certificado de identidad para autenticar el dispositivo mvil cuando se registre.
Para que los dispositivos Android reciban notificaciones push desde el Gestor de seguridad
mvil, tambin deber asegurarse de que su cortafuegos tiene conectividad con los servicios
GCM. Si est usando un cortafuegos de Palo Alto Networks, configure una poltica de seguridad
para permitir el trfico de la aplicacin google-cloud-messaging (en su cortafuegos, seleccione
Polticas > Seguridad). Si est usando un cortafuegos con gestin de puertos, abra los
puertos 5228, 5229 y 5230 en el cortafuegos para que los use GCM y establezca tambin el
cortafuegos para que acepte las conexiones salientes a todas las direcciones IP contenidas en
la lista de IP bloqueadas en el ASN 15169 de Google. Consulte Google Cloud Messaging for
Android (Google Cloud Messaging para Android) para obtener ms informacin.
97
Siga el procedimiento que se indica a continuacin para configurar la infraestructura de inscripcin en el gestor
de seguridad mvil:
Configuracin del gestor de seguridad mvil para la inscripcin
Paso 1
1.
Cree un perfil de autenticacin para
autenticar los usuarios de dispositivos de
autenticacin cuando se conecten al
gestor de seguridad mvil para la
inscripcin.
Se recomienda usar el mismo servicio de
autenticacin que se usa para autenticar a
los usuarios finales para acceder a los
recursos de la empresa, como el correo
electrnico o la red Wi-Fi. Esto permite al
gestor de seguridad mvil capturar las
credenciales para usarlas en los perfiles de
configuracin que implementa en los
servicios. Por ejemplo, el gestor de
seguridad mvil puede implementar
2.
automticamente configuraciones que
incluyan las credenciales necesarias para
acceder a los recursos de la empresa,
como el correo electrnico y el Wi-Fi, del
dispositivo.
Paso 2
98
Paso 3
1.
2.
99
Paso 5
Paso 6
3.
4.
5.
6.
7.
4.
Paso 7
100
Guarde la configuracin.
Paso 8
Configure el portal de GlobalProtect para Realice los siguientes pasos en el cortafuegos que aloja su portal de
redirigir los dispositivos mviles al gestor GlobalProtect:
de seguridad mvil para su inscripcin.
1. Seleccione Red > GlobalProtect > Portales y seleccione la
configuracin de portal que desea modificar.
Si desea informacin ms detallada,
consulte Configuracin del portal de
GlobalProtect.
2.
3.
4.
5.
6.
101
Paso 1
Paso 2
102
2.
3.
4.
5.
6.
Paso 3
1.
2.
3.
103
Paso 4
3.
4.
5.
6.
7.
104
Paso 5
3.
4.
5.
6.
105
Autenticacin: Para conectar con el gestor de seguridad mvil para registrarse, el dispositivo mvil presenta
el certificado de identidad que se emiti durante la inscripcin. Si ha habilitado el acceso a su servidor de
LDAP, el gestor de seguridad mvil puede usar el nombre de usuario autenticado para determinar una
comparacin de poltica en funcin de una pertenencia a grupo o usuario. Consulte Integracin del gestor
de seguridad mvil con su directorio LDAP.
Recopilacin de datos de dispositivo: El dispositivo mvil proporciona datos HIP que el gestor de
seguridad mvil procesa para crear un informe HIP completo para el dispositivo. El informe HIP
proporciona informacin de identificacin sobre el estado del dispositivo (como si se ha liberado o tiene el
root desbloqueado, si tiene habilitado el cifrado o si se ha definido un cdigo de acceso) y una lista de todas
las aplicaciones instaladas en el dispositivo. En el caso de los dispositivos Android, el gestor de seguridad
mvil calcula un hash para cada aplicacin y usa estos datos para determinar si se sabe que alguna de las
aplicaciones instaladas tenga malware en funcin de las actualizaciones de contenido de APK ms recientes.
Si desea ms informacin sobre la recopilacin de datos HIP, consulte Recopilacin de datos de dispositivos.
Implementacin de polticas: Cada regla de poltica del gestor de seguridad mvil se compone de dos
partes, criterios de coincidencia y configuraciones. Cuando un dispositivo se registra, el gestor de seguridad mvil
compara la informacin de usuario asociada con el dispositivo y los datos HIP recopilados con el dispositivo
con los criterios de coincidencia. Cuando encuentra la primera regla coincidente, enva las configuraciones
correspondientes al dispositivo.
106
Criterios de coincidencia: El gestor de seguridad mvil usa el nombre de usuario del usuario del
dispositivo y la coincidencia HIP para determinar una coincidencia de polticas. El uso del nombre de
usuario le permite implementar polticas en funcin de la pertenencia de grupos. Consulte Acerca de la
comparacin de usuarios y grupos. Use la coincidencia de HIP para enviar polticas de implementacin
en funcin del cumplimiento de la seguridad del dispositivo y mediante otras caractersticas de
identificacin del dispositivo, como la versin de SO, etiqueta o modelo de dispositivo. Consulte Acerca
de la evaluacin HIP.
Notificacin de incumplimiento: En algunos casos, un dispositivo puede no cumplir ninguna de las reglas
de poltica que ha definido. Por ejemplo, si ha creado un perfil HIP que solo coincide con dispositivos que
cumplan los estndares de seguridad (es decir, que estn cifrados y no estn liberados ni tengan el root
desbloqueado) y lo adjunta a sus reglas de polticas de implementacin. En este caso, las configuraciones solo
se envan a los dispositivos que coincidan con el perfil HIP. Puede definir un mensaje de notificacin HIP
para enviarlo a los dispositivos que no coinciden con el perfil para explicar por qu no reciben ninguna
configuracin. Si desea informacin ms detallada, consulte Acerca de la notificacin HIP.
Datos recopilados
Informacin de host
Configuracin
Informacin sobre el estado de seguridad del dispositivo, como si est liberado/tiene la raz
desbloqueada, si est cifrado y si el usuario ha definido un cdigo de acceso en el dispositivo.
Aplicaciones
Incluye una lista de todos los paquetes de aplicaciones que estn instalados en el dispositivo,
si el dispositivo contiene aplicaciones reconocidas como portadoras de software
malintencionado (solo dispositivos Android), y, de manera opciones, la ubicacin GPS del
dispositivo. Puede optar por recopilar o excluir una lista de aplicaciones instaladas en el
dispositivo que no estn gestionadas por el gestor de seguridad mvil.
Ubicacin GPS
Incluye la ubicacin GPS del dispositivo, en caso de que tenga habilitados los servicios de
ubicacin. Sin embargo, por motivos de privacidad puede configurar el gestor de seguridad
mvil para excluir esta informacin de los datos recopilados.
107
Objetos HIP: Proporcionan los criterios de evaluacin con los que filtrar la informacin de host que desea
usar para aplicar las polticas. Por ejemplo, si desea identificar los dispositivos que tienen vulnerabilidades,
puede crear objetos HIP para cada estado de dispositivo que considera una vulnerabilidad. Por ejemplo,
puede crear un objeto HIP para los dispositivos que estn liberados/tiene la raz desbloqueada, otro para los
dispositivos que no estn cifrados y un tercero para los dispositivos que contienen malware.
Perfiles HIP: Una coleccin de objetos HIP que se evalan juntos mediante una lgica booleana que evala
los datos HIP con el perfil HIP resultante y determina si coinciden o no. Por ejemplo, si solo desea
implementar perfiles de configuracin en dispositivos que no tengan una vulnerabilidad, puede crear un
perfil HIP para adjuntarlo a su poltica y que solo coincida con dispositivos que no estn liberados, no tengan
la raz desbloqueada, estn cifrados y no contengan malware.
Para obtener instrucciones sobre cmo configurar las evaluaciones HIP, consulte Definicin de objetos y
perfiles HIP.
108
Crea un perfil HIP que evala si la versin de SO del dispositivo es mayor o igual a un nmero de versin
especfico. En este caso, puede que quiera crear un mensaje de notificacin HIP para dispositivos que no coincidan
con el perfil HIP, en el que indica a los usuarios del dispositivo que deben actualizar el SO del dispositivo para
poder recibir los perfiles de configuracin de la empresa.
Crea un perfil HIP que evala si la versin de SO del dispositivo es inferior a un nmero de versin especfico. En
este caso, en su lugar puede crear el mensaje para dispositivos que s coincidan con este perfil.
Las polticas del gestor de seguridad mvil que implemente le permiten asegurarse de que los dispositivos que accedan
a su red cumplan con sus polticas de seguridad y uso aceptable, le proporcionan un mecanismo de envo y simplifican
la implementacin de los ajustes de configuracin, certificados y perfiles de aprovisionamiento necesarios para acceder
a sus recursos de la empresa.
La forma en la que elija gestionar y configurar los dispositivos mviles depender de los requisitos especficos de su
compaa y la sensibilidad de los recursos a los que las configuraciones ofrecen acceso. Si desea informacin sobre
cmo configurar los mensajes de notificacin HIP, consulte Definicin de objetos y perfiles HIP.
109
110
seguridad mvil elimine el perfil. Adems, como los perfiles de aprovisionamiento estn sincronizados con
iTunes, el perfil puede reinstalarse la siguiente vez que el usuario final sincronice el dispositivo con iTunes.
Considere las siguientes recomendaciones:
Exija una autenticacin para usar la aplicacin. Esto impide el acceso a aquellos usuarios que no estn
autorizados a usar la aplicacin pero tienen instalado el perfil de aprovisionamiento en sus dispositivos.
Para asegurar que no realicen copias de seguridad de los datos de aplicaciones de la empresa en iCloud
o iTunes, donde podran estar al alcance de usuarios no autorizados, asegrese de que las aplicaciones
que desarrolle internamente usen a carpeta Caches de la aplicacin para almacenar los datos, ya que esta
carpeta se excluye de la copia de seguridad.
Asegrese de tener la capacidad de borrar los datos de aplicaciones locales en el dispositivo mvil
cuando se elimina el acceso a la aplicacin.
111
Paso 1
Cree un perfil de servidor LDAP que especifique cmo conectarse a los servidores de directorio que desee que utilice
el cortafuegos para obtener informacin de asignacin de grupos.
1. Seleccione Configuracin >
Perfiles de servidor > LDAP.
2. Haga clic en Aadir y, a
continuacin, introduzca un
Nombre para el perfil.
3. Haga clic en Aadir para aadir una
nueva entrada de servidor LDAP y,
a continuacin, introduzca un
nombre de Servidor para
identificar al servidor (de 1 a 31
caracteres) y el nmero de
Direccin IP y Puerto que debera
utilizar el cortafuegos para
conectarse al servidor LDAP (valor predeterminado=389 para LDAP; 636 para LDAP sobre SSL). Puede aadir
hasta cuatro servidores LDAP al perfil; sin embargo, todos los servidores que aada a un perfil debern ser del
mismo tipo. Para la redundancia, debera aadir como mnimo dos servidores.
4. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor que
introduzca aqu depender de su implementacin:
Si est utilizando Active Directory, deber introducir el nombre de dominio NetBIOS; NO el FQDN (por
ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios dominios,
deber crear perfiles de servidor separados. Aunque el nombre de dominio se puede determinar
automticamente, la prctica recomendada es introducir el nombre de dominio siempre que sea posible.
Si est utilizando un servidor de catlogo global, deje este campo en blanco.
5. Seleccione el Tipo de servidor LDAP al que se est conectando. Los valores de asignacin de grupos se
cumplimentarn automticamente segn su seleccin. Sin embargo, si ha personalizado su esquema, puede que
tenga que modificar los ajustes predeterminados.
6. En el campo Base, especifique el punto donde desee que el gestor de seguridad mvil comience su bsqueda de
informacin de usuarios y grupos dentro del rbol de LDAP.
7. Introduzca las credenciales de autenticacin para el enlace con el rbol de LDAP en los campos Enlazar DN,
Enlazar contrasea y Confirmar contrasea de enlace. El valor de Enlazar DN puede tener el formato
Nombre principal del usuario (UPN)
(p. ej., administrador@acme.local) o puede ser un nombre de LDAP completo
(p. ej., cn=administrador,cn=usuarios,dc=acme,dc=local).
8. Si desea que el gestor de seguridad mvil se comunique con los servidores LDAP a travs de una conexin segura,
seleccione la casilla de verificacin SSL. Si habilita SSL, asegrese de que tambin ha especificado el nmero de
puerto adecuado.
112
Paso 2
Paso 3
113
114
Paso 1
4.
5.
Repita estos pasos para crear los objetos HIP adicionales que
necesite.
115
Paso 2
1.
2.
Cuando crea sus perfiles HIP, puede
combinar objetos HIP que haya creado
previamente (as como otros perfiles HIP) 3.
usando lgica booleana como la que se
usa cuando un flujo de trfico se evala 4.
con respecto al perfil HIP resultante con
el que tendr, o no, coincidencia. Si
coincide, la regla de poltica
correspondiente se aplicar; si no
coincide, el flujo se evaluar con respecto
a la siguiente regla, como con cualquier
otro criterio de coincidencia de poltica.
Paso 3
Paso 4
116
5.
6.
7.
8.
Repita estos pasos para crear cada perfil HIP adicional que
necesite.
Seleccione Supervisar > Logs > Coincidencias HIP. Este log muestra
todas las coincidencias que el gestor de seguridad mvil ha
identificado cuando evalu los datos de dispositivo de los que
inform la aplicacin y los compar con los objetos HIP y los
perfiles HIP.
Paso 5
1.
Defina los mensajes de notificacin que
vern los usuarios finales cuando se aplique
una regla de poltica con un perfil HIP.
2.
La decisin de cundo mostrar un mensaje
(es decir, si aparece cuando la configuracin 3.
del usuario coincide con un perfil HIP en la
poltica o cuando no coincide), depende en
gran medida de su poltica y de lo que el
usuario entiende por coincidencia (o no
coincidencia) de HIP. Es decir, significa la
coincidencia que se concede total acceso a 4.
los recursos de su red? O significa que tiene
acceso limitado debido a un problema de
incumplimiento?
5.
Por ejemplo, suponga que crea un perfil
HIP para dispositivos cuyos datos no estn 6.
cifrados como exige la poltica de la
empresa. En este caso, puede crear un
7.
mensaje de notificacin HIP para usuarios
que coinciden con el perfil HIP y les indica
que deben habilitar el cifrado de disco para
poder recibir los perfiles de configuracin
que les dan acceso a los recursos de la
empresa. Por el contrario, si su perfil HIP
coincide con los dispositivos que s tengan el
cifrado habilitado, puede crear el mensaje
para aquellos usuarios que no se ajusten al
perfil.
Paso 6
117
Iconos de clips web: si planea implementar clips web para proporcionar accesos directos a sitios web o
aplicaciones basadas en la web, deber importar los iconos de clip web asociados antes de crear las polticas
de configuracin que correspondan. Consulte Importacin de iconos de clip web.
Perfiles de configuracin: Contienen los ajustes de configuracin, restricciones, aplicaciones y clips web
que se enviarn a los dispositivos gestionados durante el registro. Deber crear perfiles de configuracin
distintos para los dispositivos iOS y Android, ya que estos sistemas operativos tienen diferentes
funcionalidades. Si desea detalles de creacin de los perfiles, consulte Creacin de un perfil de configuracin
Android y Creacin de un perfil de configuracin iOS. Tambin puede usar un perfil de configuracin para
automatizar el proceso de configuracin de los dispositivos mviles para conectar con la VPN de
GlobalProtect. Consulte Definicin de una configuracin VPN de GlobalProtect si desea instrucciones
especficas sobre esta configuracin.
Perfiles de aprovisionamiento iOS. Es necesario implementar un perfil de aprovisionamiento para que los
usuarios de iOS puedan iniciar aplicaciones empresariales desarrolladas a nivel interno. Puede crear
configuraciones que le permitan implementar perfiles de aprovisionamiento en dispositivos tal y como se
describe en Importacin de un perfil de aprovisionamiento iOS.
Configuraciones SCEP. Son configuraciones que permiten a los dispositivos iOS usar el protocolo de
inscripcin de certificados simple (SCEP) para obtener certificados de una CA con SCEP, como el servidor
SCEP de Microsoft. El SCEP puede usarse para emitir los certificados de identidad que requiere el gestor
de seguridad mvil o bien para emitir certificados para otros servicios necesarios en el dispositivo. Para
obtener ms informacin, consulte Definicin de una configuracin SCEP.
Despus de crear los perfiles de configuracin que necesite para los dispositivos que gestione el gestor de
seguridad mvil, deber crear las polticas de implementacin que garanticen que las configuraciones se envan
a los dispositivos adecuados. Consulte Creacin de polticas de implementacin para obtener informacin
detallada.
118
Paso 1
Paso 2
Paso 3
1.
2.
3.
4.
119
Paso 1
1.
Paso 2
Paso 3
Paso 4
Introduzca la informacin de
identificacin para la configuracin.
120
1.
2.
3.
4.
1.
2.
1.
2.
Paso 5
Paso 6
(Opcional) Defina restricciones para que Seleccione la pestaa Restricciones de datos de aplicaciones y la
solo determinadas aplicaciones y cuentas
casilla de verificacin correspondiente. A continuacin, seleccione
de un dispositivo puedan usarse para abrir
una o ambas opciones para controlar la funcionalidad Abrir en
datos comerciales de aplicaciones
disponible en aplicaciones y correo electrnico mvil que permite
gestionadas, cuentas o dominios web.
a los usuarios abrir documentos o archivos adjuntos de una
aplicacin o cuenta en un dispositivo mvil desde otra aplicacin o
Para obtener ms informacin acerca de
cuenta.
la restriccin de datos para aplicaciones y
dominios web en dispositivos mviles y Seleccione la pestaa Dominios y habilite Dominios gestionados.
A continuacin, establezca que los documentos abiertos desde un
cmo configurarla, consulte Aislamiento
dominio especfico en el navegador Safari del dispositivo mvil
de datos comerciales.
solo se puedan abrir en aplicaciones o cuentas gestionadas.
Tambin puede habilitar la aplicacin Mail para resaltar todos los
contactos de correo electrnico externos a su red e indicar a los
usuarios de dispositivos mviles que estn redactando un correo
electrnico para un contacto que no forma parte de su dominio
corporativo.
Paso 7
1.
2.
121
Paso 8
3.
122
Paso 9
7.
1.
Paso 10 Aada certificados para enviarlos a los
dispositivos mviles. Pueden ser
2.
certificados que gener en el gestor de
seguridad mvil o certificados que
3.
import de una CA distinta. Puede enviar
cualquier certificado que el dispositivo
vaya a necesitar para conectar con sus
aplicaciones y servicios internos.
1.
Paso 11 Defina un nombre de punto de acceso
(APN) para que el dispositivo mvil lo use
para presentarlo al operador para
2.
identificar el tipo de conexin de red que
suministrar.
1.
2.
123
Paso 1
Paso 2
124
2.
3.
4.
5.
Paso 3
2.
3.
125
Paso 4
Paso 5
1.
(Opcional) Especifique qu trfico de
dispositivo enviar a travs de VPN. Por
defecto, la aplicacin GlobalProtect
tuneliza todo el trfico como se especifica 2.
en su configuracin de cliente del portal
correspondiente. Sin embargo, puede
sobrescribir la configuracin del tnel del
portal definiendo el ajuste de VPN bajo
demanda en la configuracin del gestor de
seguridad mvil.
126
Paso 6
(Opcional) Especifique que el trfico de Seleccione Tipo de VPN y elija una de las siguientes configuraciones
aplicaciones gestionadas solo se tunelice a para el Aislamiento del trfico comercial en un dispositivo mvil:
travs de la VPN.
Seleccione VPN por aplicacin para permitir a las aplicaciones
gestionadas en el dispositivo enrutar todo el trfico a travs de la
VPN por aplicacin es til en
VPN.
entornos donde se gestionan
dispositivos personales (en lugar de Habilite VPN por aplicacin bajo demanda para activar
dispositivos propiedad de la
automticamente una conexin de VPN para aplicaciones
empresa) para garantizar que el
gestionadas cuando estas se inician.
trfico de aplicaciones comerciales
Aada dominios coincidentes para Safari para permitir la
gestionadas atraviesa la VPN,
activacin de una conexin de VPN para un dominio.
mientras que el trfico personal no.
Para obtener ms informacin e
instrucciones detalladas para
configurar VPN por aplicacin,
consulte Aislamiento del trfico
comercial.
Paso 7
Paso 8
1.
2.
3.
Configure las puertas de enlace para usar Complete los siguientes pasos en cada puerta de enlace:
cuando el certificado cliente especificado 1. Importe el certificado CA raz que se us para emitir los
habilite los dispositivos mviles con esta
certificados de dispositivos mviles (el emisor del certificado de
configuracin para establecer las
identidad, la CA del servidor SCEP o el certificado de CA
conexiones HTTPS.
autofirmado del gestor de seguridad mvil en funcin del tipo
de certificado cliente que est usando).
2.
Paso 1
127
Paso 2
1.
2.
3.
4.
5.
6.
128
Paso 3
1.
Paso 5
1.
2.
Configure las puertas de enlace para usar Complete los siguientes pasos en cada puerta de enlace:
cuando el certificado cliente especificado 1. Importe el certificado CA raz que se us para emitir los
habilite los dispositivos mviles con esta
certificados de dispositivos mviles (el emisor del certificado de
configuracin para establecer las
identidad, la CA del servidor SCEP o el certificado de CA
conexiones HTTPS.
autofirmado del gestor de seguridad mvil en funcin del tipo
de certificado cliente que est usando).
2.
129
Paso 1
1.
Paso 2
Paso 3
Introduzca la informacin de
identificacin para la configuracin.
Paso 4
1.
2.
3.
4.
1.
2.
1.
2.
130
Paso 5
1.
Proporcione los ajustes de configuracin
que permiten el acceso del dispositivo a una 2.
o ms redes Wi-Fi.
Si desea informacin detallada sobre cada
campo, consulte la ayuda en lnea.
3.
4.
5.
6.
7.
Paso 6
Establezca los ajustes de configuracin que Seleccione la pestaa VPN y seleccione la casilla de verificacin
permitan al dispositivo acceder a su VPN. correspondiente para empezar a definir ajustes de conexin de la VPN
de GlobalProtect.
Si desea instrucciones especficas sobre cmo crear una configuracin
VPN de GlobalProtect, consulte Definicin de una configuracin
VPN de GlobalProtect.
131
Paso 7
1.
2.
Siga el procedimiento siguiente para importar un perfil de aprovisionamiento iOS en el gestor de seguridad
mvil:
Importacin de un perfil de aprovisionamiento iOS
Paso 1
132
Paso 2
Paso 3
3.
4.
Paso 1
133
Paso 2
Paso 3
2.
134
Paso 4
2.
Paso 5
3.
4.
1.
2.
135
Paso 1
Paso 2
1.
2.
136
Paso 3
2.
3.
Paso 4
Paso 5
137
Paso 1
Paso 2
3.
4.
1.
Descargue la aplicacin.
En dispositivos Android, descargue la aplicacin en Google
Play.
En dispositivos iOS, descargue la aplicacin de App Store.
2.
3.
4.
138
Paso 3
Paso 4
1.
2.
3.
4.
5.
Por ejemplo:
Si ha aplicado el requisito del cdigo de acceso en el dispositivo,
se le pedir que establezca una nueva contrasea en 60 minutos.
Toque Continuar para cambiar/establecer el cdigo de acceso.
Introduzca el cdigo de acceso actual, escriba el nuevo cdigo de
acceso cuando se le solicite y, a continuacin, toque Guardar. El
cuadro de dilogo debe mostrar cualquier requisito que deba
cumplir el nuevo cdigo de acceso.
Si ha aplicado la configuracin Exchange Active Sync en el
dispositivo, compruebe que puede conectar al servidor Exchange
y enviar y recibir correo electrnico.
Si ha aplicado una configuracin VPN de GlobalProtect,
compruebe que el dispositivo puede establecer una conexin de
VPN.
Pruebe cualquier clip web que haya aplicado en el dispositivo y
compruebe que puede conectarse a las URL asociadas.
Si ha aplicado restricciones en el dispositivo, compruebe que no
puede realizar las acciones restringidas.
139
Paso 5
Paso 6
140
1.
2.
3.
Cuenta de administrador local con autenticacin local: tanto las credenciales de la cuenta de
administrador como los mecanismos de autenticacin son locales para el dispositivo. Puede aadir un nivel
de proteccin adicional a la cuenta del administrador local creando un perfil de contrasea que defina un
perodo de validez para las contraseas y estableciendo ajustes de complejidad de la contrasea para todo el
dispositivo. Con este tipo de cuenta no necesita realizar ninguna tarea de configuracin para poder crear la
cuenta administrativa. Vaya a Creacin de una cuenta administrativa.
Cuenta de administrador local con autenticacin externa: las cuentas de administrador se gestionan en
el cortafuegos local, pero las funciones de autenticacin se derivan a un servicio LDAP, Kerberos o RADIUS
existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticacin que defina el modo
de acceso al servicio de autenticacin externa y despus crear una cuenta para cada administrador que haga
referencia al perfil. Consulte Creacin de un perfil de autenticacin para obtener instrucciones sobre cmo
configurar el acceso a servicios de autenticacin externos.
Cuenta de administrador local con autenticacin basada en certificado: con esta opcin, puede crear
las cuentas de administrador en el dispositivo, pero la autenticacin se basa en certificados SSH (para acceso
a CLI) o certificados de cliente/tarjetas de acceso comn (para la interfaz web). Consulte Activacin de la
autenticacin basada en certificado para la interfaz web o Activacin de la autenticacin basada en certificado
de SSH para la interfaz de la lnea de comandos para ver las instrucciones.
141
Paso 1
Paso 2
Paso 3
142
1.
2.
3.
4.
5.
1.
2.
3.
4.
Paso 1
Paso 2
4.
5.
1.
2.
3.
Paso 3
1.
Configure el gestor de seguridad mvil
para que utilice el perfil de certificado del
cliente para la autenticacin
administrativa.
2.
3.
143
Paso 4
1.
2.
3.
Paso 5
4.
5.
6.
1.
2.
Paso 6
144
Paso 7
Paso 8
3.
4.
2.
3.
Paso 1
145
Paso 2
1.
2.
3.
4.
5.
6.
7.
Paso 3
Paso 4
Funciones dinmicas. Funciones integradas que proporcionan acceso como superusuario, superusuario (de
solo lectura) o administrador de dispositivos al gestor de seguridad mvil. Con las funciones dinmicas solo tendr
que preocuparse de actualizar las definiciones de funcin, ya que se aaden nuevas caractersticas cuando las
funciones se actualizan automticamente.
Perfiles de funcin de administrador: Le permiten crear sus propias definiciones de funcin para ofrecer un
control de acceso ms granular a las diversas reas funcionales de la interfaz web, CLI o API XML. Por ejemplo,
podra crear un perfil de funcin de administrador para su personal de operaciones que proporcione acceso a las
reas de configuracin de red y dispositivo de la interfaz web y un perfil separado para los administradores de
seguridad que proporcione acceso a la definicin de poltica de seguridad, logs e informes. Tenga en cuenta que
con los perfiles de funcin de administrador deber actualizar los perfiles para asignar privilegios de forma explcita
para nuevos componentes/caractersticas que se aadan al producto.
146
El siguiente ejemplo muestra el modo de crear una cuenta de administrador local con autenticacin local:
Creacin de una cuenta administrativa
Paso 1
Si pretende usar perfiles de funciones de Complete los siguientes pasos para cada funcin que desee crear:
administrador en lugar de funciones
1. Seleccione Configuracin > Funciones de administrador y, a
dinmicas, cree los perfiles que definan
continuacin, haga clic en Aadir.
qu tipo de acceso, de haberlo, se dar a 2. En las pestaas Interfaz web o API XML, establezca los niveles
las diferentes secciones de la interfaz
de acceso para cada rea funcional de la interfaz haciendo clic en
web, CLI y API XML para cada
el icono para cambiarlo al ajuste deseado:
administrador asignado a la funcin.
Habilitar
Solo lectura
Deshabilitar
Se recomienda restringir la accin de borrado de
dispositivo a solo uno o dos administradores muy
familiarizados con el gestor de seguridad mvil para
garantizar que los dispositivos de usuarios finales no se
borran por accidente.
Paso 2
3.
4.
147
Paso 3
2.
3.
Paso 4
148
4.
5.
6.
149
Preetiquetado de dispositivos
Paso 1
150
1.
2.
3.
4.
Paso 2
1.
2.
3.
4.
5.
Paso 3
Guarde la configuracin.
Preetiquetado de dispositivos
Para simplificar las polticas de administracin de dispositivos proporcionados por la empresa, puede
preetiquetar los dispositivos de empresa compilando una lista de nmeros de serie para los dispositivos con
formato de archivo de valores separados por comas (CSV) y, a continuacin, importndola desde el gestor de
seguridad mvil. Por defecto, a los dispositivos importados se les asigna la etiqueta "Importado". Tiene la
opcin de aadir una segunda columna a su archivo CSV/XLS para el nombre de etiqueta si quiere especificar
cualquier etiqueta adicional con el fin de asignarla a dispositivos importados; por ejemplo, si tiene diferentes
niveles de acceso para diferentes grupos de usuarios que reciben dispositivos de empresa. No tiene que asignar
la misma etiqueta a todos los dispositivos importados.
151
Paso 1
Paso 2
Paso 3
152
1.
2.
3.
153
Use la pestaa Dispositivos para ver estadsticas La pestaa Dispositivos muestra informacin acerca de los
de dispositivos detalladas acerca de los
dispositivos que gestiona actualmente el gestor de seguridad mvil y
dispositivos gestionados (o gestionados
los dispositivos mviles que ha gestionado en el pasado.
previamente).
Consejos:
Seleccione un filtro predefinido de la lista
Filtros.
154
155
156
Examine los informes integrados o cree informes Seleccione Supervisar > Informes. Para ver los informes, haga clic
personalizados.
en los nombres de informes en la parte derecha de la pgina
(Informes de aplicacin, Informes de dispositivo e Informes de
El gestor de seguridad mvil proporciona
resumen en PDF).
diversos informes de las estadsticas de 50
dispositivos principales, bien del da anterior,
bien de un da seleccionado de la semana anterior.
De forma predeterminada, aparecen todos los
informes del da de calendario anterior. Para ver
informes de cualquiera de los das anteriores,
seleccione una fecha de creacin de informe en el
calendario de la parte inferior de la pgina.
Los informes aparecen en secciones. Puede
visualizar la informacin en cada informe del
perodo de tiempo seleccionado. Para exportar el
log en formato CSV, haga clic en Exportar a CSV.
Para abrir la informacin de log en formato PDF,
haga clic en Exportar a PDF. Los archivos en
PDF se abren en una nueva ventana. Haga clic en
los iconos en la parte superior de la ventana para
imprimir o guardar el archivo.
Supervise el ACC en el cortafuegos que aloja la Desde la interfaz web del cortafuegos que aloja la puerta de enlace
de GlobalProtect, seleccione ACC y consulte la seccin
puerta de enlace de GlobalProtect. O bien,
supervise el ACC en Panorama para obtener una Coincidencias HIP.
vista global de los datos de coincidencia HIP en
todas las puertas de enlace de GlobalProtect
gestionadas.
157
Eliminacin de dispositivos
Paso 1
1.
2.
158
Paso 2
Bloquee el dispositivo.
Elimine el acceso a sistemas corporativos y borre Si cree que el dispositivo puede estar en posesin de alguien que no
los datos corporativos.
es de confianza, pero el usuario no quiere que borre sus datos
personales, puede hacer el clic en Borrado selectivo.
Se eliminarn todos los perfiles que permitieron el acceso a sus
sistemas corporativos y las aplicaciones enviadas al dispositivo desde
el gestor de seguridad mvil, incluido cualquier dato asociado a esas
aplicaciones. La accin Borrado selectivo conserva en el dispositivo
las configuraciones y las aplicaciones que no fueron enviadas desde
el gestor de seguridad mvil.
159
Eliminacin de dispositivos
Aunque los usuarios finales pueden desapuntarse manualmente de la aplicacin del Gestor de seguridad mvil
de GlobalProtect, como administrador tambin puede desapuntar dispositivos mediante OTA. Esta opcin es
til cuando un empleado ha abandonado la empresa sin desapuntar su dispositivo personal del gestor de
seguridad mvil. Para desapuntar dispositivos, seleccione los dispositivos que quiere eliminar en la pestaa
Dispositivos y siga una de las dos opciones siguientes:
Eliminacin de dispositivos desde gestin
Desapuntar dispositivos.
Eliminar dispositivos.
160
Paso 1
161
Paso 2
Paso 3
Paso 4
162
163
El gestor de seguridad mvil le ofrece una visibilidad y un control continuo de las aplicaciones, cuentas y datos
comerciales en los dispositivos donde est instalado, y le permite al mismo tiempo preservar la intimidad de los
usuarios y la experiencia mvil nativa.
La creacin de una tienda de aplicaciones empresariales en el gestor de seguridad mvil incluye los siguientes
pasos y opciones:
164
Adicin de aplicaciones de Google Play o Apple, adems de establecer como requisito que estn
gestionadas para que se puedan usar con fines comerciales desde un dispositivo mvil.
Adiciones de aplicaciones del PCV como aplicaciones gestionadas para sincronizar su cuenta del PCV con
el gestor de seguridad mvil, lo que le permite comprar y, a continuacin, distribuir aplicaciones a grupos
de usuarios.
Aislamiento del trfico comercial y Aislamiento de datos comerciales para proteger y contener los datos
comerciales en aplicaciones y cuentas comerciales. Los datos personales y el trfico de red pueden
funcionar por separado y de forma privada.
Configuracin de la tienda de aplicaciones para distribuir aplicaciones gestionadas a los usuarios asignados.
165
Aplicaciones gestionadas
Aplicaciones gestionadas
Una aplicacin gestionada es una aplicacin que tiene como requisito o recomendacin por su parte el ser
gestionada por el gestor de seguridad mvil para que sus usuarios puedan utilizar de forma segura con fines
comerciales en sus dispositivos mviles. Puede asignar aplicaciones gestionadas a usuarios, grupos o dispositivos
especficos, o bien distribuirlas cmodamente a un grupo ms amplio de usuarios. El administrador de la red
comunica de manera explcita la condicin de aplicacin gestionada a los usuarios; la primera vez que enve una
aplicacin requerida a un dispositivo, el usuario ver un mensaje que le solicitar reconocimiento y confirmacin
de la instalacin de la aplicacin como aplicacin gestionada.
Puede aadir aplicaciones empresariales, aplicaciones pblicas (de la tienda App Store de Apple o Google Play)
o aplicaciones compradas (del Programa de compras por volumen de Apple (PCV)) como aplicaciones
gestionadas. Aada aplicaciones gestionadas al gestor de seguridad mvil que quiere usar como herramienta
comercial o que cree que tiene probabilidades de ser usada para productividad y colaboracin ocupacional o
educativa. Gestionar las aplicaciones que aade al gestor de seguridad mvil permite proteger los datos
corporativos contenidos o compartidos entre las aplicaciones usadas con fines comerciales.
Tras aadir una aplicacin gestionada al gestor de seguridad mvil, puede:
Agrupar la aplicacin con otras aplicaciones para enviarlas fcilmente a los usuarios con la misma
configuracin de seguridad
Evitar que la aplicacin haga copias de seguridad de los datos en iCloud o iTunes
Permitir que la aplicacin comparta datos solamente con otras aplicaciones y cuentas gestionadas
Permitir que la aplicacin abra datos solamente de otras aplicaciones y cuentas gestionadas
Adems, designar las aplicaciones como gestionadas le permite distinguir de manera efectiva y aplicar de manera
apropiada diferentes tratamientos a las aplicaciones que no estn gestionadas en el dispositivo de un usuario. Las
aplicaciones instaladas en dispositivos inscritos que no estn gestionados se identifican como aplicaciones no
gestionadas. Puede elegir excluir la recopilacin de datos de aplicaciones no gestionadas o borrar un dispositivo
de manera selectiva para eliminar la configuracin y las aplicaciones corporativas dejando intactas las
166
Defina una aplicacin como obligatoria para especificar que debe estar gestionada en un dispositivo mvil para
que accedan a recursos corporativos y para usarlos de forma colaborativa para trabajar. Si se instala una versin
no gestionada de una aplicacin obligatoria en un dispositivo gestionado, puede avisar al usuario para que
elimine la versin no gestionada de la aplicacin y que pueda as instalar la versin comercial gestionada
correctamente (seleccione Configuracin > Configuracin > Servidor > Configuracin de notificaciones de
cuentas/aplicaciones gestionadas). La versin gestionada de la aplicacin no se instalar hasta que se elimine la
versin no gestionada de la misma. Cuando el usuario elimine la versin no gestionada de la aplicacin, se
instalar automticamente la versin gestionada de la misma la prxima vez que se registre el dispositivo.
Tambin puede seleccionar que una aplicacin gestionada sea opcional para sus usuarios. Las aplicaciones
opcionales no se instalan automticamente en los dispositivos inscritos. Los usuarios pueden abrir la aplicacin
GlobalProtect y seleccionar Opcionales para examinar las aplicaciones opcionales recomendadas para ellos y
elegir las que quieren instalar en su dispositivo mvil. En las siguientes imgenes se muestra el men Opcionales
como seleccionado en la aplicacin GlobalProtect para iOS (izquierda) y Android (derecha):
Defina una aplicacin como opcional para sus usuarios para recomendrsela como recurso comercial.
167
168
Paso 1
169
Paso 2
2.
3.
170
Paso 3
Paso 4
Paso 5
171
Paso 1
1.
2.
3.
4.
Paso 2
Paso 3
Sincronizacin de los recursos del PCV de Apple con el gestor de seguridad mvil
172
Sincronizacin de los recursos del PCV de Apple con el gestor de seguridad mvil
Siga este procedimiento para permitir que las compras realizadas con sus cuentas del PCV se sincronicen con
el gestor de seguridad mvil. Tras esto, podr distribuir fcilmente a sus usuarios las compras realizadas en
grandes cantidades.
Sincronizacin de los recursos del PCV de Apple con el gestor de seguridad mvil
Paso 1
Paso 2
Paso 3
La tienda del PCV ofrece una interfaz web para la integracin con
MDM. Una vez haya iniciado sesin en la tienda del PCV, vaya a
Resumen de la cuenta y descargue un token para enlazar el gestor de
seguridad mvil con su cuenta de PCV.
2.
3.
Paso 2.
La poltica de Apple requiere un nuevo token una vez al
ao.
Paso 4
Paso 5
Paso 6
173
2.
3.
4.
5.
6.
Invite a los usuarios seleccionados a inscribirse en el 1.
PCV independientemente de la implementacin de
la poltica.
2.
3.
Revoque al usuario el acceso y el uso de todos los 1.
recursos del PCV.
174
Compile la configuracin.
2.
3.
Paso 1
Paso 2
1.
2.
3.
4.
Si un grupo de aplicaciones
contiene aplicaciones tanto de iOS
como de Android, las aplicaciones
se envan en funcin del sistema
operativo del dispositivo: Las
aplicaciones de Android se envan
a dispositivos Android y las
aplicaciones de iOS se envan a
dispositivos iOS.
175
Paso 3
Aada la aplicacin gestionada a un perfil Use un perfil de configuracin de Android para aplicaciones de Android:
de configuracin.
1. Seleccione Polticas > Configuracin > Android y Aada un
nuevo perfil de configuracin de Android o seleccione un perfil
Use el perfil de configuracin para
existente para modificarlo.
configurar ajustes de seguridad para la
2. En la pestaa Aplicaciones, haga clic en Aadir y seleccione una
aplicacin, entre los que se incluyen la
aplicacin de la lista de aplicaciones gestionadas.
habilitacin de VPN por aplicacin o la
deshabilitacin de la aplicacin de los
datos de copias de seguridad.
3.
4.
5.
176
3.
Paso 4
4.
1.
2.
3.
4.
Paso 5
177
Seleccione Dispositivos:
La columna Aplicaciones gestionadas muestra las aplicaciones
instaladas gestionadas para cada entrada.
Seleccione los detalles de entrada de cualquier dispositivo. El
informe HIP muestra una lista de aplicaciones instaladas en el
dispositivo seleccionado que estn gestionadas. Aplicaciones
instaladas: gestionadas
3.
178
2.
179
2.
3.
180
Paso 1
Paso 2
1.
2.
181
Paso 4
1.
2.
3.
Paso 5
4.
1.
Paso 6
Siguientes pasos...
2.
1.
2.
182
Paso 1
1.
2.
Paso 2
183
Paso 3
Paso 4
Paso 5
Siguientes pasos...
1.
2.
184
Habilite funciones como Voz en off, Zoom, Leer seleccin o Assistive Touch para facilitar el uso de la
aplicacin (puede ser til si las funciones de hardware estn deshabilitadas y quiere continuar ofreciendo a
los usuarios un uso limitado de las funcionalidades).
Puede habilitar o deshabilitar cualquier configuracin de bloqueo de aplicaciones de manera selectiva para
garantizar que un dispositivo y la aplicacin especfica se utilizan para un fin concreto en un entorno controlado.
Use el siguiente procedimiento para habilitar el modo de aplicacin nica en uno o varios dispositivos al mismo
tiempo.
Habilitacin del modo de aplicacin nica
Paso 1
185
Paso 2
1.
2.
4.
5.
186
1.
2.
3.
Paso 4
4.
5.
Compile la configuracin.
187
188
189
Cmo usa la puerta de enlace la informacin del host para aplicar las polticas
Cmo pueden saber los usuarios si sus sistemas cumplen los requisitos?
190
Datos recopilados
General
Informacin acerca del propio host, incluido el nombre del host, el dominio de inicio
de sesin, el sistema operativo, la versin del cliente y, para sistemas Windows, el
dominio al que pertenece el equipo.
Para el dominio de clientes de Windows, el agente de GlobalProtect recopila el
dominio definido para ComputerNameDnsDomain, que es el dominio DNS
asignado al ordenador local o el clster asociado al equipo local. Esta
informacin es la que se muestra para el dominio de clientes de Windows en los
detalles de log de Coincidencias HIP (Supervisar > Coincidencias HIP).
Administracin de parches
Cortafuegos
Antivirus
Antispyware
Cifrado de disco
Informacin acerca de si est instalado el software de cifrado del disco, las unidades o
rutas configuradas para el cifrado y el proveedor y el nombre de producto del software.
Dispositivos mviles
191
Puede excluir la recopilacin de ciertas categoras de informacin en determinados hosts (para evitar ciclos de
CPU y mejorar el tiempo de respuestas del cliente). Para ello, cree una configuracin en el portal donde se
excluyan las categoras que no le interesen. Por ejemplo, si no tiene pensado crear una poltica basada en que los
sistemas del cliente ejecuten o no software de copia de seguridad, puede excluir esta categora y el agente no
recopilar informacin acerca de copias de seguridad.
Tambin puede optar por excluir la recopilacin de informacin de dispositivos personales para respetar la
intimidad del usuario. Aqu se puede excluir la ubicacin del dispositivo y una lista de aplicaciones instaladas en
el dispositivo que no estn gestionadas por el gestor de seguridad mvil (aplicaciones personales). Use el gestor
de seguridad mvil para excluir estos dos tipos de informacin de la informacin recopilada de los dispositivos
mviles (Polticas > Informacin de host > Recopilacin de datos).
Cmo usa la puerta de enlace la informacin del host para aplicar las
polticas
Mientras el agente obtiene informacin acerca de la informacin que debe recopilar de la configuracin del
cliente descargada desde el portal, puede definir qu atributos le interesa supervisar o usar para la aplicacin de
la poltica mediante la creacin de objetos HIP y perfiles HIP en la puerta o puertas de enlace.
Objetos HIP: Proporcionan los criterios de coincidencia que filtran la informacin de host que est
interesado en utilizar para aplicar la poltica a partir de los datos sin formato de los que ha informado el
agente. Por ejemplo, aunque los datos de host sin formato pueden incluir informacin sobre varios paquetes
antivirus instalados en el cliente, puede que solo est interesado en una aplicacin concreta que necesite en
su organizacin. En este caso, creara un objeto HIP que coincidiera la aplicacin especfica que est
interesado en aplicar.
La mejor forma de determinar qu objetos HIP necesita es determinar cmo utilizar la informacin de host
que recopila para aplicar la poltica. Tenga en cuenta que los objetos HIP son solo los ladrillos que le
permiten crear los perfiles HIP que se utilizan en sus polticas de seguridad. Por lo tanto, puede que desee
mantener la sencillez de sus objetos, de forma que solo coincidan con un elemento, como la presencia de un
tipo concreto de software necesario, la pertenencia a un dominio especfico o la presencia de un SO cliente
determinado. De este modo, tendr la flexibilidad de crear una poltica aumentada HIP muy granular (y muy
potente).
Perfiles HIP: Una coleccin de objetos HIP que deben evaluarse en conjunto, para supervisin o para la
aplicacin de polticas de seguridad. Cuando crea sus perfiles HIP, puede combinar objetos HIP que haya
creado previamente (as como otros perfiles HIP) usando lgica booleana como la que se usa cuando un
flujo de trfico se evala con respecto al perfil HIP resultante con el que tendr, o no, coincidencia. Si
coincide, la regla de poltica correspondiente se aplicar; si no coincide, el flujo se evaluar con respecto a la
siguiente regla, como con cualquier otro criterio de coincidencia de poltica.
A diferencia de un log de trfico, que solo crea una entrada de log si hay una coincidencia de poltica, el log de
coincidencias HIP genera una entrada siempre que los datos sin procesar enviados por un agente coincidan con
un objeto HIP o un perfil HIP que haya definido. Por este motivo, el log de coincidencias HIP es un buen
recurso para supervisar el estado de los hosts en su red a lo largo del tiempo, antes de adjuntar sus perfiles HIP
a polticas de seguridad, para ayudarle a determinar exactamente qu polticas cree que necesitan aplicarse.
Consulte Configuracin de la aplicacin de polticas basadas en HIP para obtener informacin sobre cmo crear
objetos HIP y perfiles HIP y usarlos como criterio de coincidencia de polticas.
192
Cmo pueden saber los usuarios si sus sistemas cumplen los requisitos?
Por defecto, los usuarios finales no reciben informacin acerca de decisiones de polticas tomadas como
consecuencia de la aplicacin de una regla de seguridad HIP. Sin embargo, puede habilitar esta funcionalidad
definiendo que se muestren mensajes de notificacin HIP cuando un perfil HIP concreto coincida o no.
La decisin de cundo mostrar un mensaje (es decir, si aparece cuando la configuracin del usuario coincide con
un perfil HIP en la poltica o cuando no coincide), depende en gran medida de su poltica y de lo que el usuario
entiende por coincidencia (o no coincidencia) de HIP. Es decir, significa la coincidencia que se concede total
acceso a los recursos de su red? O significa que tiene acceso limitado debido a un problema de incumplimiento?
Por ejemplo, imagnese estas situaciones:
Crea un perfil HIP que coincide si el antivirus requerido por la empresa y los paquetes de software
antispyware no estn instalados. En este caso, tal vez quiera crear un mensaje de notificacin HIP para los
usuarios que coincidan con el perfil HIP que les avise de que necesitan instalar el software (y, de manera
opcional, les proporcione un enlace al recurso compartido de archivos, donde podrn acceder al instalador
del software correspondiente).
Crea un perfil HIP que coincide si esas mismas aplicaciones estn instaladas, y quizs quiera crear el mensaje
para usuarios que no coincidan con el perfil y dirigirlos a la ubicacin del paquete de instalacin.
Consulte Configuracin de la aplicacin de polticas basadas en HIP para obtener informacin sobre cmo crear
objetos HIP y perfiles HIP y usarlos para definir mensajes de notificacin HIP.
193
Paso 1
Paso 2
1.
2.
3.
4.
194
Paso 3
5.
6.
7.
1.
2.
3.
4.
5.
6.
7.
8.
9.
195
Paso 4
1.
Repita este paso para cada categora que quiera comparar con este
objeto. Para obtener ms informacin, consulte Tabla: Categoras
de recopilacin de datos.
196
4.
5.
Repita estos pasos para crear cada objeto HIP adicional que
necesite.
6.
Paso 5
1.
5.
6.
7.
8.
Repita estos pasos para crear cada perfil HIP adicional que
necesite.
9.
197
Paso 6
Paso 7
1.
Habilite User-ID (ID de usuario) en las
zonas de origen que contengan los usuarios 2.
de GlobalProtect que enviarn solicitudes
que requieran controles de acceso basados
3.
en HIP. Debe habilitar User-ID incluso
aunque no piense usar la funcin de
identificacin de usuarios, ya que de lo
contrario el cortafuegos no generar
ninguna entrada de coincidencia HIP.
198
Paso 8
Paso 9
199
1.
Paso 10 Defina los mensajes de notificacin que
vern los usuarios finales cuando se aplique
una regla de seguridad con un perfil HIP.
La decisin de cundo mostrar un mensaje
(es decir, si aparece cuando la configuracin
del usuario coincide con un perfil HIP en la
poltica o cuando no coincide), depende en
gran medida de su poltica y de lo que el
usuario entiende por coincidencia (o no
coincidencia) de HIP. Es decir, significa la
coincidencia que se concede total acceso a
los recursos de su red? O significa que tiene
acceso limitado debido a un problema de
incumplimiento?
2.
3.
4.
5.
200
8.
9.
Filtre el log para mostrar solo el trfico que coincida con la regla
que tiene adjunto el perfil HIP que le interesa supervisar. Por
ejemplo, para buscar trfico que coincida con una regla de
seguridad con el nombre "Apps iOS" debera introducir ( rule
eq 'Apps iOS' ) en el cuadro de texto de filtro del siguiente
modo:
201
202
Paso 1
2.
203
Paso 2
1.
2.
Paso 3
Paso 4
204
Paso 5
1.
2.
3.
5.
3.
4.
5.
205
Paso 6
1.
(Opcional) Cree un perfil HIP para
permitir que el objeto HIP que ha creado 2.
en el Paso 5 sea evaluado con respecto al
trfico.
3.
El perfil HIP se puede aadir a una
poltica de seguridad como una
comprobacin adicional del trfico que 4.
coincide con la poltica. Al buscar
coincidencias entre el trfico y el perfil
HIP, la poltica de seguridad se aplicar al
trfico.
Paso 1
206
Configuraciones rpidas de
GlobalProtect
En la siguiente seccin se proporcionan instrucciones detalladas para configurar algunas implementaciones
globales de GlobalProtect:
207
El siguiente procedimiento proporciona los pasos de configuracin para este ejemplo. Tambin puede ver el
vdeo.
Configuracin rpida: Acceso remoto de VPN
Paso 1
208
Paso 2
Paso 3
Paso 4
209
Paso 5
Paso 6
Configuracin de una puerta de enlace de Seleccione Red > GlobalProtect > Portales y aada la siguiente
configuracin:
GlobalProtect.
Interfaz: ethernet1/2
Direccin IP: 199.21.7.42
Certificado de servidorGP-server-cert.pem emitido por Go Daddy
Perfil de autenticacin: Corp-LDAP
Interfaz de tnel: tunnel.2
Grupo de IP: 10.31.32.3 - 10.31.32.118
Paso 7
Go Daddy
Perfil de autenticacin: Corp-LDAP
2.
Paso 8
Paso 9
210
Esta configuracin rpida utiliza la misma topologa que la Ilustracin: VPN de GlobalProtect para acceso
remoto. La nica diferencia de configuracin es que, en lugar de autenticar a los usuarios con respecto a un
servidor de autenticacin, esta configuracin utiliza solo la autenticacin del certificado de cliente.
Configuracin rpida: Acceso remoto de VPN con autenticacin de certificado de cliente
Paso 1
configuraciones de la interfaz eviten Cree un registro "A" DNS que asigne la direccin IP 199.21.7.42 a
gp.acme.com.
tener que crear el enrutamiento entre
zonas.
Seleccione Red > Interfaces > Tnel y aada la interfaz tnel.2 y
adala a una nueva zona llamada corp-vpn. Asgnela al enrutador
virtual predeterminado.
Habilite la identificacin de usuario en la zona corp-vpn.
211
Configuracin rpida: Acceso remoto de VPN con autenticacin de certificado de cliente (Continuacin)
Paso 2
1.
2.
Paso 3
Paso 4
Paso 5
1.
2.
1.
GP-client-cert.
212
2.
3.
Configuracin rpida: Acceso remoto de VPN con autenticacin de certificado de cliente (Continuacin)
Paso 6
Configuracin de una puerta de enlace de Seleccione Red > GlobalProtect > Puertas de enlace y aada la
GlobalProtect.
siguiente configuracin:
Consulte el diagrama de topologa que se Interfaz: ethernet1/2
muestra en la Ilustracin: VPN de
Direccin IP: 199.21.7.42
GlobalProtect para acceso remoto.
Daddy
Perfil del certificado GP-client-cert
Interfaz de tnel: tunnel.2
Grupo de IP: 10.31.32.3 - 10.31.32.118
Paso 7
Daddy
Perfil del certificado GP-client-cert
2.
Paso 8
Paso 9
213
Si el perfil del certificado no especifica ningn campo de nombre de usuario (es decir, Campo de nombre de
usuario est definido como Ninguno), el certificado de cliente no necesitar contar con un nombre de usuario.
En este caso, el cliente debe proporcionar el nombre de usuario cuando autentique con este perfil de
autenticacin.
Si el perfil del certificado especifica un campo de nombre de usuario, el certificado que presenta el cliente
debe contener un nombre de usuario en el campo correspondiente. Por ejemplo, si el perfil del certificado
especifica que el campo del nombre de usuario es el asunto, el certificado presentado por el cliente debe
contener un valor en el campo de nombre comn o la autenticacin fallar. Adems, cuando se necesite el
campo del nombre de usuario, el valor del campo de nombre de usuario del certificado se cumplimentar
automticamente con el nombre de usuario cuando el usuario trate de introducir la autenticacin en el perfil
de autenticacin. Si no quiere obligar a los usuarios a autenticar con un nombre de usuario del certificado,
no especifique ningn campo de nombre de usuario en el perfil del certificado.
Esta configuracin rpida utiliza la misma topologa que la Ilustracin: VPN de GlobalProtect para acceso
remoto. Sin embargo, en esta configuracin, los clientes deben autenticar con un perfil de certificado y un perfil
de autenticacin. Para obtener ms detalles sobre un tipo especfico de autenticacin de dos factores, consulte
los siguientes temas:
214
Paso 1
configuraciones de la interfaz eviten Cree un registro "A" DNS que asigne la direccin IP 199.21.7.42 a
gp.acme.com.
tener que crear el enrutamiento
entre zonas.
Seleccione Red > Interfaces > Tnel y aada la interfaz tnel.2 y
adala a una nueva zona llamada corp-vpn. Asgnela al enrutador
virtual predeterminado.
Habilite la identificacin de usuario en la zona corp-vpn.
Paso 2
1.
2.
Paso 3
Paso 4
2.
215
Configuracin rpida: Acceso remoto de VPN con autenticacin de dos factores (Continuacin)
Paso 5
1.
2.
3.
Paso 6
Paso 7
216
Configuracin rpida: Acceso remoto de VPN con autenticacin de dos factores (Continuacin)
Paso 8
Configuracin de una puerta de enlace de Seleccione Red > GlobalProtect > Puertas de enlace y aada la
GlobalProtect.
siguiente configuracin:
Consulte el diagrama de topologa que se Interfaz: ethernet1/2
muestra en la Ilustracin: VPN de
Direccin IP: 199.21.7.42
GlobalProtect para acceso remoto.
Go Daddy
Perfil del certificado GP-client-cert
Perfil de autenticacin: Corp-LDAP
Interfaz de tnel: tunnel.2
Grupo de IP: 10.31.32.3 - 10.31.32.118
Paso 9
Go Daddy
Perfil del certificado GP-client-cert
Perfil de autenticacin: Corp-LDAP
2.
Paso 11 (Optativo) Permita el uso de la aplicacin Compre e instale una suscripcin a GlobalProtect Gateway
mvil de GlobalProtect.
(Dispositivo > Licencias) para habilitar el uso de la aplicacin.
Paso 12 Guarde la configuracin de
GlobalProtect.
217
Para cambiar a cualquier configuracin de VPN de acceso remoto anterior en una configuracin "siempre
activada", solo tiene que cambiar el mtodo de conexin:
1.
Seleccione Red > GlobalProtect > Portales y seleccione la configuracin de portal para abrirla.
2.
Seleccione la pestaa Configuracin clientes y, a continuacin, seleccione la configuracin de cliente que desea modificar.
3.
Seleccione Inicio de sesin de usuario como mtodo de conexin. Repita esto para cada una de las configuraciones del
cliente.
4.
Haga clic en ACEPTAR dos veces para guardar la configuracin de cliente y la de portal y, a continuacin, compile el
cambio.
218
Con el modo anterior al inicio de sesin, cuando un agente se conecta al portal por primera vez, el usuario final
debe autenticar (mediante el perfil de autenticacin o un perfil de certificado configurado para validar un
certificado de cliente que contiene un nombre de usuario). Una vez que la autenticacin finaliza con xito, el
portal aplica la configuracin del cliente al agente junto con una cookie que se utilizar para la autenticacin de
portal con el objetivo de recibir una actualizacin de configuracin. Entonces, cuando un sistema de cliente trata
de conectar en modo anterior al inicio de sesin, utilizar la cookie para autenticarse en el portal y recibir su
configuracin de cliente anterior al inicio de sesin. En ese momento, se conectar a la puerta de enlace
especificada en la configuracin y autenticar usando su certificado de mquina (segn se especifica en un perfil
de certificado configurado en la puerta de enlace) y establecer el tnel de VPN.
Cuando el usuario final inicia sesin posteriormente en el ordenador, si se habilita el registro nico (SSO) en la
configuracin del cliente, el nombre de usuario y la contrasea se capturarn cuando el usuario inicie sesin y
se usarn para autenticar la puerta de enlace, por lo que puede cambiarse el nombre del tnel (Windows). Si SSO
no est habilitado en la configuracin del cliente o si SSO no es compatible con el sistema del cliente (por
ejemplo, si es un sistema Mac OS) las credenciales del usuario debern guardarse en el agente (es decir, la casilla
de verificacin Recordarme debe estar seleccionada en el agente). Tras una autenticacin correcta en la puerta
de enlace, el tnel cambiar de nombre (Windows) o se generar de nuevo (Mac) y se podr aplicar la poltica
basada en el usuario o en el grupo.
219
Este ejemplo utiliza la topologa de GlobalProtect que se muestra en Ilustracin: VPN de GlobalProtect para
acceso remoto.
Configuracin rpida: VPN de acceso remoto con funcin anterior al inicio de sesin
Paso 1
configuraciones de la interfaz eviten Cree un registro "A" DNS que asigne la direccin IP 199.21.7.42 a
gp.acme.com.
tener que crear el enrutamiento
entre zonas.
Seleccione Red > Interfaces > Tnel y aada la interfaz tnel.2 y
adala a una nueva zona llamada corp-vpn. Asgnela al enrutador
virtual predeterminado.
Habilite la identificacin de usuario en la zona corp-vpn.
220
Configuracin rpida: VPN de acceso remoto con funcin anterior al inicio de sesin (Continuacin)
Paso 2
Paso 3
Paso 4
1.
Genere un certificado de mquina para
cualquier sistema cliente que se conecte a
GlobalProtect e imprtelos al almacn de 2.
certificados personales de cada mquina.
Aunque podra generar certificados
autofirmados para cada sistema cliente,
recomendamos utilizar su propia
infraestructura de clave pblica (PKI)
para emitir y distribuir certificados para
sus clientes.
221
Configuracin rpida: VPN de acceso remoto con funcin anterior al inicio de sesin (Continuacin)
Paso 5
1.
2.
Paso 7
222
1.
En todos los cortafuegos que alojan una
puerta de enlace de GlobalProtect, cree un
perfil de certificado para identificar qu
certificado de CA utilizar para validar los
certificados de mquina cliente.
2.
Configuracin de una puerta de enlace de Seleccione Red > GlobalProtect > Puertas de enlace y aada la
siguiente configuracin:
GlobalProtect.
Consulte el diagrama de topologa que se
muestra en la Ilustracin: VPN de
GlobalProtect para acceso remoto.
Interfaz: ethernet1/2
Configuracin rpida: VPN de acceso remoto con funcin anterior al inicio de sesin (Continuacin)
Paso 8
Paso 9
Guarde la configuracin de
GlobalProtect.
Interfaz: ethernet1/2
Direccin IP: 199.21.7.42
Certificado de servidorGP-server-cert.pem emitido por
Go Daddy
Perfil del certificado: Ninguno
Perfil de autenticacin: Corp-LDAP
3.
223
224
Paso 1
2.
Tambin necesitar una suscripcin
de puerta de enlace de
3.
GlobalProtect en todas las puertas
de enlace si tiene usuarios que
4.
utilizarn la aplicacin
GlobalProtect en sus dispositivos
mviles o si planea utilizar la
poltica de seguridad HIP.
Paso 3
225
Paso 4
Paso 5
Defina cmo autenticar a los usuarios en el Puede utilizar cualquier combinacin de perfiles de certificado o perfiles
portal y las puertas de enlace.
de autenticacin como sea necesario para garantizar la seguridad del
portal y las puertas de enlace. Los portales y las puertas de enlace
individuales tambin pueden utilizar distintos esquemas de
autenticacin. Consulte las siguientes secciones para obtener
instrucciones detalladas:
Configuracin de autenticacin externa (perfil de autenticacin)
Configuracin de la autenticacin de certificado de cliente (perfil
del certificado)
Configuracin de la autenticacin en dos fases (basada en token
u OTP)
Necesitar hacer referencia al perfil del certificado o perfiles de
autenticacin que ha definido en las configuraciones de puerta de enlace
y portal.
Paso 6
En el cortafuegos que aloja gp1, configure los ajustes En el cortafuegos que aloja gp2, configure los ajustes de la puerta de
de la siguiente:
enlace de la siguiente forma:
Seleccione Red > GlobalProtect > Puertas de
enlace y aada la siguiente configuracin:
Interfaz: ethernet1/2
Interfaz: ethernet1/2
GP2-server-cert.pem
226
Paso 7
Go Daddy
2.
Paso 8
Paso 9
Guarde la configuracin de
GlobalProtect.
227
228
Paso 1
3.
4.
Paso 3
229
Paso 4
Defina cmo autenticar a los usuarios en Puede utilizar cualquier combinacin de perfiles de certificado o
el portal y las puertas de enlace.
perfiles de autenticacin como sea necesario para garantizar la
seguridad del portal y las puertas de enlace. Los portales y las puertas
de enlace individuales tambin pueden utilizar distintos esquemas de
autenticacin. Consulte las siguientes secciones para obtener
instrucciones detalladas:
Configuracin de autenticacin externa (perfil de autenticacin)
Configuracin de la autenticacin de certificado de cliente (perfil
del certificado)
Configuracin de la autenticacin en dos fases (basada en token
u OTP)
Necesitar hacer referencia al perfil del certificado o perfiles de
autenticacin que ha definido en las configuraciones de puerta de
enlace y portal.
Paso 5
1.
Cree los perfiles HIP que necesitar para
aplicar la poltica de seguridad en el acceso a
la puerta de enlace.
Consulte Uso de la informacin de host
en la aplicacin de polticas para obtener
ms informacin sobre las
evaluaciones HIP.
2.
Cree objetos HIP para filtrar los datos del host sin procesar
recopilados por los agentes. Por ejemplo, si est interesado en
avisar a usuarios no actualizados sobre los parches que necesitan,
puede que quiera crear un objeto HIP con el que coincidir si el
software de gestin de parches est instalado y que todos los
parches con una gravedad determinada estn actualizados.
Cree los perfiles HIP que tiene pensado usar en sus polticas.
Por ejemplo, si quiere asegurarse de que solo los usuarios de
Windows con parches actualizados puedan acceder a sus
aplicaciones internas, puede que desee adjuntar el siguiente perfil
HIP que coincidir con los hosts a los que NO les falte ningn
parche:
230
Paso 6
Interfaz: ethernet1/2
Direccin IP: 10.31.34.13
Certificado de servidor: GP-server-cert.pem emitido por
Go Daddy con CN=gp.acme.com
newyork.acme.com
Usuario/grupo de usuarios: cualquiera
3.
Paso 8
231
Paso 9
232
4.
5.
233
Paso 1
234
Paso 2
3.
4.
Defina cmo autenticar a los usuarios en Puede utilizar cualquier combinacin de perfiles de certificado o perfiles
el portal y las puertas de enlace.
de autenticacin como sea necesario para garantizar la seguridad del
portal y las puertas de enlace. Los portales y las puertas de enlace
individuales tambin pueden utilizar distintos esquemas de
autenticacin. Consulte las siguientes secciones para obtener
instrucciones detalladas:
Configuracin de autenticacin externa (perfil de autenticacin)
Configuracin de la autenticacin de certificado de cliente (perfil
del certificado)
Configuracin de la autenticacin en dos fases (basada en token
u OTP)
Necesitar hacer referencia al perfil del certificado o perfiles de
autenticacin que ha definido en las configuraciones de puerta de enlace
y portal.
235
Paso 5
1.
Cree los perfiles HIP que necesitar para
aplicar la poltica de seguridad en el acceso a
la puerta de enlace.
Consulte Uso de la informacin de host
en la aplicacin de polticas para
obtener ms informacin sobre las
evaluaciones HIP.
2.
Cree objetos HIP para filtrar los datos del host sin procesar
recopilados por los agentes. Por ejemplo, si est interesado en
avisar a usuarios no actualizados sobre los parches que necesitan,
puede que quiera crear un objeto HIP con el que coincidir si el
software de gestin de parches est instalado y que todos los
parches con una gravedad determinada estn actualizados.
Cree los perfiles HIP que tiene pensado usar en sus polticas.
Por ejemplo, si quiere asegurarse de que solo los usuarios de
Windows con parches actualizados puedan acceder a sus
aplicaciones internas, puede que desee adjuntar el siguiente
perfil HIP que coincidir con los hosts a los que NO les falte
ningn parche:
Paso 6
236
Paso 7
Interfaz: ethernet1/2
Direccin IP: 10.31.34.13
Certificado de servidor: GP-server-cert.pem emitido por
Go Daddy con CN=gp.acme.com
newyork.acme.com
Usuario/grupo de usuarios: cualquiera
3.
Paso 8
Paso 9
237
238