Guia de administración FW Palo Alto

7/21/2019 Guia de administracin FW Palo Alto

1/495

Palo Alto Networks

Gua del administrador de PAN-OSVersin 6.0


2/495

Informacin de contacto

Sede de la empresa:

Palo Alto Networks4401 Great America Parkway

Santa Clara, CA 95054http://www.paloaltonetworks.com/contact/contact/

Acerca de esta gua

Esta gua ofrece los conceptos y soluciones que le ayudarn a sacar el mximopartido de sus cortafuegos de prxima generacin de Palo Alto Networks.

Para obtener ms informacin, consulte las siguientes fuentes:

Para obtener instrucciones de principio a fin sobre cmo configurar un nuevocortafuegos, consulte la Palo Alto Networks Getting Started Guide (Gua deinicio de Palo Alto Networks).

Para acceder al conjunto completo de documentacin tcnica, vaya ahttp://www.paloaltonetworks.com/documentation .

Para acceder a la base de conocimientos y los foros de debate, vaya ahttps://live.paloaltonetworks.com.

Para ponerse en contacto con el equipo de asistencia tcnica, obtenerinformacin sobre los programas de asistencia tcnica o gestionar su cuentao los dispositivos, vaya a https://support.paloaltonetworks.com .

Para leer las notas sobre la ltima versin, vaya la pgina de actualizaciones desoftware en https://support.paloaltonetworks.com/Updates/SoftwareUpdates.

Para enviar sus comentarios sobre la documentacin, dirjase a:

[email protected]

Palo Alto Networks, Inc.www.paloaltonetworks.com

2014 Palo Alto Networks. Todos los derechos reservados.Palo Alto Networks, PAN-OS y Panorama son marcas comerciales de Palo AltoNetworks, Inc. Todas las dems marcas comerciales son propiedad de susrespectivos propietarios.

7 de julio de 2014
http://www.paloaltonetworks.com/contact/contact/https://paloaltonetworks.com/content/dam/paloaltonetworks-com/en_US/assets/pdf/technical-documentation/pan-os-60/PAN-OS-6.0-GSG.pdfhttps://paloaltonetworks.com/content/dam/paloaltonetworks-com/en_US/assets/pdf/technical-documentation/pan-os-60/PAN-OS-6.0-GSG.pdfhttp://www.paloaltonetworks.com/documentationhttps://live.paloaltonetworks.com/https://support.paloaltonetworks.com/https://support.paloaltonetworks.com/Updates/SoftwareUpdateshttps://support.paloaltonetworks.com/Updates/SoftwareUpdatesmailto:[email protected]:[email protected]://support.paloaltonetworks.com/Updates/SoftwareUpdateshttps://support.paloaltonetworks.com/Updates/SoftwareUpdateshttps://support.paloaltonetworks.com/https://live.paloaltonetworks.com/https://live.paloaltonetworks.com/http://www.paloaltonetworks.com/documentationhttps://paloaltonetworks.com/content/dam/paloaltonetworks-com/en_US/assets/pdf/technical-documentation/pan-os-60/PAN-OS-6.0-GSG.pdfhttps://paloaltonetworks.com/content/dam/paloaltonetworks-com/en_US/assets/pdf/technical-documentation/pan-os-60/PAN-OS-6.0-GSG.pdfhttp://www.paloaltonetworks.com/contact/contact/


3/495

Gua deladministrador de PAN-OS i

Contenido

Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1Integracin del cortafuegos en su red de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2Configuracin del acceso a la gestin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2Activacin de servicios de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Creacin del permetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Descripcin general del permetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Implementaciones de cortafuegos bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Acerca de la traduccin de direcciones de red (NAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Acerca de las polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Configuracin de interfaces y zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Configuracin de polticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Configuracin de polticas de seguridad bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Habilitacin de funciones de prevencin de amenazas bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Habilitacin de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Exploracin del trfico en busca de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Control del acceso a contenido web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Prcticas recomendadas para completar la implementacin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . 48

Gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49

Interfaces de gestin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Uso de la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Uso de la interfaz de lnea de comandos (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Uso de la API XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Gestin de administradores de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Funciones administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Autenticacin administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Creacin de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Referencia: acceso de administrador a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Privilegios de acceso a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Acceso a la interfaz web de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

Gestin de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95

Cmo utilizan los dispositivos las claves y los certificados? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

Cmo verifican los dispositivos el estado de revocacin de certificados? . . . . . . . . . . . . . . . . . . . . . . . . . . 98

Lista de revocacin de certificados (CRL). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Protocolo de estado de certificado en lnea (OCSP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Cmo obtienen los dispositivos los certificados? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

Configuracin de la verificacin del estado de revocacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . 101Configuracin de un respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Configuracin de la verificacin del estado de revocacin de certificados utilizadospara la autenticacin de usuarios/dispositivos103
http://deployment_toc.pdf/http://deployment_toc.pdf/http://deployment_toc.pdf/http://deployment_toc.pdf/


4/495

ii Gua deladministrador de PAN-OS

Configuracin de la verificacin del estado de revocacin de certificados utilizadospara el descifrado SSL/TLS103

Configuracin de la clave maestra. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

Obtencin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Creacin de un certificado de CA raz autofirmado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Generacin de un certificado en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Importacin de un certificado y una clave privada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Obtencin de un certificado de una CA externa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

Configuracin de un perfil de certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Revocacin y renovacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116Revocacin de un certificado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116Renovacin de un certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

Claves seguras con un mdulo de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117Configuracin de la conectividad con un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117Cifrado de una clave maestra utilizando un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Almacenamiento de claves privadas en un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Gestin de la implementacin del HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

Alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

Descripcin general de la alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128Modos de HA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128Enlaces de HA y enlaces de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129Prioridad y preferencia de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131Activadores de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131Temporizadores de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

Configuracin de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135Requisitos para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135Directrices de configuracin para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136Configuracin de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138Definicin de las condiciones de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143Verificacin de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

Uso del centro de comando de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

Uso de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153Informe de resumen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

Informe del supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158Informe del mapa de trfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159Visualizacin de la informacin del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

Realizacin de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

Supervisin del cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163Supervisin de aplicaciones y amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163Visualizacin de datos de logs locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164


5/495

Gua deladministrador de PAN-OS iii

Reenvo de logs a servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170Supervisin del cortafuegos mediante SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

Gestin de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181Acerca de los informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181Visualizacin de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182Deshabilitacin de informes predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

Generacin de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184Generacin de informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190Gestin de informes de resumen en PDF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192Generacin de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193Gestin de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194Programacin de informes para entrega de correos electrnicos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

Anlisis de la descripcin de campos en logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197Logs de trfico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197Logs de amenaza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200Logs de coincidencias HIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204Logs de configuracin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205Logs de sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

Gravedad de Syslog. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206Formato de logs/eventos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207Secuencias de escape. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

User-ID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209

Descripcin general de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210Acerca de la asignacin de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210Acerca de la asignacin de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

Asignacin de usuarios a grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216

Asignacin de direcciones IP a usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218Configuracin de la asignacin de usuarios mediante el agente de User-ID de Windows . . . . . . . . . 219

Configuracin de la asignacin de usuarios mediante el agente de User-ID integradoen PAN-OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227Configuracin de User-ID para recibir asignaciones de usuarios desde un emisor de Syslog . . . . . . 230Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo . . . . . . . . . . . . . . . . 241Configuracin de la asignacin de usuarios para usuarios del servidor de terminal . . . . . . . . . . . . . . 246Envo de asignaciones de usuarios a User-ID mediante la API XML . . . . . . . . . . . . . . . . . . . . . . . . . 254Configuracin de un cortafuegos para compartir datos de asignacin de usuarioscon otros cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255

Habilitacin de poltica basada en usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

Verificacin de la configuracin de User-ID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .265

Qu es App-ID? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266

Cmo puedo gestionar aplicaciones personalizadas o desconocidas? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267

Prcticas recomendadas para utilizar App-ID en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269

Aplicaciones con compatibilidad implcita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270

Acerca de las puertas de enlace de nivel de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273


6/495

iv Gua deladministrador de PAN-OS

Deshabilitacin de la puerta de enlace de nivel de aplicacin (ALG) SIP. . . . . . . . . . . . . . . . . . . . . . . . . . 274

Prevencin de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

Concesin de licencias para la prevencin de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276Acerca de las licencias de prevencin de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276Obtencin e instalacin de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276

Acerca de los perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277

Configuracin de polticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282Configuracin de antivirus, antispyware y proteccin contra vulnerabilidades. . . . . . . . . . . . . . . . . . 282Configuracin de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284Configuracin de bloqueo de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288

Prevencin de ataques de fuerza bruta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290Cmo se activa una firma para un ataque de fuerza bruta? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290Personalizacin de la accin y las condiciones de activacin para una firma de fuerza bruta . . . . . . 293

Prcticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7 . . . . . . . . . . . . . . . . . . . . 296

Infraestructura de Content Delivery Network para actualizaciones dinmicas . . . . . . . . . . . . . . . . . . . . . 298

Descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301

Descripcin general del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302Polticas de claves y certificados para el descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303Proxy SSL de reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304Inspeccin de entrada SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305Proxy SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306Excepciones de descifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307Reflejo del puerto de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308

Configuracin del proxy SSL de reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

Configuracin de la inspeccin de entrada SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

Configuracin del Proxy SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315Configuracin de excepciones de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316

Exclusin de trfico del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316Exclusin de un servidor del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317

Configuracin del reflejo del puerto de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318

Filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321

Descripcin general del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322Cmo funciona el filtrado de URL?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322Interaccin entre App-ID y categoras de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323Control de URL basado en categora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323

Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324Cmo se utilizan las categoras de URL como criterios de coincidencia en las polticas?. . . . . . . . . 327

Componentes y flujo de trabajo de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329Componentes de categorizacin de URL de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329Flujo de trabajo de categorizacin de URL de PAN-DB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330

Configuracin de filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332Habilitacin del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332


7/495

Gua deladministrador de PAN-OS v

Determinacin de los requisitos de la poltica de filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . 333Definicin de controles del sitio web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342

Ejemplos de casos de uso del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346Caso de uso: control de acceso web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346Caso de uso: uso de categoras de URL en la poltica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350

Solucin de problemas del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352

Problemas en la activacin de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352Problemas de conectividad con la nube de PAN-DB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352URL clasificadas como no resueltas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353Categorizacin incorrecta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354Base de datos de URL vencida. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355

Calidad de servicio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .357

Descripcin general de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358Implementacin de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358Conceptos de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359

Configuracin de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366

Configuracin de QoS para un sistema virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371Ejemplos de casos de uso de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378

QoS para un nico usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378QoS para aplicaciones de voz y vdeo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381

VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .385

Implementaciones de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386

VPN de sitio a sitio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387Descripcin general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387Conceptos de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388

Configuracin de VPN de sitio a sitio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393Configuracin de una puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393Definicin de perfiles criptogrficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395Configuracin de un tnel de IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398Configuracin de la supervisin de tnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401Prueba de conectividad VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403Interpretacin de mensajes de error de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403

Configuraciones rpidas de VPN de sitio a sitio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405VPN de sitio a sitio con rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405VPN de sitio a sitio con OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410VPN de sitio a sitio con rutas estticas y enrutamiento dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416

VPN a gran escala (LSVPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423Componentes de LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424Creacin de interfaces y zonas para la LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425

Habilitacin de SSL entre componentes de LSVPN de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . 427Acerca de la implementacin de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427Implementacin de certificados de servidor en los componentes de LSVPN de GlobalProtect . . . . 427


8/495

vi Gua deladministrador de PAN-OS

Configuracin del portal para autenticar satlites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431

Configuracin de puertas de enlace de GlobalProtect para LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433Tareas previamente necesarias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433Configuracin de la puerta de enlace. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433

Configuracin del portal de GlobalProtect para LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438Tareas previamente necesarias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438

Configuracin del portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439Definicin de las configuraciones de satlites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440

Preparacin del dispositivo satlite para unirse a la LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443

Verificacin de la configuracin de LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446

Configuraciones rpidas de LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447

Configuracin bsica de LSVPN con rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448

Configuracin avanzada de LSVPN con enrutamiento dinmico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451

Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455

Implementaciones de cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456

Implementaciones de cable virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456Implementaciones de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459Implementaciones de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460Implementaciones de modo tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461

Configuracin de un enrutador virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462

Configuracin de rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464

Configuracin de RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

Configuracin de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468Conceptos de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468Configuracin de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470Configuracin de OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475

Configuracin del reinicio correcto de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479Confirmacin del funcionamiento de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480

Configuracin de BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483


9/495

Primerospasos 1

Primeros pasos

Las siguientes secciones proporcionan pasos detallados para ayudarle a implementar un nuevo cortafuegos deprxima generacin de Palo Alto Networks. Proporcionan detalles para integrar un nuevo cortafuegos en su red

y configurar polticas de seguridad bsicas y funciones de prevencin de amenazas.Despus de realizar los pasos de configuracin bsicos necesarios para integrar el cortafuegos en su red, puedeutilizar el resto de los temas de esta gua como ayuda para implementar las completas funciones de la plataformade seguridad empresarial segn sea necesario para cubrir sus necesidades de seguridad de red.

Integracin del cortafuegos en su red de gestin

Creacin del permetro de seguridad

Habilitacin de funciones de prevencin de amenazas bsicas

Prcticas recomendadas para completar la implementacin del cortafuegos


10/495

2 Primerospasos

Integracin del cortafuegos en su red de gestin Primeros pasos

Integracin del cortafuegos en su red de gestinLos siguientes temas describen cmo realizar los pasos de la configuracin inicial necesarios para integrar unnuevo cortafuegos en la red de gestin e implementarlo con una configuracin de seguridad bsica.

Configuracin del acceso a la gestin del cortafuegos

Activacin de servicios de cortafuegos

Configuracin del acceso a la gestin del cortafuegos

Todos los cortafuegos de Palo Alto Networks incluyen un puerto de gestin externo (MGT) que puede usarpara llevar a cabo las funciones de administracin del cortafuegos. Al usar el puerto de gestin, est separando

las funciones de gestin del cortafuegos de las funciones de procesamiento de datos, de modo que protege elacceso al cortafuegos y mejora el rendimiento. Al usar la interfaz web, debe realizar todas las tareas deconfiguracin inicial desde el puerto de gestin, incluso aunque pretenda usar un puerto interno para gestionarsu dispositivo ms adelante.

Algunas tareas de gestin, como la recuperacin de licencias, la actualizacin de amenazas y las firmas de lasaplicaciones en el cortafuegos requieren acceso a Internet. Si no desea activar el acceso externo a su puerto degestin, deber establecer un puerto de datos para permitir el acceso a los servicios externos requeridos oplantearse cargar manualmente actualizaciones de forma regular.

Las siguientes secciones contienen instrucciones para establecer el acceso de gestin al cortafuegos:

Determinacin de la estrategia de gestin

Realizacin de la configuracin inicial Establecimiento de acceso a la red para servicios externos

Determinacin de la estrategia de gestin

El cortafuegos Palo Alto Networks puede configurarse y gestionarse de forma local o gestionarse de formacentral usando Panorama, el sistema de gestin de seguridad centralizado de Palo Alto Networks. Si tiene seis oms cortafuegos implementados en su red, use Panorama para obtener estas ventajas:

Reducir la complejidad y la carga administrativa en la configuracin de la gestin, polticas, software y cargasde contenido dinmico. Usando las plantillas y grupos de dispositivos de Panorama puede gestionareficazmente la configuracin especfica de los dispositivos en un dispositivo e introducir las polticascompartidas en todos los dispositivos o grupos de dispositivos.

Agregar datos de todos los cortafuegos gestionados y conseguir visibilidad en todo el trfico de su red. ElCentro de comando de aplicacin (ACC) de Panorama ofrece un panel de pantalla nica para unificarinformes de todos los cortafuegos que le permiten realizar anlisis, investigaciones e informes de formacentral sobre el trfico de red, los incidentes de seguridad y las modificaciones administrativas.

Los siguientes temas describen cmo integrar un nico cortafuegos de prxima generacin de

Palo Alto Networks en su red. Si desea informacin detallada sobre cmo implementar un par decortafuegos en una configuracin de alta disponibilidad, lea la informacin de la documentacinde HA antes de continuar.


11/495

Primerospasos 3

Primeros pasos Integracin del cortafuegos en su red de gestin

Los procedimientos de este documento describen cmo gestionar el cortafuegos usando la interfaz web local.Si quiere utilizar Panorama para la gestin centralizada, cuando haya completado las instrucciones de la seccinRealizacin de la configuracin inicialde esta gua, verifique que el cortafuegos puede establecer una conexincon Panorama. Desde ese momento, podr utilizar Panoramapara configurar su cortafuegos de forma central.

Realizacin de la configuracin inicial

De forma predeterminada, la direccin IP del cortafuegos es 192.168.1.1 y el nombre de usuario/contrasea esadmin/admin. Por motivos de seguridad, debe cambiar estos ajustes antes de continuar con otras tareas deconfiguracin del cortafuegos. Debe realizar estas tareas de configuracin inicial desde la interfaz de gestin(MGT), aunque no pretenda usar esta interfaz para la gestin de su cortafuegos, o usar una conexin de seriedirecta al puerto de la consola del dispositivo.

Configuracin del acceso de red al cortafuegos

Paso 1 Obtenga la informacin necesaria de suadministrador de red.

Direccin IP para el puerto MGT

Mscara de red

Puerta de enlace predeterminada

Direccin de servidor DNS

Paso 2 Conecte su ordenador al cortafuegos. Puede conectarse al cortafuegos de uno de estos modos:

Conecte un cable serie desde su ordenador al puerto de la consola yconecte con el cortafuegos usando el software de emulacin determinal (9600-8-N-1). Espere unos minutos hasta que se completela secuencia de arranque; cuando el dispositivo est listo, el mensajecambiar al nombre del cortafuegos, por ejemploPA-500login.

Conecte un cable Ethernet RJ-45 desde su ordenador hasta el

puerto de gestin del cortafuegos. Use un navegador para ir ahttps://192.168.1.1 . Tenga en cuenta que tal vez debacambiar la direccin IP de su ordenador a una direccin de la red192.168.1.0, como 192.168.1.2, para acceder a esta URL.

Paso 3 Cuando se le indique, inicie sesin en elcortafuegos.

Debe iniciar sesin usando el nombre de usuario y contraseapredeterminados (admin/admin). El cortafuegos comenzar ainicializarse.
http://www.paloaltonetworks.com/documentation/panorama/Panorama_AdminGuide.htmlhttp://www.paloaltonetworks.com/documentation/panorama/Panorama_AdminGuide.html


12/495

4 Primerospasos


Paso 4 Configure la interfaz de gestin. 1. Seleccione Dispositivo > Configuracin > Gestiny, acontinuacin, haga clic en el icono Editar de la seccinConfiguracin de interfaz de gestin de la pantalla. Introduzcala direccin IP, mscara de redy puerta de enlace

predeterminada.2. Fije la velocidaden negociacin automtica.

3. Seleccione los servicios de gestin que permitir en la interfaz.

Prctica recomendada:

Asegrese de que ni Telnetni HTTPestn seleccionados, ya queestos servicios usan texto sin formato y no son tan seguroscomo los otros servicios.

4. Haga clic en ACEPTAR.

Paso 5 (Opcional) Configure los ajustesgenerales del cortafuegos.

1. Seleccione Dispositivo > Configuracin > Gestiny haga clic enel icono Editar de la seccin Configuracin general de lapantalla.

2. Introduzca un nombre de hostpara el cortafuegos y el nombrede dominiode su red. El nombre de dominio tan solo es unaetiqueta, no se usar para unirse al dominio.

3. Introduzca la Latitud y Longitud para permitir la colocacinprecisa del cortafuegos en el mapamundi.

4. Haga clic en ACEPTAR.

Paso 6 Configure los ajustes de DNS, hora yfecha.

Nota Debe configurar manualmente al menosun servidor DNS en el cortafuegos o nopodr resolver los nombres de host; no

usar configuraciones del servidor DNSde otra fuente, como un ISP.

1. Seleccione Dispositivo > Configuracin > Serviciosy haga clicen el icono Editar de la seccin Servicios de la pantalla.

2. Introduzca la direccin IP de su Servidor DNS principaly, demanera opcional, de su Servidor DNS secundario.

3. Para usar el clster virtual de servidores horarios de Internet,

introduzca el nombre de host pool.ntp.orgcomo servidor NTPprincipalo aada la direccin IP de su servidor NTP principaly,de manera opcional, su servidor NTP secundario.

4. Haga clic en Aceptarpara guardar la configuracin.

Paso 7 Establezca una contrasea segura para lacuenta de administrador.

1. Seleccione Dispositivo > Administradores.

2. Seleccione la funcin admin.

3. Introduzca la contrasea predeterminada actual y la nuevacontrasea.

4. Haga clic en Aceptarpara guardar la configuracin.

Paso 8 Compile los cambios.

Nota Al guardar los cambios de configuracin,perder la conexin con la interfaz web, yaque la direccin IP habr cambiado.

Haga clic en Confirmar. El dispositivo puede tardar hasta 90

segundos en guardar sus cambios.

Configuracin del acceso de red al cortafuegos (Continuacin)


13/495

Primerospasos 5


Establecimiento de acceso a la red para servicios externosDe manera predeterminada, el cortafuegos usa la interfaz de gestin para acceder a servicios remotos, comoservidores DNS, actualizaciones de contenido y recuperacin de licencias. Si no quiere activar el acceso de unared externa a su red de gestin, debe establecer un puerto de datos para ofrecer acceso a aquellos serviciosexternos requeridos.

Paso 9 Conecte el cortafuegos a su red. 1. Desconecte el cortafuegos de su ordenador.

2. Conecte el puerto de gestin a un puerto de conmutador en sured de gestin usando un cable Ethernet RJ-45. Asegrese deque el puerto de conmutacin que conecta al cortafuegos

mediante un cable est configurado para negociacinautomtica.

Paso 10 Abra una sesin de gestin SSH en elcortafuegos.

Usando un software de emulacin de terminal, como PuTTY, inicieuna sesin SSH en el cortafuegos usando la nueva direccin IP quele ha asignado.

Paso 11 Verifique el acceso a la red para losservicios externos requeridos para lagestin del cortafuegos, como el servidorde actualizaciones de Palo Alto Networks,de uno de estos modos:

Si no desea permitir que una red

externa acceda a la interfaz de gestin,tendr que configurar un puerto dedatos para recuperar las actualizacionesde servicio requeridas. Vaya aEstablecimiento de acceso a la red paraservicios externos.

Si va a permitir que una red externaacceda a la interfaz de gestin,compruebe que tiene conexin y vaya aActivacin de servicios de cortafuegos.

Si ha conectado el puerto de gestin con un cable para tener accesodesde una red externa, compruebe que tiene acceso al cortafuegos ydesde el mismo usando la utilidad ping de la CLI. Asegrese de quetiene conexin a la puerta de enlace predeterminada, servidor DNSy el servidor de actualizacin de Palo Alto Networks como semuestra en el siguiente ejemplo:admin@PA-200> ping host updates.paloaltonetworks.comPING updates.paloaltonetworks.com (67.192.236.252) 56(84)bytes of data.64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=40.5 ms64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=53.6 ms64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=79.5 ms

Nota Cuando haya comprobado la conectividad, pulse Ctrl+Cpara detener los pings.

Para esta tarea debe estar familiarizado con zonas, polticas e interfaces de cortafuegos. Sidesea ms informacin sobre estos temas, consulte Creacin del permetro de seguridad.

Establecimiento de un puerto de datos para acceder a servicios externos

Paso 1 Decida el puerto que desea usar paraacceder a servicios externos y concteloal puerto del conmutador o al puerto delenrutador.

La interfaz que use necesitar una direccin IP esttica.

Configuracin del acceso de red al cortafuegos (Continuacin)


14/495

6 Primerospasos


Paso 2 Inicie sesin en la interfaz web. Si usa una conexin segura (https) desde su navegador web, iniciesesin usando la nueva direccin IP y contrasea que asign durantela configuracin inicial (https://). Ver unadvertencia de certificacin; es normal. Vaya a la pgina web.

Paso 3 (Opcional) El cortafuegos vienepreconfigurado con una interfaz de cablevirtual predeterminada entre los puertosEthernet 1/1 y Ethernet 1/2 (y suscorrespondientes zonas y polticas deseguridad predeterminadas). Si nopretende usar esta configuracin de cablevirtual, debe eliminar manualmente laconfiguracin para evitar que interfieracon otras configuraciones de interfaz quedefina.

Debe eliminar la configuracin en el siguiente orden:1. Para eliminar la poltica de seguridad predeterminada, seleccione

Polticas > Seguridad, seleccione la regla y haga clic en Eliminar.

2. A continuacin, elimine el cable virtual predeterminadoseleccionando Red > Cables virtuales, seleccionando elcable virtual y haciendo clic en Eliminar.

3. Para eliminar las zonas fiables y no fiables predeterminadas,seleccione Red > Zonas, seleccione cada zona y haga clic enEliminar.

4. Por ltimo, elimine las configuraciones de interfaz seleccionandoRed > Interfacesy, a continuacin, seleccione cada interfaz

(ethernet1/1 y ethernet1/2) y haga clic enEliminar

.5. Confirmelos cambios.

Paso 4 Configure la interfaz. 1. Seleccione Red > Interfacesy seleccione la interfaz quecorresponde al puerto en el que conect el cable en el paso 1.

2. Seleccione el Tipo de interfaz. Aunque su decisin aqu dependede la topologa de su red, este ejemplo muestra los pasos paraCapa 3.

3. En la pestaa Configurar, ample el men desplegable Zona deseguridady seleccione Nueva zona.

4. En el cuadro de dilogo Zona, defina un Nombrepara una nuevazona, por ejemplo L3-fiable, y haga clic en Aceptar.

5. Seleccione la pestaa IPv4, seleccione el botn de opcinEsttico, haga clic en Aadiren la seccin IP e introduzca ladireccin IP y la mscara de red para asignarlas a la interfaz, porejemplo, 192.168.1.254/24.

6. Seleccione Avanzada > Otra informacin, ample el mendesplegable Perfil de gestiny seleccione Nuevo perfil degestin.

7. Introduzca un Nombrepara el perfil, como permitir_ping, yseleccione a continuacin los servicios que desea permitir en lainterfaz. Estos servicios ofrecen acceso a la gestin deldispositivo, as que seleccione solo los servicios que correspondana actividades de gestin que desee permitir en esta interfaz. Por

ejemplo, si desea utilizar la interfaz de gestin para las tareas deconfiguracin del dispositivo a travs de la interfaz web o CLI, nodebera activar HTTP, HTTPS, SSH o Telnet para poder evitar elacceso no autorizado a travs de esta interfaz. Para permitir elacceso a los servicios externos, probablemente solo tenga queactivar Pingy despus hacer clic en Aceptar.

8. Para guardar la configuracin de la interfaz, haga clic en Aceptar.

Establecimiento de un puerto de datos para acceder a servicios externos (Continuacin)


15/495

Primerospasos 7


Paso 5 Dado que el cortafuegos usa la interfaz degestin de manera predeterminada paraacceder a los servicios externos quenecesita, debe cambiar la interfaz que usa

el cortafuegos para enviar estassolicitudes editando las rutas de servicios.

1. Seleccione Dispositivo > Configuracin > Servicios >Configuracin de ruta de servicios.

Nota Para activar sus licencias y obtener el contenido y lasactualizaciones de software ms recientes, debe cambiar laruta de servicios de DNS, Actualizaciones de Palo Alto,Actualizaciones de URLy WildFire.

2. Haga clic en el botn de opcin Personalizary seleccione unade las siguientes opciones:

En un servicio predefinido, seleccioneIPv4o IPv6y haga clicen el enlace del servicio para el que quiera modificar lainterfaz de origeny seleccione la interfaz que acaba deconfigurar.

Si se configura ms de una direccin IP para la interfazseleccionada, el men desplegable Direccin de origenlepermite seleccionar una direccin IP.

Para crear una ruta de servicio para un destino personalizado,seleccione Destinoy haga clic en Aadir. Introduzca unnombre de destinoy seleccione una interfaz de origen. Si seconfigura ms de una direccin IP para la interfazseleccionada, el men desplegable Direccin de origenlepermite seleccionar una direccin IP.

3. Haga clic en ACEPTARpara guardar la configuracin.

4. Repita los pasos del 2al 3indicados anteriormente para cadaruta de servicio que quiera modificar.

5. Compilesus cambios.



16/495

8 Primerospasos


Activacin de servicios de cortafuegos

Antes de que pueda empezar a usar el cortafuegos para proteger su red, debe registrarlo y activar las licenciasde los servicios que ha adquirido. Adems, debe asegurarse de que est ejecutando la versin adecuada de

PAN-OS como se describe en las siguientes secciones: Registro en Palo Alto Networks

Activacin de licencias

Gestin de la actualizacin de contenidos

Instalacin de actualizaciones de software

Paso 6 Configure una interfaz de orientacin externa y una zona asociada y, a continuacin, cree las reglas de polticaNAT y de seguridad para permitir que el cortafuegos enve solicitudes de servicio de la zona interna a la externa:

1. Seleccione Red > Interfacesy, a continuacin, seleccione su interfaz de orientacin externa. Seleccione Capa 3como el Tipo de interfaz, aadala direccin IP(en la pestaa IPv4o IPv6) y cree la Zona de seguridadasociada

(en la pestaa Configuracin), tal como l3-nofiable. No necesita configurar servicios de gestin en esta interfaz.2. Para configurar una regla de seguridad que permita el trfico desde su red interna al servidor de actualizaciones

de Palo Alto Networks y los servidores DNS externos, seleccionePolticas > Seguridady haga clic en Aadir.Para realizar la configuracin inicial, puede crear una regla simple que permita todo el trfico de l3-fiable al3-nofiable del siguiente modo:

3. Si usa una direccin IPprivada en la interfaz deorientacin interna,deber crear una regla

NAT de origen para traducir la direccin a una direccin enrutable pblicamente. SeleccionePolticas > NATy,a continuacin, haga clic en Aadir. Como mnimo deber definir un nombre para la regla (pestaaGeneral),especificar una zona de origen y destino, l3-fiable a l3-nofiable en este caso (pestaaPaquete original), y definirla configuracin de traduccin de direccin de origen (pestaa Paquete traducido); a continuacin debe hacerclic en Aceptar. Si desea ms informacin sobre NAT, consulte Configuracin de polticas de NAT.

4. Compilesus cambios.

Paso 7 Compruebe que tiene conectividad desdeel puerto de datos a los servicios externos,incluida la puerta de enlacepredeterminada, el servidor DNS y elservidor de actualizacin de Palo AltoNetworks.

Tras comprobar que tiene la conectividadde red requerida, vaya aActivacin deservicios de cortafuegos.

Inicie la CLI y use la utilidad ping para comprobar que tieneconectividad. Tenga en cuenta que los pings predeterminados se envandesde la interfaz MGT, por lo que en este caso deber especificar lainterfaz de origen para las solicitudes de ping del siguiente modo:admin@PA-200> ping source 192.168.1.254 hostupdates.paloaltonetworks.comPING updates.paloaltonetworks.com (67.192.236.252) from

192.168.1.254 : 56(84) bytes de datos.64 bytes from 67.192.236.252: icmp_seq=1 ttl=242 time=56.7 ms64 bytes from 67.192.236.252: icmp_seq=2 ttl=242 time=47.7 ms64 bytes from 67.192.236.252: icmp_seq=3 ttl=242 time=47.6 ms^C

Cuando haya comprobado la conectividad, pulse Ctrl+C paradetener los pings.



17/495

Primerospasos 9


Registro en Palo Alto Networks

Activacin de licenciasAntes de que pueda empezar a usar su cortafuegos para proteger el trfico de su red, deber activar las licenciasde cada uno de los servicios que ha adquirido. Entre las licencias y suscripciones disponibles se incluyen:

Prevencin de amenazas: Proporciona proteccin antivirus, antispyware y contra vulnerabilidades.

Reflejo del puerto de descifrado: Proporciona la capacidad de crear una copia del trfico descifrado desdeun cortafuegos y enviarlo a una herramienta de recopilacin de trfico que sea capaz de recibir capturas depaquetes sin formato (como NetWitness o Solera) para su archivado y anlisis.

Filtrado de URL: Para crear reglas de poltica basadas en categoras de URL dinmicas, debe adquirir einstalar una suscripcin para una de las bases de datos de filtrado de URL compatibles: PAN-DB o

BrightCloud. Para obtener ms informacin sobre el filtrado de URL, consulte Control del acceso acontenido web.

Registro del cortafuegos

Paso 1 Inicie sesin en la interfaz web. Si usa una conexin segura (https) desde su navegador web, iniciesesin usando la nueva direccin IP y contrasea que asign durante

la configuracin inicial (https://). Ver unadvertencia de certificacin; es normal. Vaya a la pgina web.

Paso 2 Busque el nmero de serie y cpielo en elportapapeles.

En el Panel, busque su nmero de serieen la seccin Informacingeneral de la pantalla.

Paso 3 Vaya al sitio de asistencia de Palo AltoNetworks.

En una ventana o pestaa nueva del navegador, vaya ahttps://support.paloaltonetworks.com.

Paso 4 Registre el dispositivo. El modo deregistrarse depender de que tenga o noun inicio de sesin en el sitio de asistenciatcnica.

Si es el primer dispositivo de Palo Alto Networks que registra y anno tiene un inicio de sesin, haga clic en Registraren el ladoderecho de la pgina. Para registrarse, debe proporcionar sudireccin de correo electrnico y el nmero de serie de sucortafuegos (que puede pegar desde el portapapeles). Tambin sele pedir que establezca un nombre de usuario y una contraseapara acceder a la comunidad de asistencia tcnica de Palo AltoNetworks.

Si ya dispone de una cuenta de asistencia tcnica, inicie sesin yhaga clic en Mis dispositivos. Desplcese hasta la seccin Registrardispositivo, en la parte inferior de la pantalla, e introduzca elnmero de serie de su cortafuegos (que puede pegar desde elportapapeles), su ciudad y su cdigo postal, y haga clic enRegistrar dispositivo.
https://support.paloaltonetworks.com/https://support.paloaltonetworks.com/


18/495

10 Primerospasos


Sistemas virtuales: Esta licencia es necesaria para habilitar la compatibilidad con varios sistemas virtualesen los cortafuegos de las series PA-2000 y PA-3000. Adems, debe adquirir una licencia de sistemas virtualessi desea utilizar un nmero de sistemas virtuales superior al ofrecido de manera predeterminada por loscortafuegos de las series PA-4000, PA-5000 y PA-7050 (el nmero bsico vara segn la plataforma).Las series PA-500, PA-200 y VM-Series no son compatibles con sistemas virtuales.

WildFire: Aunque la compatibilidad bsica con WildFire est incluida como parte de la licencia deprevencin de amenazas, el servicio de suscripcin a WildFire ofrece servicios mejorados para aquellasorganizaciones que necesitan una cobertura inmediata frente a las amenazas, y permite actualizaciones de lafirma de WildFire con una frecuencia inferior a una hora, el reenvo de tipos de archivos avanzados (APK,PDF, Microsoft Office y applet Java) y la capacidad para cargar archivos usando la API de WildFire. Tambinse requiere una suscripcin a WildFire si sus cortafuegos van a reenviar archivos a un dispositivo WF-500WildFire privado.

GlobalProtect: Ofrece soluciones de movilidad y/o funciones de VPN a gran escala. De formapredeterminada, puede implementar una nica puerta de enlace y portal GlobalProtect (sin comprobacionesde HIP) sin licencia. Sin embargo, si desea implementar varias puertas de enlace, debe adquirir una licenciade portal (licencia permanente y nica). Si desea utilizar comprobaciones de host, tambin necesitar

licencias de puertas de enlace (suscripcin) para cada puerta de enlace.

Gestin de la actualizacin de contenidos

Para estar por delante del panorama cambiante de amenazas y aplicaciones, Palo Alto Networks mantiene unainfraestructura de Content Delivery Network (CDN, Red de entrega de contenidos) para entregaractualizaciones de contenidos a los dispositivos de Palo Alto Networks. Estos dispositivos acceden a losrecursos de Internet en la CDN para realizar varias funciones de ID de aplicaciones y de ID de contenidos. De

Activacin de licencias

Paso 1 Encuentre los cdigos de activacin delas licencias que ha adquirido.

Al comprar las suscripciones debi recibir un mensaje de correoelectrnico del servicio de atencin al cliente de Palo Alto Networkscon los cdigos de activacin asociados a cada suscripcin. Si noencuentra este mensaje, pngase en contacto con atencin al clientepara recibir sus cdigos de activacin antes de continuar.

Paso 2 Inicie la interfaz web y vaya a la pgina delicencias.

Seleccione Dispositivo > Licencias.

Paso 3 Active todas las licencias que ha

adquirido.

Nota Si su cortafuegos no tiene acceso aInternet desde el puerto de gestin, puededescargar sus licencias de forma manualdesde el sitio de asistencia tcnica ycargarlas en el cortafuegos usando laopcin Clave de licencia de cargamanual.

1. Seleccione Activar caracterstica mediante cdigo de

autorizacin.2. Cuando se le indique, introduzca el Cdigo de autorizaciny

haga clic en Aceptar.

3. Compruebe que la licencia se haya activado correctamente. Porejemplo, tras activar la licencia de WildFire, debera ver que lalicencia es vlida:
http://www.paloaltonetworks.com/documentation/wildfire/WF_Admin.htmlhttp://www.paloaltonetworks.com/documentation/document-search.html?q=%22about+globalprotect+licenses%22http://www.paloaltonetworks.com/documentation/document-search.html?q=%22about+globalprotect+licenses%22http://www.paloaltonetworks.com/documentation/wildfire/WF_Admin.html


19/495

Primerospasos 11


forma predeterminada, los dispositivos utilizan el puerto de gestin para acceder a la infraestructura de CDNpara realizar actualizaciones de aplicaciones, de amenazas y de firma de antivirus, actualizaciones y bsquedasen BrightCloud y en base de datos PAN-DB, as como acceso a la nube de WildFire de Palo Alto Networks. Paragarantizar una proteccin constante contra las amenazas ms recientes (incluidas aquellas que an no se handescubierto), debe asegurarse de mantener actualizados sus dispositivos con las actualizaciones ms recientes dePalo Alto Networks.

Estn disponibles las siguientes actualizaciones de contenido, dependiendo de las suscripciones que posea:

Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas descubiertas por el servicioen la nube WildFire. Debe contar con una suscripcin a prevencin de amenazas para obtener estasactualizaciones. Se publican nuevas firmas de antivirus todos los das.

Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta actualizacin no requieresuscripciones adicionales, pero s un contrato de asistencia/mantenimiento en vigor. Todas las semanas sepublican nuevas actualizaciones de aplicaciones.

Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y actualizadas. Estaactualizacin est disponible si cuenta con una suscripcin de prevencin de amenazas (y la obtiene en lugarde la actualizacin de aplicaciones). Todas las semanas se publican nuevas aplicaciones y amenazas.

Archivo de datos de GlobalProtect: Contiene la informacin especfica del proveedor para definir yevaluar los datos del perfil de informacin del host (HIP) proporcionados por los agentes de GlobalProtect.Debe tener una licencia de puerta de enlace de GlobalProtect y portal GlobalProtect para recibir estasactualizaciones. Adems, debe crear una programacin para estas actualizaciones antes de que GlobalProtectfuncione.

Filtrado de URL de BrightCloud: Ofrece actualizaciones nicamente para la base de datos de filtrado de

URL de BrightCloud. Debe contar con una suscripcin a BrightCloud para obtener estas actualizaciones.Todos los das se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. Si tiene unalicencia de PAN-DB, las actualizaciones programadas no son necesarias ya que los dispositivos permanecensincronizados con los servidores de forma automtica.

WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real comoconsecuencia del anlisis realizado por el servicio de la nube de WildFire. Sin la suscripcin, debe esperar de24 a 48 horas para que las firmas entren a formar parte de la actualizacin de aplicaciones y amenazas.

Aunque puede descargar e instalar de forma manual las actualizaciones de contenido encualquier momento, es recomendable programar las actualizaciones para que se realicenautomticamente.

Si su cortafuegos no tiene acceso a Internet desde el puerto de gestin, puede descargaractualizaciones de contenido desde el sitio de asistencia de Palo Alto Networks(https://support.paloaltonetworks.com) y, a continuacin, cargarlas en su cortafuegos.

Si su cortafuegos est implementado detrs de cortafuegos o servidores proxy existentes, el

acceso a estos recursos externos puede restringirse empleando listas de control de acceso quepermiten que el cortafuegos acceda nicamente a un nombre de host o una direccin IP. Endichos casos, para permitir el acceso a la CDN, establezca la direccin del servidor deactualizaciones para que utilice el nombre de host staticupdates.paloaltonetworks.como ladireccin IP 199.167.52.15.


20/495

12 Primerospasos


Descarga de las bases de datos ms recientes

Paso 1 Verifique que el cortafuegos apunta a lainfraestructura de CDN.

Seleccione Dispositivo > Configuracin > Servicios.

Como prctica recomendada, establezca el Servidor deactualizacionespara que acceda aupdates.paloaltonetworks.com. De esta forma el cortafuegospodr recibir actualizaciones de contenidos desde el servidor queest ms cercano en la infraestructura de CDN.

(Opcional) Si el cortafuegos tiene acceso restringido a Internet,establezca la direccin del servidor de actualizaciones para queutilice el nombre de host staticupdates.paloaltonetworks.com o ladireccin IP 199.167.52.15. Para aadir seguridad, seleccioneVerificar identidad del servidor de actualizacin. El cortafuegosverificar que el servidor desde el que se descarga el software o elpaquete de contenidos cuenta con un certificado SSL firmado poruna autoridad fiable.

Paso 2 Inicie la interfaz web y vaya a la pgina

Actualizaciones dinmicas.

Seleccione Dispositivo > Actualizaciones dinmicas.

Paso 3 Compruebe las actualizaciones ms recientes.

Haga clic en Comprobar ahora(ubicado en la esquina inferior izquierda de la ventana) para comprobar lasactualizaciones ms recientes. El enlace de la columna Accinindica si una actualizacin est disponible:

Descargar: Indica que hay disponible un nuevo archivo de actualizacin. Haga clic en el enlace para iniciar ladescarga directamente en el cortafuegos. Tras descargarlo correctamente, el enlace en la columnaAccincambia de Descargara Instalar.

Nota No puede descargar la base de datos de antivirus hasta que haya instalado la base de datos de aplicacionesy amenazas.

Actualizar: Indica que hay una nueva versin de la base de datos de BrightCloud disponible. Haga clic en elenlace para iniciar la descarga e instalacin de la base de datos. La actualizacin de la base de datos se iniciaen segundo plano; al completarse aparece una marca de verificacin en la columna Instalado actualmente.Tenga en cuenta que si usa PAN-DB como base de datos de filtrado de URL, no ver ningn enlace deactualizacin porque la base de datos de PAN-DB se sincroniza automticamente con el servidor.

Consejo: Para comprobar el estado de una accin, haga clic enTareas(en la esquina inferior derecha de la ventana).

Revertir: Indica que la versin de software correspondiente se ha descargado anteriormente. Puede decidirrevertir a la versin instalada anteriormente de la actualizacin.


21/495

Primerospasos 13


Instalacin de actualizaciones de software

Al instalar un nuevo cortafuegos, es recomendable usar la actualizacin ms reciente del software (o la versinrecomendada por su distribuidor o por el ingeniero de sistemas de Palo Alto Networks) con el fin de aprovecharlas correcciones y mejoras de seguridad ms recientes. Tenga en cuenta que antes de actualizar el software debe

Paso 4 Instale las actualizaciones.

Nota La instalacin puede tardar hasta20 minutos en un dispositivo PA-200,PA-500 o PA-2000, y hasta dos minutos

en los cortafuegos de las series PA-3000,PA-4000, PA-5000, PA-7050 o VM-Series.

Haga clic en el enlace Instalarde la columna Accin. Cuando secomplete la instalacin, aparecer una marca de verificacin en lacolumna Instalado actualmente.

Paso 5 Programe cada actualizacin.

Repita este paso en cada actualizacin quedesee programar.

Prctica recomendada:

Escalone las programaciones deactualizaciones, dado que el cortafuegosno puede descargar ms de unaactualizacin a la vez. Si ha programado ladescarga de varias actualizaciones almismo tiempo, solo la primera se realizarcorrectamente.

1. Establezca la programacin de cada tipo de actualizacinhaciendo clic en el enlace Ninguna.

2. Especifique la frecuencia de las actualizaciones seleccionando

un valor en el men desplegable Periodicidad. Los valoresdisponibles varan en funcin del tipo de contenido (lasactualizaciones de WildFire estn disponibles cada 15 minutos,cada 30 minutoso cada hora, mientras que para otros tipos decontenidos pueden programarse actualizaciones diariasosemanales).

3. Especifique la hora(o los minutos que pasan de una hora en el casode WildFire) y, si est disponible en funcin de la Periodicidadseleccionada, el dade la semana para realizar la actualizacin.

4. Especifique si desea que el sistema descargue e instalelaactualizacin (prctica recomendada) o que nicamente ladescargue.

5. En raras ocasiones puede haber errores en las actualizaciones decontenido. Por este motivo, tal vez desee retrasar la instalacinde nuevas actualizaciones hasta que lleven varias horaspublicadas. Puede especificar el tiempo de espera tras unapublicacin para realizar una actualizacin de contenidointroduciendo el nmero de horas de espera en el campoUmbral (horas).

6. Haga clic en Aceptarpara guardar estos ajustes deprogramacin.

7. Haga clic en Confirmarpara guardar estos ajustes en laconfiguracin actual.

Descarga de las bases de datos ms recientes (Continuacin)


22/495

14 Primerospasos


asegurarse de tener las actualizaciones de contenido ms recientes segn se indica en la seccin anterior (lasnotas de la versin de una actualizacin de software especifican las versiones de actualizacin de contenidomnimas que son compatibles con la versin).

Actualizacin de PAN-OS

Paso 1 Inicie la interfaz web y vaya a la pginaSoftware. Seleccione Dispositivo > Software.

Paso 2 Compruebe las actualizaciones desoftware.

Haga clic en Comprobar ahorapara comprobar las actualizacionesms recientes. Si el valor de la columna Accines Descargar, indicaque hay una actualizacin disponible.

Paso 3 Descargar la actualizacin.

Nota Si su cortafuegos no tiene acceso aInternet desde el puerto de gestin, puededescargar la actualizacin de softwaredesde el sitio de asistencia tcnica de PaloAlto Networks

(https://support.paloaltonetworks.com).Despus podr cargarlamanualmente ensu cortafuegos.

Busque la versin que quiere y haga clic en Descargar. Cuando secomplete la descarga, el valor en la columna Accin cambia aInstalar.

Paso 4 Instale la actualizacin. 1. Haga clic en Instalar.

2. Reinicie el cortafuegos:

Si se le pide que reinicie, haga clic en S.

Si no se le pide que reinicie, seleccione Dispositivo >Configuracin > Operacionesy haga clic en Reiniciardispositivoen la seccin Operaciones de dispositivo de lapantalla.


23/495

Primerospasos 15

Primeros pasos Creacin del permetro de seguridad

Creacin del permetro de seguridadLos siguientes temas proporcionan pasos bsicos para configurar las interfaces del cortafuegos, definir zonas yconfigurar una poltica de seguridad bsica:

Descripcin general del permetro de seguridad

Configuracin del acceso a la gestin del cortafuegos Configuracin de polticas de NAT

Configuracin de polticas de seguridad bsicas

Descripcin general del permetro de seguridad

El trfico debe pasar por el cortafuegos para que este pueda gestionarlo y controlarlo. Fsicamente, el trficoentra y sale del cortafuegos a travs de las interfaces. El cortafuegos decide cmo actuar sobre un paquetebasndose en si el paquete coincide con unapoltica de seguridad. Al nivel ms bsico, la poltica de seguridad debe

identificar de dnde proviene el trfico y hacia dnde va. En un cortafuegos de prxima generacin de Palo AltoNetworks, se aplican polticas de seguridad entre zonas. Una zonaes un grupo de interfaces (fsicas o virtuales)que proporciona una abstraccin de un rea de confianza para el cumplimiento de una poltica simplificada.Por ejemplo, en el siguiente diagrama de topologa, hay tres zonas: fiable, no fiable y DMZ. El trfico puedecircular libremente dentro de una zona, pero no podr hacerlo entre zonas hasta que no defina una poltica deseguridad que lo permita.

Las siguientes secciones describen los componentes del permetro de seguridad e indican los pasos necesariospara configurar las interfaces del cortafuegos, definir zonas y configurar una poltica de seguridad bsica que

permita el trfico desde su zona interna hasta Internet y DMZ. Al crear inicialmente una poltica bsica comoesta, podr analizar el trfico que circula por su red y utilizar esta informacin para definir polticas msespecficas y as habilitar aplicaciones de forma segura y evitar amenazas.

Implementaciones de cortafuegos bsicas

Acerca de la traduccin de direcciones de red (NAT)

Acerca de las polticas de seguridad


24/495

16 Primerospasos

Creacin del permetro de seguridad Primeros pasos

Implementaciones de cortafuegos bsicas

Todos los cortafuegos de prxima generacin de Palo Alto Networks proporcionan una arquitectura de redflexible que incluye la compatibilidad con el enrutamiento dinmico, la conmutacin y la conectividad de VPN,lo que le permite implementar el cortafuegos en prcticamente cualquier entorno de red. Al configurar los

puertos Ethernet en su cortafuegos, podr elegir entre una implementacin de interfaz de cable virtual, capa 2o capa 3. Adems, para permitirle integrar una variedad de segmentos de red, podr configurar diferentes tiposde interfaces en diferentes puertos. Las secciones siguientes ofrecen informacin bsica sobre cada tipo deimplementacin.

Implementaciones de cable virtual

Implementaciones de capa 2


Para obtener informacin ms detallada sobre la implementacin, consulte Designing Networks with Palo AltoNetworks cortafuegos (Diseo de redes con cortafuegos de Palo Alto Networks).

Implementaciones de cable virtual

En una implementacin de cable virtual, el cortafuegos se instala de forma transparente en un segmento de reduniendo dos puertos. Cuando utilice un cable virtual, podr instalar el cortafuegos en cualquier entorno de redsin volver a configurar los dispositivos adyacentes. Si fuera necesario, un cable virtual puede bloquear o permitirel trfico en funcin de los valores de etiquetas de LAN virtual (VLAN). Tambin puede crear mltiplessubinterfaces y clasificar el trfico en funcin de una direccin IP (nombre, intervalo o subred), VLAN o unacombinacin de ambas.

De forma predeterminada, el Virtual Wire (denominado default-vwire) conecta los puertos Ethernet 1 y 2 ypermite todo el trfico sin etiquetar. Seleccione esta implementacin para simplificar la instalacin y laconfiguracin, y/o evitar cambios de configuracin en los dispositivos de red que se encuentran alrededor.

Un cable virtual es la configuracin predeterminada y solo se debe utilizar cuando no se necesita conmutacino enrutamiento. Si no pretende usar el cable virtual predeterminado, debe eliminar manualmente laconfiguracin antes de continuar con la configuracin de la interfaz para evitar que interfiera con otrasconfiguraciones de interfaz que defina. Para obtener instrucciones sobre cmo eliminar el Virtual Wirepredeterminado, as como sus zonas y poltica de seguridad asociadas, consulte el Paso 3en Establecimiento deun puerto de datos para acceder a servicios externos.


En una implementacin de capa 2, el cortafuegos permite cambiar entre dos o ms interfaces. Cada grupo de

interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar entre ellas. El cortafuegosejecutar el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN comn.Seleccione esta opcin cuando necesite poder alternar.

Para obtener ms informacin sobre las implementaciones de capa 2, consulte Layer 2 Networking Tech Note(Nota tcnica sobre redes de capa 2)y/o Securing Inter VLAN Traffic Tech Note (Nota tcnica sobre proteccin deltrfico entre VLAN).
https://live.paloaltonetworks.com/docs/DOC-2561https://live.paloaltonetworks.com/docs/DOC-2561https://live.paloaltonetworks.com/docs/DOC-2011https://live.paloaltonetworks.com/docs/DOC-2011https://live.paloaltonetworks.com/docs/DOC-2011https://live.paloaltonetworks.com/docs/DOC-2011https://live.paloaltonetworks.com/docs/DOC-2011https://live.paloaltonetworks.com/docs/DOC-2011https://live.paloaltonetworks.com/docs/DOC-2011https://live.paloaltonetworks.com/docs/DOC-2011https://live.paloaltonetworks.com/docs/DOC-2561https://live.paloaltonetworks.com/docs/DOC-2561


25/495

Primerospasos 17



En una implementacin de capa 3, el cortafuegos enruta el trfico entre puertos. Se debe asignar una direccinIP a cada interfaz y definir un enrutador virtual para enrutar el trfico. Seleccione esta opcin cuando necesiteenrutamiento.

Debe asignar una direccin IP a cada interfaz de capa 3 fsica que configure. Tambin puede crear subinterfaceslgicas para cada interfaz de capa 3 fsica que le permitan segregar el trfico de la interfaz basndose en el tagde VLAN (cuando se utilice un enlace troncal de VLAN) o la direccin IP, por ejemplo, para la arquitecturamultiempresa.

Adems, dado que el cortafuegos debe enrutar trfico en una implementacin de capa 3, deber configurar unenrutador virtual. Puede configurar el enrutador virtual para participar con protocolos de enrutamientodinmico (BGP, OSPF o RIP), as como aadir rutas estticas. Tambin puede crear varios enrutadores virtuales,cada uno de los cuales mantendr un conjunto separado de rutas que no se comparten entre enrutadoresvirtuales, lo que le permitir configurar diferentes comportamientos de enrutamiento para diferentes interfaces.

El ejemplo de configuracin de este captulo muestra cmo integrar el cortafuegos en su red de capa 3 utilizandorutas estticas. Para obtener informacin sobre otros tipos de integraciones de enrutamiento, consulte los

documentos siguientes: How to Configure OSPF Tech Note (Nota tcnica sobre cmo configurar OSPF)

How to Configure BGP Tech Note (Nota tcnica sobre cmo configurar BGP)

Acerca de la traduccin de direcciones de red (NAT)

Cuando utilice direcciones IP privadas en sus redes internas, deber utilizar la traduccin de direcciones de red(NAT) para traducir las direcciones privadas en direcciones pblicas que puedan enrutarse a redes externas. EnPAN-OS, cree reglas de poltica NAT que indican al cortafuegos qu paquetes necesitan traduccin y cmorealizar la traduccin. El cortafuegos admite tanto la traduccin de puerto y/o direccin de origen como latraduccin de puerto y/o direccin de destino. Para obtener informacin ms detallada sobre los diferentestipos de reglas de NAT, consulte Understanding and Configuring NAT Tech Note (Nota tcnica sobre la comprensiny configuracin de NAT).

Es importante comprender el modo en que el cortafuegos aplica las polticas NAT y de seguridad paradeterminar qu polticas necesita basndose en las zonas que ha definido. Al entrar, el cortafuegos inspeccionaun paquete para comprobar si coincide con alguna de las reglas de NAT que se han definido, basndose en lazona de origen y/o destino. A continuacin, evala y aplica las reglas de seguridad que coincidan con el paquetebasndose en las direcciones de origen y destino originales (anteriores a NAT). Por ltimo, traduce los nmerosde puerto de origen y/o destino para las reglas de NAT coincidentes al salir. Esta distincin es importante, yaque implica que el cortafuegos determina para qu zona est destinado un paquete basndose en la direccin

del paquete, no en la colocacin del dispositivo basndose en su direccin asignada de manera interna.
https://live.paloaltonetworks.com/docs/DOC-1939https://live.paloaltonetworks.com/docs/DOC-1939https://live.paloaltonetworks.com/docs/DOC-1572https://live.paloaltonetworks.com/docs/DOC-1572https://live.paloaltonetworks.com/docs/DOC-1517https://live.paloaltonetworks.com/docs/DOC-1517https://live.paloaltonetworks.com/docs/DOC-1517https://live.paloaltonetworks.com/docs/DOC-1517https://live.paloaltonetworks.com/docs/DOC-1572https://live.paloaltonetworks.com/docs/DOC-1939


26/495

18 Primerospasos

Creacin del permetro de seguridad Primeros pasos

Acerca de las polticas de seguridad

Las polticas de seguridad protegen los activos de red frente a amenazas e interrupciones y ayudan a asignar demanera ptima los recursos de red para mejorar la productividad y la eficacia en los procesos empresariales. Enel cortafuegos de Palo Alto Networks, las polticas de seguridad determinan si una sesin se bloquear o se

permitir basndose en atributos del trfico, como la zona de seguridad de origen y destino, la direccin IP deorigen y destino, la aplicacin, el usuario y el servicio. De manera predeterminada, se permite el trfico intrazona(es decir, el trfico dentro de la misma zona, por ejemplo, defiable afiable). El trfico entre diferentes zonas(o trfico interzonas) est bloqueado hasta que cree una poltica de seguridad que permita el trfico.

Las polticas de seguridad se evalan de izquierda a derecha y de arriba abajo. Un paquete coincide con la primeraregla que cumpla los criterios definidos; despus de activar una coincidencia, las reglas posteriores no se evalan.Por lo tanto, las reglas ms especficas deben preceder a las ms genricas para aplicar los mejores criterios decoincidencia. El trfico que coincide con una regla genera una entrada de log al final de la sesin en el log detrfico, si se permiten logs para esa regla. Las opciones de logs pueden configurarse para cada regla. Por ejemplo,se pueden configurar para registrarse al inicio de una sesin en lugar o adems de registrarse al final de unasesin.

Componentes de una poltica de seguridad Prcticas recomendadas de polticas

Acerca de objetos de polticas

Acerca de los perfiles de seguridad

Componentes de una poltica de seguridad

La estructura de las polticas de seguridad permite una combinacin de los componentes obligatorios yopcionales enumerados a continuacin.

Campo Descripcin

Campos

obligatorios

Nombre Etiqueta que admite hasta 31 caracteres, utilizada para identificar la regla.

Zona de origen Zona en la que se origina el trfico.

Zona de destino Zona en la que termina el trfico. Si utiliza NAT, asegrese de hacerreferencia siempre a la zona posterior a NAT.

Aplicacin La aplicacin que desea controlar. El cortafuegos utiliza la tecnologa declasificacin de trfico App-ID para identificar el trfico de su red.App-ID permite controlar las aplicaciones y ofrece visibilidad al crearpolticas de seguridad que bloquean las aplicaciones desconocidas, altiempo que se habilitan, inspeccionan y moldean las que estn permitidas.

Accin Especifica una accin depermisoo denegacinpara el trfico basndose enlos criterios que defina en la regla.

Campos

opcionales

Etiqueta Palabra clave o frase que le permite filtrar las reglas de seguridad. Esto es deutilidad cuando ha definido muchas reglas y desea revisar las que estnetiquetadas con una palabra clave especfica, por ejemploEntrante en DMZ.


27/495

Primerospasos 19


Descripcin Campo de texto, de hasta 255 caracteres, utilizado para describir la regla.

Direccin IP de origen Define la direccin IP o FQDN de host, la subred, los grupos nombradoso el cumplimiento basado en el pas. Si utiliza NAT, asegrese de hacer

siempre referencia a las direcciones IP originales del paquete (es decir, ladireccin IP anterior a NAT).

Direccin IP de destino Ubicacin o destino del trfico. Si utiliza NAT, asegrese de hacer siemprereferencia a las direcciones IP originales del paquete (es decir, la direccinIP anterior a NAT).

Usuario Usuario o grupo de usuarios a los que se aplica la poltica. Debe tenerhabilitado User-ID en la zona. Para habilitar User-ID, consulteDescripcin general de User-ID.

Categora de URL El uso de Categora de URL como criterios de coincidencia le permitepersonalizar perfiles de seguridad (antivirus, antispyware,vulnerabilidades, bloqueo de archivos, filtrado de datos y DoS) segn la

categora de URL. Por ejemplo, puede impedir la descarga/carga dearchivos .exe para las categoras de URL que representen un riesgo msalto, mientras que s lo permite para otras categoras. Esta funcionalidadtambin le permite adjuntar programaciones a categoras de URLespecficas (permitir sitios web de redes sociales durante el almuerzo ydesp

Guia de administración FW Palo Alto

Documents

Transcript of Guia de administración FW Palo Alto