Palo Alto Networks

Gua de inicio de PAN-OSPAN-OS 6.0

Informacin de contacto

Sede de la empresa:Palo Alto Networks4401 Great America ParkwaySanta Clara, CA 95054-1211

http://www.paloaltonetworks.com/contact/contact/

Acerca de esta gua

Esta Gua de inicio le ayudar durante la configuracin inicial y bsica de los firewalls de Palo Alto Networks. Puede usar esta gua una vez haya completado el montaje en rack del firewall basado en hardware o haya creado su firewall virtual; est orientada a administradores que buscan un marco bsico para configurar rpidamente el firewall como puerta de enlace de seguridad.

Para obtener ms informacin, consulte las siguientes fuentes:

Para obtener informacin sobre las capacidades adicionales e instrucciones sobre la configuracin de las funciones del firewall, vaya a https://www.paloaltonetworks.com/documentation.

Para acceder a la base de conocimientos, un completo conjunto de documentacin, foros de debate y vdeos, vaya a https://live.paloaltonetworks.com.

Para contactar con el servicio de asistencia tcnica, informarse sobre los programas de asistencia o gestionar su cuenta o sus dispositivos, vaya a https://support.paloaltonetworks.com.

Para consultar las notas de versin ms recientes, vaya a la pgina de actualizaciones de software en https://support.paloaltonetworks.com/Updates/SoftwareUpdates.

En esta gua se incluyen procedimientos para configurar el firewall usando la interfaz web del dispositivo. No incluye procedimientos para la implementacin de firewalls utilizando Panorama. Para obtener ms informacin sobre el uso de Panorama, consulte la Gua del administrador de Panorama.

Para enviar sus comentarios sobre la documentacin, dirjase a: documentation@paloaltonetworks.com.

Palo Alto Networks, Inc.www.paloaltonetworks.com 2014 Palo Alto Networks. Todos los derechos reservados.

Palo Alto Networks, PAN-OS y Panorama son marcas comerciales de Palo Alto Networks, Inc. Todas las dems marcas comerciales son propiedad de sus respectivos propietarios.

Nmero de pieza 810-000232-00A ii

Contenido

Integracin del firewall en la red de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . .1Configuracin del acceso a la gestin del firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Determinacin de la estrategia de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2Realizacin de la configuracin inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2Establecimiento de acceso a la red para servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Activacin de servicios de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Registro en Palo Alto Networks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Activacin de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Gestin de la actualizacin de contenidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Instalacin de actualizaciones de software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Adicin de administradores de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Funciones administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Autenticacin administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Creacin de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Supervisin del firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Supervisin de aplicaciones y amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Visualizacin de datos de logs locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Reenvo de logs a servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Supervisin del Firewall mediante SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Creacin del permetro de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31Descripcin general del permetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Implementaciones de firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Acerca de la traduccin de direccin de red (NAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Acerca de las polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Configuracin de interfaces y zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Planificacin de su implementacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Configuracin de interfaces y zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Configuracin de polticas NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Traduccin de direcciones IP de clientes internos a su direccin IP pblica . . . . . . . . . . . . . . . . . . . . 45Habilitacin de clientes de la red interna para acceder a sus servidores pblicos . . . . . . . . . . . . . . . . . 46Habilitacin de la traduccin de direcciones bidireccional para sus servidores pblicos . . . . . . . . . . . 47

Configuracin de polticas de seguridad bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Creacin de reglas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Comprobacin de sus polticas de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Supervisin del trfico de su red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Proteccin de su red contra amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57Habilitacin de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Exploracin del trfico en busca de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Configuracin de antivirus, antispyware y proteccin contra vulnerabilidades . . . . . . . . . . . . . . . . . . . 60Configuracin de bloqueo de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Control del acceso a contenido web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Gua de inicio iii

Contenido

Configuracin de identificacin de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . 69

Descripcin general de identificacin de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Acerca de la asignacin de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Acerca de la asignacin de usuarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

Activacin de la identificacin de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Asignacin de usuarios a grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Asignacin de direcciones IP a usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Habilitacin de poltica basada en usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Verificacin de la configuracin del ID de usuario (User-ID) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Configuracin de alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Descripcin general de la alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

Modos de HA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Enlaces de HA y enlaces de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Prioridad y preferencia de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Activadores de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Temporizadores de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Requisitos para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Directrices de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Configuracin de un par activo/pasivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Definicin de las condiciones de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Verificacin de conmutacin por error. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108iv Gua de inicio

Integracin del firewall en la red de gestin

Los siguientes temas describen cmo realizar los pasos de la configuracin inicial necesarios para integrar un nuevo firewall en la red de gestin y prepararla para la configuracin de seguridad: Configuracin del acceso a la gestin del firewall Activacin de servicios de firewall Adicin de administradores de firewall Supervisin del firewallGua de inicio 1

Configuracin del acceso a la gestin del firewall Integracin del firewall en la red de gestinConfiguracin del acceso a la gestin del firewall Todos los firewalls de Palo Alto Networks incluyen un puerto de gestin externo (MGT) que puede usar para llevar a cabo las funciones de administracin del firewall. Al usar el puerto de gestin, est separando las funciones de gestin del firewall de las funciones de procesamiento de datos, de modo que protege el acceso al firewall y mejora el rendimiento. Al usar la interfaz web, debe realizar todas las tareas de configuracin inicial desde el puerto de gestin, incluso aunque pretenda usar un puerto interno para gestionar su dispositivo ms adelante.

Algunas tareas de gestin, como la recuperacin de licencias, la actualizacin de amenazas y las firmas de las aplicaciones en el firewall requieren acceso a Internet. Si no desea activar el acceso externo a su puerto de gestin, deber establecer un puerto de datos para permitir el acceso a los servicios externos requeridos o plantearse cargar manualmente actualizaciones de forma regular.

Las siguientes secciones contienen instrucciones para establecer el acceso de gestin al firewall: Determinacin de la estrategia de gestin Realizacin de la configuracin inicial Establecimiento de acceso a la red para servicios externos

Determinacin de la estrategia de gestin

El firewall Palo Alto Networks puede configurarse y gestionarse de forma local o gestionarse de forma central usando Panorama, el sistema de gestin de seguridad centralizado de Palo Alto Networks. Si tiene seis o ms firewalls implementados en su red, use Panorama para obtener estas ventajas:

Reducir la complejidad y la carga administrativa en la configuracin de la gestin, polticas, software y cargas de contenido dinmico. Usando las plantillas y grupos de dispositivos de Panorama puede gestionar eficazmente la configuracin especfica de los dispositivos en un dispositivo e introducir las polticas compartidas en todos los dispositivos o grupos de dispositivos.

Agregar datos de todos los firewalls gestionados y conseguir visibilidad en todo el trfico de su red. El Centro de comando de aplicacin (ACC) de Panorama ofrece un panel de pantalla nica para unificar informes de todos los firewalls que le permiten realizar anlisis, investigaciones e informes de forma central sobre el trfico de red, los incidentes de seguridad y las modificaciones administrativas.

Los procedimientos de este documento describen cmo gestionar el firewall usando la interfaz web local. Si quiere utilizar Panorama para la gestin centralizada, cuando haya completado las instrucciones de la seccin Realizacin de la configuracin inicial de esta gua y haya verificado que el firewall puede establecer una conexin con Panorama, consulte la Gua del administrador de Panorama para obtener ms instrucciones sobre la configuracin de su firewall de forma central.

Realizacin de la configuracin inicial

De forma predeterminada, la direccin IP del firewall es 192.168.1.1 y el nombre de usuario/contrasea es admin/admin. Por motivos de seguridad, debe cambiar estos ajustes antes de continuar con otras tareas de configuracin del firewall. Debe realizar estas tareas de configuracin inicial desde la interfaz de gestin (MGT), aunque no pretenda usar esta interfaz para la gestin de su firewall, o usar una conexin de serie directa al puerto de la consola del dispositivo.2 Gua de inicio

Integracin del firewall en la red de gestin Configuracin del acceso a la gestin del firewall Configuracin del acceso de red al firewall

Paso 1 Obtenga la informacin necesaria de su administrador de red.

Direccin IP para el puerto MGT

Mscara de red Puerta de enlace predeterminada Direccin de servidor DNS

Paso 2 Conecte su ordenador al firewall. Puede conectarse al firewall de uno de estos modos: Conecte un cable serie desde su ordenador al puerto de la consola y

conecte con el firewall usando el software de emulacin de terminal (9600-8-N-1). Espere unos minutos hasta que se complete la secuencia de arranque; cuando el dispositivo est listo, el mensaje cambiar al nombre del firewall, por ejemplo PA-500 login.

Conecte un cable Ethernet RJ-45 desde su ordenador hasta el puerto de gestin del firewall. Use un navegador para ir a https://192.168.1.1. Tenga en cuenta que tal vez deba cambiar la direccin IP de su ordenador a una direccin de la red 192.168.1.0, como 192.168.1.2, para acceder a esta URL.

Paso 3 Cuando se le indique, inicie sesin en el firewall.

Debe iniciar sesin usando el nombre de usuario y contrasea predeterminados (admin/admin). El firewall comenzar a inicializarse.

Paso 4 Configure la interfaz de gestin. 1. Seleccione Dispositivo > Configuracin > Gestin y, a continuacin, haga clic en el icono Editar de la seccin Configuracin de interfaz de gestin de la pantalla. Introduzca la direccin IP, mscara de red y puerta de enlace predeterminada.

2. Fije la velocidad en negociacin automtica.3. Seleccione los servicios de gestin que permitir en la interfaz.

Prctica recomendada:Asegrese de que ni Telnet ni HTTP estn seleccionados, ya que estos servicios usan texto sin formato y no son tan seguros como los otros servicios.

4. Haga clic en ACEPTAR.

Paso 5 (Opcional) Configure los ajustes generales del firewall.

1. Seleccione Dispositivo > Configuracin > Gestin y haga clic en el icono Editar de la seccin Configuracin general de la pantalla.

2. Introduzca un nombre de host para el firewall y el nombre de dominio de su red. El nombre de dominio tan solo es una etiqueta, no se usar para unirse al dominio.

3. Introduzca la Latitud y Longitud para permitir la colocacin precisa del firewall en el mapamundi.

4. Haga clic en ACEPTAR.Gua de inicio 3

Configuracin del acceso a la gestin del firewall Integracin del firewall en la red de gestinPaso 6 Configure los ajustes de DNS, hora y fecha.

Nota Debe configurar manualmente al menos un servidor DNS en el firewall o no podr resolver los nombres de host; no usar configuraciones del servidor DNS de otra fuente, como un ISP.

1. Seleccione Dispositivo > Configuracin > Servicios y haga clic en el icono Editar de la seccin Servicios de la pantalla.

2. Introduzca la direccin IP de su Servidor DNS principal y, de manera opcional, de su Servidor DNS secundario.

3. Para usar el clster virtual de servidores horarios de Internet, introduzca el nombre de host pool.ntp.org como servidor NTP principal o aada la direccin IP de su servidor NTP principal y, de manera opcional, su servidor NTP secundario.

4. Haga clic en Aceptar para guardar la configuracin.

Paso 7 Establezca una contrasea segura para la cuenta de administrador.

1. Seleccione Dispositivo > Administradores.2. Seleccione la funcin admin.3. Introduzca la contrasea predeterminada actual y la nueva

contrasea.4. Haga clic en Aceptar para guardar la configuracin.

Paso 8 Compile los cambios.Nota Al guardar los cambios de configuracin,

perder la conexin con la interfaz web, ya que la direccin IP habr cambiado.

Haga clic en Confirmar. El dispositivo puede tardar hasta 90 segundos en guardar sus cambios.

Paso 9 Conecte el firewall a su red. 1. Desconecte el firewall de su ordenador.2. Conecte el puerto de gestin a un puerto de conmutador en su

red de gestin usando un cable Ethernet RJ-45. Asegrese de que el puerto de conmutacin que conecta al firewall mediante un cable est configurado para negociacin automtica.

Paso 10 Abra una sesin de gestin SSH en el firewall.

Usando un software de emulacin de terminal, como PuTTY, inicie una sesin SSH en el firewall usando la nueva direccin IP que le ha asignado.

Paso 11 Verifique el acceso a la red para los servicios externos requeridos para la gestin del firewall, como el servidor de actualizaciones de Palo Alto Networks, de uno de estos modos: Si no desea permitir que una red

externa acceda a la interfaz de gestin, tendr que configurar un puerto de datos para recuperar las actualizaciones de servicio requeridas. Vaya a Establecimiento de acceso a la red para servicios externos.

Si va a permitir que una red externa acceda a la interfaz de gestin, compruebe que tiene conexin y vaya a Activacin de servicios de firewall.

Si ha conectado el puerto de gestin con un cable para tener acceso desde una red externa, compruebe que tiene acceso al firewall y desde el mismo usando la utilidad ping de la CLI. Asegrese de que tiene conexin a la puerta de enlace predeterminada, servidor DNS y el servidor de actualizacin de Palo Alto Networks como se muestra en el siguiente ejemplo:admin@PA-200> ping host updates.paloaltonetworks.comHaciendo ping a updates.paloaltonetworks.com (67.192.236.252) con 56(84) bytes de datos.64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=40.5 ms64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=53.6 ms64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=79.5 ms

Nota Cuando haya comprobado la conectividad, pulse Ctrl+C para detener los pings.

Configuracin del acceso de red al firewall (Continuacin)4 Gua de inicio

Integracin del firewall en la red de gestin Configuracin del acceso a la gestin del firewall Establecimiento de acceso a la red para servicios externos

De manera predeterminada, el firewall usa la interfaz de gestin para acceder a servicios remotos, como servidores DNS, actualizaciones de contenido y recuperacin de licencias. Si no quiere activar el acceso de una red externa a su red de gestin, debe establecer un puerto de datos para ofrecer acceso a aquellos servicios externos requeridos.

Para esta tarea debe estar familiarizado con zonas, polticas e interfaces de firewall. Si desea ms informacin sobre estos temas, consulte Creacin del permetro de seguridad.

Establecimiento de un puerto de datos para acceder a servicios externos

Paso 1 Decida el puerto que desea usar para acceder a servicios externos y conctelo al puerto del conmutador o al puerto del enrutador.

La interfaz que use necesitar una direccin IP esttica.

Paso 2 Inicie sesin en la interfaz web. Si usa una conexin segura (https) desde su navegador web, inicie sesin usando la nueva direccin IP y contrasea que asign durante la configuracin inicial (https://). Ver una advertencia de certificacin; es normal. Vaya a la pgina web.

Paso 3 (Opcional) El firewall viene preconfigura-do con una interfaz de cable virtual prede-terminada entre los puertos Ethernet 1/1 y Ethernet 1/2 (y sus correspondientes zonas y polticas de seguridad predetermi-nadas). Si no pretende usar esta configura-cin de cable virtual, debe eliminar manualmente la configuracin para evitar que interfiera con otras configuraciones de interfaz que defina.

Debe eliminar la configuracin en el siguiente orden:1. Para eliminar la poltica de seguridad predeterminada, seleccione

Polticas > Seguridad, seleccione la regla y haga clic en Eliminar.

2. A continuacin, elimine el cable virtual predeterminado seleccionando Red > Cables virtuales, seleccionando el cable virtual y haciendo clic en Eliminar.

3. Para eliminar las zonas fiables y no fiables predeterminadas, seleccione Red > Zonas, seleccione cada zona y haga clic en Eliminar.

4. Por ltimo, elimine las configuraciones de interfaz seleccionando Red > Interfaces y, a continuacin, seleccione cada interfaz (ethernet1/1 y ethernet1/2) y haga clic en Eliminar.

5. Confirme los cambios.Gua de inicio 5

Configuracin del acceso a la gestin del firewall Integracin del firewall en la red de gestinPaso 4 Configure la interfaz. 1. Seleccione Red > Interfaces y seleccione la interfaz que corresponde al puerto en el que conect el cable en el paso 1.

2. Seleccione el Tipo de interfaz. Aunque su decisin aqu depende de la topologa de su red, este ejemplo muestra los pasos para Capa3.

3. En la pestaa Configurar, ample el men desplegable Zona de seguridad y seleccione Nueva zona.

4. En el cuadro de dilogo Zona, defina un Nombre para una nueva zona, por ejemplo L3-fiable, y haga clic en Aceptar.

5. Seleccione la pestaa IPv4, seleccione el botn de opcin Esttico, haga clic en Aadir en la seccin IP e introduzca la direccin IP y la mscara de red para asignarlas a la interfaz, por ejemplo, 192.168.1.254/24.

6. Seleccione Avanzada > Otra informacin, ample el men desplegable Perfil de gestin y seleccione Nuevo perfil de gestin.

7. Introduzca un Nombre para el perfil, como permitir_ping, y seleccione a continuacin los servicios que desea permitir en la interfaz. Estos servicios ofrecen acceso a la gestin del dispositivo, as que seleccione solo los servicios que correspondan a actividades de gestin que desee permitir en esta interfaz. Por ejemplo, si desea utilizar la interfaz de gestin para las tareas de configuracin del dispositivo a travs de la interfaz web o CLI, no debera activar HTTP, HTTPS, SSH o Telnet para poder evitar el acceso no autorizado a travs de esta interfaz. Para permitir el acceso a los servicios externos, probablemente solo tenga que activar Ping y despus hacer clic en Aceptar.

8. Para guardar la configuracin de la interfaz, haga clic en Aceptar.

Establecimiento de un puerto de datos para acceder a servicios externos (Continuacin)6 Gua de inicio

Integracin del firewall en la red de gestin Configuracin del acceso a la gestin del firewall Paso 5 Dado que el firewall usa la interfaz de gestin de manera predeterminada para acceder a los servicios externos que necesita, debe cambiar la interfaz que usa el firewall para enviar estas solicitudes editando las rutas de servicios.

1. Seleccione Dispositivo > Configuracin > Servicios > Configuracin de ruta de servicios.

Nota Para activar sus licencias y obtener el contenido y las actualizaciones de software ms recientes, debe cambiar la ruta de servicios de DNS, Actualizaciones de Palo Alto, Actualizaciones de URL y WildFire.

2. Haga clic en el botn de opcin Personalizar y seleccione una de las siguientes opciones: En un servicio predefinido, seleccione IPv4 o IPv6 y haga clic

en el enlace del servicio para el que quiera modificar la interfaz de origen y seleccione la interfaz que acaba de configurar.

Si se configura ms de una direccin IP para la interfaz seleccionada, el men desplegable Direccin de origen le permite seleccionar una direccin IP.

Para crear una ruta de servicio para un destino personalizado, seleccione Destino y haga clic en Aadir. Introduzca un nombre de destino y seleccione una interfaz de origen. Si se configura ms de una direccin IP para la interfaz seleccionada, el men desplegable Direccin de origen le permite seleccionar una direccin IP.

3. Haga clic en ACEPTAR para guardar la configuracin.4. Repita los pasos del 2 al 3 indicados anteriormente para cada

ruta de servicio que quiera modificar. 5. Compile los cambios.

Establecimiento de un puerto de datos para acceder a servicios externos (Continuacin)Gua de inicio 7

Configuracin del acceso a la gestin del firewall Integracin del firewall en la red de gestinPaso 6 Configure una interfaz de orientacin externa y una zona asociada y, a continuacin, cree las reglas de poltica NAT y de seguridad para permitir que el firewall enve solicitudes de servicio de la zona interna a la externa:1. Seleccione Red > Interfaces y, a continuacin, seleccione su interfaz de orientacin externa. Seleccione Capa3

como el Tipo de interfaz, aada la direccin IP (en la pestaa IPv4 o IPv6), y cree la Zona de seguridad asociada (en la pestaa Configuracin), tal como l3-nofiable. No necesita configurar servicios de gestin en esta interfaz.

2. Para configurar una regla de seguridad que permita el trfico desde su red interna al servidor de actualizaciones de Palo Alto Networks y los servidores DNS externos, seleccione Polticas > Seguridad y haga clic en Aadir. Para realizar la configuracin inicial, puede crear una regla simple que permita todo el trfico de l3-fiable a l3-nofiable del siguiente modo:

3. Si usa una direccin IP privada en la interfaz de orientacin interna, deber crear una regla NAT de origen para traducir la direccin a una direccin enrutable pblicamente. Seleccione Polticas > NAT y, a continuacin, haga clic en Aadir. Como mnimo deber definir un nombre para la regla (pestaa General), especificar una zona de origen y destino, l3-fiable a l3-nofiable en este caso (pestaa Paquete original), y definir la configuracin de traduccin de direccin de origen (pestaa Paquete traducido); a continuacin debe hacer clic en Aceptar. Si desea ms informacin sobre NAT, consulte Configuracin de polticas NAT.

4. Compile los cambios.

Paso 7 Compruebe que tiene conectividad desde el puerto de datos a los servicios externos, incluida la puerta de enlace predeterminada, el servidor DNS y el servidor de actualizacin de Palo Alto Networks.

Tras comprobar que tiene la conectividad de red requerida, vaya a Activacin de servicios de firewall.

Inicie la CLI y use la utilidad ping para comprobar que tiene conectividad. Tenga en cuenta que los pings predeterminados se envan desde la interfaz MGT, por lo que en este caso deber especificar la interfaz de origen para las solicitudes de ping del siguiente modo:admin@PA-200> origen de ping 192.168.1.254 host updates.paloaltonetworks.comHacer ping a updates.paloaltonetworks.com (67.192.236.252) desde 192.168.1.254 : 56(84) bytes de datos.64 bytes desde 67.192.236.252: icmp_seq=1 ttl=242 tiempo=56.7 ms64 bytes desde 67.192.236.252: icmp_seq=2 ttl=242 tiempo=47.7 ms64 bytes desde 67.192.236.252: icmp_seq=3 ttl=242 tiempo=47.6 ms^C

Cuando haya comprobado la conectividad, pulse Ctrl+C para detener los pings.

Establecimiento de un puerto de datos para acceder a servicios externos (Continuacin)8 Gua de inicio

Integracin del firewall en la red de gestin Activacin de servicios de firewall Activacin de servicios de firewallAntes de que pueda empezar a usar el firewall para proteger su red, debe registrarlo y activar las licencias de los servicios que ha adquirido. Adems, debe asegurarse de que est ejecutando la versin adecuada de PAN-OS como se describe en las siguientes secciones: Registro en Palo Alto Networks Activacin de licencias Gestin de la actualizacin de contenidos Instalacin de actualizaciones de software

Registro en Palo Alto Networks

Activacin de licencias

Antes de que pueda empezar a usar su firewall para proteger el trfico de su red, deber activar las licencias de cada uno de los servicios que ha adquirido. Entre las licencias y suscripciones disponibles se incluyen:

Prevencin de amenazas: Proporciona proteccin antivirus, antispyware y contra vulnerabilidades. Si desea ms informacin sobre la prevencin de amenazas, consulte Configuracin de antivirus, antispyware y proteccin contra vulnerabilidades.

Registro del firewall

Paso 1 Inicie sesin en la interfaz web. Si usa una conexin segura (https) desde su navegador web, inicie sesin usando la nueva direccin IP y contrasea que asign durante la configuracin inicial (https://). Ver un advertencia de certificacin; es normal. Vaya a la pgina web.

Paso 2 Busque el nmero de serie y cpielo en el portapapeles.

En el Panel, busque su nmero de serie en la seccin Informacin general de la pantalla.

Paso 3 Vaya al sitio de asistencia de Palo Alto Networks.

En una ventana o pestaa nueva del navegador, vaya a https://support.paloaltonetworks.com.

Paso 4 Registre el dispositivo. El modo de registrarse depender de que tenga o no un inicio de sesin en el sitio de asistencia tcnica.

Si es el primer dispositivo de Palo Alto Networks que registra y an no tiene un inicio de sesin, haga clic en Registrar en el lado derecho de la pgina. Para registrarse, debe proporcionar su direccin de correo electrnico y el nmero de serie de su firewall (que puede pegar desde el portapapeles). Tambin se le pedir que establezca un nombre de usuario y una contrasea para acceder a la comunidad de asistencia tcnica de Palo Alto Networks.

Si ya dispone de una cuenta de asistencia tcnica, inicie sesin y haga clic en Mis dispositivos. Desplcese hasta la seccin Registrar dispositivo, en la parte inferior de la pantalla, e introduzca el nmero de serie de su firewall (que puede pegar desde el portapapeles), su ciudad y su cdigo postal, y haga clic en Registrar dispositivo.Gua de inicio 9

Activacin de servicios de firewall Integracin del firewall en la red de gestin Reflejo de puerto de descifrado: Permite crear una copia del trfico descifrado desde un firewall y enviarlo a una herramienta de recopilacin de trfico que sea capaz de recibir capturas de paquetes sin formato, como NetWitness o Solera, para su archivado y anlisis.

Filtrado de URL: Para crear reglas de poltica basadas en categoras de URL dinmicas, debe adquirir e instalar una suscripcin para una de las bases de datos de filtrado de URL compatibles: PAN-DB o BrightCloud. Para obtener ms informacin sobre el filtrado de URL, consulte Control del acceso a contenido web.

Sistemas virtuales: Esta licencia es necesaria para habilitar la compatibilidad con varios sistemas virtuales en los firewalls de las series PA-2000 y PA-3000. Adems, debe adquirir una licencia de sistemas virtuales si desea utilizar un nmero de sistemas virtuales superior al ofrecido de manera predeterminada por los firewalls de las series PA-4000 y PA-5000 (el nmero bsico vara segn la plataforma). Las series PA-500, PA-200 y VM-Series no son compatibles con sistemas virtuales.

WildFire: Aunque la compatibilidad bsica con WildFire est incluida como parte de la licencia de prevencin de amenazas, el servicio de suscripcin a WildFire ofrece servicios mejorados para aquellas organizaciones que necesitan una cobertura inmediata frente a las amenazas, y permite actualizaciones de la firma de WildFire con una frecuencia inferior a una hora, el reenvo de tipos de archivos avanzados (APK, PDF, Microsoft Office y applet Java) y la capacidad para cargar archivos usando la API de WildFire. Tambin se requiere una suscripcin a WildFire si sus firewalls van a reenviar archivos a un dispositivo WF-500 WildFire privado. Si desea ms informacin sobre WildFire, consulte Habilitacin de WildFire.

GlobalProtect: Ofrece soluciones de movilidad y/o funciones de VPN a gran escala. De forma predeterminada, puede implementar una nica puerta de enlace y portal GlobalProtect (sin comprobaciones de HIP) sin licencia. Sin embargo, si desea implementar varias puertas de enlace, debe adquirir una licencia de portal (licencia permanente y nica). Si desea utilizar comprobaciones de host, tambin necesitar licencias de puertas de enlace (suscripcin) para cada puerta de enlace. Para obtener ms informacin sobre GlobalProtect, consulte la Gua del administrador de GlobalProtect.

Activacin de licencias

Paso 1 Encuentre los cdigos de activacin de las licencias que ha adquirido.

Al comprar las suscripciones debi recibir un mensaje de correo electrnico del servicio de atencin al cliente de Palo Alto Networks con los cdigos de activacin asociados a cada suscripcin. Si no encuentra este mensaje, pngase en contacto con atencin al cliente para recibir sus cdigos de activacin antes de continuar.

Paso 2 Inicie la interfaz web y vaya a la pgina de licencias.

Seleccione Dispositivo > Licencias.

Paso 3 Active todas las licencias que ha adquirido.

Nota Si su firewall no tiene acceso a Internet desde el puerto de gestin, puede descargar sus licencias de forma manual desde el sitio de asistencia tcnica y cargarlas en el firewall usando la opcin Clave de licencia de carga manual.

1. Seleccione Activar caracterstica mediante cdigo de autorizacin.

2. Cuando se le indique, introduzca el Cdigo de autorizacin y haga clic en Aceptar.

3. Compruebe que la licencia se haya activado correctamente. Por ejemplo, tras activar la licencia de WildFire, debera ver que la licencia es vlida:10 Gua de inicio

Integracin del firewall en la red de gestin Activacin de servicios de firewall Gestin de la actualizacin de contenidos

Para estar al da del cambiante panorama de amenazas y aplicaciones, todos los firewalls de Palo Alto Networks son compatibles con actualizaciones de contenido dinmicas. En funcin de las suscripciones que haya adquirido, estas actualizaciones incluyen las firmas de aplicaciones y amenazas ms recientes, junto con una base de datos de filtrado de URL. Para garantizar una proteccin constante contra las amenazas ms recientes (incluidas aquellas que an no se han descubierto), debe asegurarse de mantener actualizados sus firewalls con las actualizaciones ms recientes de Palo Alto Networks. Estn disponibles las siguientes actualizaciones de contenido, dependiendo de las suscripciones que posea:

Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas descubiertas por el servicio en la nube WildFire. Debe contar con una suscripcin a prevencin de amenazas para obtener estas actualizaciones. Se publican nuevas firmas de antivirus todos los das.

Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta actualizacin no requiere suscripciones adicionales, pero s un contrato de asistencia/mantenimiento en vigor. Todas las semanas se publican nuevas actualizaciones de aplicaciones.

Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y actualizadas. Esta actualizacin est disponible si cuenta con una suscripcin de prevencin de amenazas (y la obtiene en lugar de la actualizacin de aplicaciones). Todas las semanas se publican nuevas aplicaciones y amenazas.

Archivo de datos de GlobalProtect: Contiene la informacin especfica del proveedor para definir y evaluar los datos del perfil de informacin del host (HIP) proporcionados por los agentes de GlobalProtect. Debe tener una licencia de puerta de enlace de GlobalProtect y portal GlobalProtect para recibir estas actualizaciones. Adems, debe crear una programacin para estas actualizaciones antes de que GlobalProtect funcione.

Filtrado de URL de BrightCloud: Ofrece actualizaciones nicamente para la base de datos de filtrado de URL de BrightCloud. Debe contar con una suscripcin a BrightCloud para obtener estas actualizaciones. Todos los das se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. Si tiene una licencia de PAN-DB, las actualizaciones programadas no son necesarias ya que los dispositivos permanecen sincronizados con los servidores de forma automtica.

WildFire: Proporciona firmas de malware y antivirus casi en tiempo real como consecuencia del anlisis realizado por el servicio de la nube de WildFire. Sin la suscripcin, debe esperar de 24 a 48 horas para que las firmas entren a formar parte de la actualizacin de aplicaciones y amenazas.

Aunque puede descargar e instalar de forma manual las actualizaciones de contenido en cualquier momento, es recomendable programar las actualizaciones para que se realicen automticamente.

Si su firewall no tiene acceso a Internet desde el puerto de gestin, puede descargar actualizaciones de contenido desde el sitio de asistencia de Palo Alto Networks (https://support.paloaltonetworks.com) y, a continuacin, cargarlas en su firewall.

Descarga de las bases de datos ms recientes

Paso 1 Inicie la interfaz web y vaya a la pgina Actualizaciones dinmicas.

Seleccione Dispositivo > Actualizaciones dinmicas.Gua de inicio 11

Activacin de servicios de firewall Integracin del firewall en la red de gestinPaso 2 Compruebe las actualizaciones ms recientes.

Haga clic en Comprobar ahora (ubicado en la esquina inferior izquierda de la ventana) para comprobar las actualizaciones ms recientes. El enlace de la columna Accin indica si una actualizacin est disponible: Descargar: Indica que hay disponible un nuevo archivo de actualizacin. Haga clic en el enlace para iniciar la

descarga directamente en el firewall. Tras descargarlo correctamente, el enlace en la columna Accin cambia de Descargar a Instalar.

Nota No puede descargar la base de datos de antivirus hasta que haya instalado la base de datos de aplicaciones y amenazas.

Actualizar: Indica que hay una nueva versin de la base de datos de BrightCloud disponible. Haga clic en el enlace para iniciar la descarga e instalacin de la base de datos. La actualizacin de la base de datos se inicia en segundo plano; al completarse aparece una marca de verificacin en la columna Instalado actualmente. Tenga en cuenta que si usa PAN-DB como base de datos de filtrado de URL, no ver ningn enlace de actualizacin porque la base de datos de PAN-DB se sincroniza automticamente con el servidor.

Consejo: Para comprobar el estado de una accin, haga clic en Tareas (en la esquina inferior derecha de la ventana).

Revertir: Indica que la versin de software correspondiente se ha descargado anteriormente. Puede decidir revertir a la versin instalada anteriormente de la actualizacin.

Paso 3 Instale las actualizaciones. Nota La instalacin puede tardar hasta

20 minutos en un dispositivo PA-200, PA-500 o PA-2000, y hasta dos minutos en los firewalls de las series PA-3000, PA-4000, PA-5000 o VM.

Haga clic en el enlace Instalar de la columna Accin. Cuando se complete la instalacin, aparecer una marca de verificacin en la columna Instalado actualmente.

Descarga de las bases de datos ms recientes (Continuacin)12 Gua de inicio

Integracin del firewall en la red de gestin Activacin de servicios de firewall Instalacin de actualizaciones de software

Al instalar un nuevo firewall, es recomendable usar la actualizacin ms reciente del software (o la versin recomendada por su distribuidor o por el ingeniero de sistemas de Palo Alto Networks) con el fin de aprovechar las correcciones y mejoras de seguridad ms recientes. Tenga en cuenta que antes de actualizar el software debe asegurarse de tener las actualizaciones de contenido ms recientes segn se indica en la seccin anterior (las notas de la versin de una actualizacin de software especifican las versiones de actualizacin de contenido mnimas que son compatibles con la versin).

Paso 4 Programe cada actualizacin.

Repita este paso en cada actualizacin que desee programar.

Prctica recomendada:

Escalone las programaciones de actualizaciones, dado que el firewall no puede descargar ms de una actualizacin a la vez. Si ha programado la descarga de varias actualizaciones al mismo tiempo, solo la primera se realizar correctamente.

1. Establezca la programacin de cada tipo de actualizacin haciendo clic en el enlace Ninguna.

2. Especifique la frecuencia de las actualizaciones seleccionando un valor en el men desplegable Periodicidad. Los valores disponibles varan en funcin del tipo de contenido (las actualizaciones de WildFire estn disponibles cada 15 minutos, cada 30 minutos o cada hora, mientras que para otros tipos de contenidos pueden programarse actualizaciones diarias o semanales).

3. Especifique la hora (o los minutos que pasan de una hora en el caso de WildFire) y, si est disponible en funcin de la Periodicidad seleccionada, el da de la semana para realizar la actualizacin.

4. Especifique si desea que el sistema descargue e instale la actualizacin (prctica recomendada) o que nicamente la descargue.

5. En raras ocasiones puede haber errores en las actualizaciones de contenido. Por este motivo, tal vez desee retrasar la instalacin de nuevas actualizaciones hasta que lleven varias horas publicadas. Puede especificar el tiempo de espera tras una publicacin para realizar una actualizacin de contenido introduciendo el nmero de horas de espera en el campo Umbral (horas).

6. Haga clic en Aceptar para guardar estos ajustes de programacin.

7. Haga clic en Confirmar para guardar estos ajustes en la configuracin actual.

Actualizacin de PAN-OS

Paso 1 Inicie la interfaz web y vaya a la pgina Software.

Seleccione Dispositivo > Software.

Paso 2 Compruebe las actualizaciones de software.

Haga clic en Comprobar ahora para comprobar las actualizaciones ms recientes. Si el valor de la columna Accin es Descargar, indica que hay una actualizacin disponible.

Descarga de las bases de datos ms recientes (Continuacin)Gua de inicio 13

Activacin de servicios de firewall Integracin del firewall en la red de gestinPaso 3 Descargar la actualizacin.Nota Si su firewall no tiene acceso a Internet

desde el puerto de gestin, puede descargar la actualizacin de software desde el sitio de asistencia tcnica de Palo Alto Networks (https://support.paloaltonetworks.com). Despus podr cargarla manualmente en su firewall.

Busque la versin que quiere y haga clic en Descargar. Cuando se complete la descarga, el valor en la columna Accin cambia a Instalar.

Paso 4 Instale la actualizacin. 1. Haga clic en Instalar. 2. Reinicie el firewall:

Si se le pide que reinicie, haga clic en S.

Si no se le pide que reinicie, seleccione Dispositivo > Configuracin > Operaciones y haga clic en Reiniciar dispositivo en la seccin Operaciones de dispositivo de la pantalla.

Actualizacin de PAN-OS (Continuacin)14 Gua de inicio

Integracin del firewall en la red de gestin Adicin de administradores de firewall Adicin de administradores de firewallDe forma predefinida, todos los firewalls de Palo Alto Networks vienen preconfigurados con una cuenta administrativa predeterminada (admin), que proporcionan acceso completo de lectura-escritura (tambin conocido como acceso de superusuario) al firewall.

Las siguientes secciones describen las diversas formas de configurar cuentas administrativas y ofrecen procedimientos para configurar accesos administrativos bsicos: Funciones administrativas Autenticacin administrativa Creacin de una cuenta administrativa

Funciones administrativas

El modo en que configure las cuentas de administrador depende de los requisitos de seguridad de su organizacin, de que tenga servicios de autenticacin previos que desee integrar y del nmero de funciones administrativas que necesite. Una funcin define el tipo de acceso al sistema que tiene el administrador asociado. Se pueden asignar dos tipos de funciones:

Funciones dinmicas: Funciones integradas que proporcionan acceso al firewall en las categoras de superusuario, superusuario (solo lectura), administrador de dispositivo, administrador de dispositivo (solo lectura), administrador de sistema virtual y administrador de sistema virtual (solo lectura). Con las funciones dinmicas solo tendr que preocuparse de actualizar las definiciones de funcin, ya que se aaden nuevas caractersticas cuando las funciones se actualizan automticamente.

Perfiles de funcin de administrador: Le permiten crear sus propias definiciones de funcin para ofrecer un control de acceso ms granular a las diversas reas funcionales de la interfaz web, CLI o API XML. Por ejemplo, podra crear un perfil de funcin de administrador para su personal de operaciones que proporcione acceso a las reas de configuracin de red y dispositivo de la interfaz web y un perfil separado para los administradores de seguridad que proporcione acceso a la definicin de poltica de seguridad, logs e informes. Tenga en cuenta que con los perfiles de funcin de administrador deber actualizar los perfiles para asignar privilegios de forma explcita para nuevos componentes/caractersticas que se aadan al producto.

Autenticacin administrativa

Hay cuatro formas de autenticar a usuarios administrativos:

Cuenta de administrador local con autenticacin local: Tanto las credenciales de la cuenta de administrador como los mecanismos de autenticacin son locales para el firewall. Puede aadir un nivel de proteccin adicional a la cuenta del administrador local creando un perfil de contrasea que defina un perodo de validez para las contraseas y estableciendo ajustes de complejidad de la contrasea para todo el dispositivo.

Es recomendable que cree una cuenta administrativa diferente para cada persona que necesite acceder a las funciones de administracin o informes del firewall. Esto le permite proteger mejor el firewall de la configuracin (o modificacin) no autorizada y registrar las acciones de cada uno de los administradores del firewall.Gua de inicio 15

Adicin de administradores de firewall Integracin del firewall en la red de gestin

Cuenta de administrador local con autenticacin basada en SSL: Con esta opcin, puede crear las

cuentas de administrador en el firewall, pero la autenticacin se basa en certificados SSH (para acceso a CLI) o certificados de cliente/tarjetas de acceso comn (para la interfaz web). Consulte el artculo How to Configure Certificate-based Authentication for the WebUI (Cmo configurar la autenticacin basada en certificados para la IU web) para obtener informacin sobre cmo configurar este tipo de acceso administrativo.

Cuenta de administrador local con autenticacin externa: Las cuentas de administrador se gestionan en el firewall local, pero las funciones de autenticacin se derivan a un servicio LDAP, Kerberos o RADIUS existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticacin que defina el modo de acceso al servicio de autenticacin externa y despus crear una cuenta para cada administrador que haga referencia al perfil.

Cuenta y autenticacin de administrador externas: La administracin y la autenticacin de la cuenta las gestiona un servidor RADIUS externo. Para usar esta opcin, primero debe definir atributos especficos de proveedor (VSA) en su servidor RADIUS que se asignen a la funcin de administrador y, de manera opcional, los objetos del sistema virtual que ha definido en el dispositivo de Palo Alto Networks. Consulte el artculo Radius Vendor Specific Attributes (VSA) (Atributos especficos de proveedor [VSA] en Radius) para obtener informacin sobre cmo configurar este tipo de acceso administrativo.

Creacin de una cuenta administrativa

Cree cuentas administrativas para definir privilegios de acceso y administrativos para administradores de firewall. Como es comn delegar tareas administrativas especficas a administradores determinados con funciones variables, Palo Alto Networks le recomienda que cree perfiles de funcin de administrador que permitan que los administradores accedan nicamente a las reas de la interfaz de gestin que sean necesarias para realizar sus trabajos. Puede asignar las distintas funciones que cree a cuentas de administrador individuales y especificar privilegios de acceso a cada interfaz de gestin: la interfaz web, la interfaz de lnea de comandos (CLI) y la API REST de gestin. Mediante la creacin de funciones de administrador con privilegios de acceso muy detallados, puede garantizar la proteccin de los datos confidenciales de la empresa y la privacidad de los usuarios finales.

El siguiente procedimiento describe cmo crear una cuenta de administrador local con autenticacin local, lo que incluye cmo configurar el acceso de administrador para cada interfaz de gestin.16 Gua de inicio

Integracin del firewall en la red de gestin Adicin de administradores de firewall Creacin de un administrador local

Paso 1 Si pretende usar perfiles de funciones de administrador en lugar de funciones dinmicas, cree los perfiles que definan qu tipo de acceso, de haberlo, se dar a las diferentes secciones de la interfaz web, CLI y API XML para cada administrador asignado a la funcin.

Complete los siguientes pasos para cada funcin que desee crear:1. Seleccione Dispositivo > Funciones de administrador y, a

continuacin, haga clic en Aadir. 2. Introduzca un nombre y, opcionalmente, una descripcin para

la funcin.3. En las pestaas Interfaz web, Lnea de comandos y/o API

XML, especifique el acceso que debe permitirse a cada interfaz de gestin: En las fichas Interfaz web y/o API XML, establezca los

niveles de acceso para cada rea funcional de la interfaz haciendo clic en el icono para cambiarlo al ajuste deseado: Habilitar , Solo lectura o Deshabilitar .

En la ficha Lnea de comandos, especifique el tipo de acceso que permitir a la CLI: superlector, deviceadmin o devicereader (para funciones de dispositivo); vsysadmin o vsysreader (para funciones de sistema virtual); o Ninguno para deshabilitar completamente el acceso a la CLI.

4. Haga clic en Aceptar para guardar el perfil.Por ejemplo, conceda a un administrador un acceso completo a un dispositivo mediante la API XML, con la excepcin de la importacin o la exportacin de archivos:Gua de inicio 17

Adicin de administradores de firewall Integracin del firewall en la red de gestinPaso 2 (Opcional) Establezca requisitos para contraseas definidas por usuarios locales.

Crear perfiles de contrasea: Defina la frecuencia con que los administradores debern cambiar sus contraseas. Puede crear varios perfiles de contrasea y aplicarlos a las cuentas de administrador segn sea necesario para imponer la seguridad deseada. Para crear un perfil de contrasea, seleccione Dispositivo > Perfiles de la contrasea y, a continuacin, haga clic en Aadir.

Configurar ajustes de complejidad mnima de la contrasea: Defina reglas que rijan la complejidad de la contrasea, lo que obligar a los administradores a crear contraseas ms difciles de adivinar, descifrar o evitar. A diferencia de los perfiles de contrasea, que se pueden aplicar a cuentas individuales, estas reglas son para todo el dispositivo y se aplican a todas las contraseas. Para configurar los ajustes, seleccione Dispositivo > Configuracin y, a continuacin, haga clic en el icono Editar de la seccin Complejidad de contrasea mnima.

Paso 3 Cree una cuenta para cada administrador. 1. Seleccione Dispositivo > Administradores y, a continuacin, haga clic en Aadir.

2. Introduzca un nombre y contrasea para el administrador.3. Seleccione la funcin que se asignar a este administrador.

Puede seleccionar una de las funciones dinmicas predefinidas o un perfil basado en funcin personalizado si ha creado uno en el Paso 1.

4. (Opcional) Seleccione un perfil de contrasea.5. Haga clic en ACEPTAR para guardar la cuenta.

Paso 4 Compile los cambios. 1. Haga clic en Confirmar.

Creacin de un administrador local (Continuacin)18 Gua de inicio

Integracin del firewall en la red de gestin Supervisin del firewall Supervisin del firewallDurante la implementacin inicial tambin debe tenerse en cuenta el plan de supervisin del firewall: tanto del funcionamiento del firewall como de la supervisin del trfico y las amenazas que gestiona y controla. Tiene servicios centralizados, como Syslog o SNMP, que desea aprovechar? Tiene algn requisito especfico de archivo de logs, auditora o copias de seguridad?

Las siguientes secciones describen los mtodos que puede usar para supervisar el firewall y ofrecer instrucciones de configuracin bsicas. Supervisin de aplicaciones y amenazas Visualizacin de datos de logs locales Reenvo de logs a servicios externos Supervisin del Firewall mediante SNMP

Supervisin de aplicaciones y amenazas

Todos los firewalls de nueva generacin de Palo Alto Networks estn equipados con la tecnologa App-ID, que identifica las aplicaciones que cruzan su red, independientemente del protocolo, cifrado o tctica de evasin. Despus puede supervisar las aplicaciones desde el Centro de comando de aplicacin (ACC). ACC resume grficamente la base de datos de logs para resaltar las aplicaciones que cruzan su red, quin las usa y su posible impacto en la seguridad. ACC se actualiza de forma dinmica de acuerdo con la clasificacin de trfico continua que App-ID realiza; si una aplicacin cambia de puerto o comportamiento, App-ID contina observando el trfico, mostrando los resultados en ACC.

Puede investigar rpidamente aplicaciones nuevas, peligrosas o desconocidas que aparezcan en ACC con un solo clic que muestra una descripcin de la aplicacin, sus caractersticas clave, sus caractersticas de comportamiento y quin la usa. La visibilidad adicional de categoras de URL, amenazas y datos ofrece una perspectiva completa de la actividad de la red. Con ACC, puede obtener informacin rpidamente acerca del trfico que cruza su red y traducir la informacin a una poltica de seguridad con ms informacin.

Tambin puede configurar el firewall (excepto los firewalls de la serie PA-4000) para que exporte los datos de flujo a un recopilador de flujo de red que elabore anlisis e informes.Gua de inicio 19

Supervisin del firewall Integracin del firewall en la red de gestinVisualizacin de datos de logs locales

Todos los firewalls de nueva generacin de Palo Alto Networks pueden generar logs que ofrecen un seguimiento auditado de las actividades y eventos del firewall. Hay diversos logs para distintos tipos de actividades y eventos. Por ejemplo, los logs de amenaza registran todo el trfico que genera una alarma de seguridad en el firewall, mientras que los registros de filtrado de URL registran todo el trfico que coincide con un perfil de filtrado de URL asociado a una poltica de seguridad, y los logs de configuracin registran todos los cambios en la configuracin del firewall.

Hay varias formas de ver los datos de log en el firewall local: Visualizacin de los archivos log Visualizacin de los datos de log en el panel Visualizacin de informes

Visualizacin de los archivos log

De forma predefinida, todos los archivos log se generan y guardan de forma local en el firewall. Puede ver estos archivos log directamente (Supervisar > Logs):20 Gua de inicio

Integracin del firewall en la red de gestin Supervisin del firewall

Visualizacin de los datos de log en el panelTambin puede supervisar los datos de log locales directamente desde el panel aadiendo los widgets asociados:

Visualizacin de informes

El firewall tambin usa datos del log para generar informes (Supervisar > Informes) que muestran los datos del log en forma de grfico o tabla.Gua de inicio 21

Supervisin del firewall Integracin del firewall en la red de gestinReenvo de logs a servicios externos

Dependiendo del tipo y la gravedad de los datos en los archivos log, puede que desee recibir un aviso ante eventos crticos que requieran su atencin, o puede que tenga polticas que requieran que archive los datos durante ms tiempo del que pueden ser almacenados en el firewall. En estos casos, desear enviar sus datos de logs a un servicio externo para su archivo, notificacin o anlisis.

Para reenviar datos de logs a un servicio externo, debe completar las siguientes tareas:

Configurar el firewall para que acceda a los servicios remotos que recibirn los logs. Consulte Definicin de destinos de logs remotos.

Configurar cada tipo de log para reenvo. Consulte Habilitacin del reenvo de logs.

Definicin de destinos de logs remotos

Para alcanzar un servicio externo, como un servidor Syslog o un gestor de capturas SNMP, el firewall debe conocer los detalles de acceso y, en caso necesario, autenticarse en el servicio. En el firewall, puede definir esta informacin en un perfil de servidor. Debe crear un perfil de servidor para cada servicio externo con el que desee que interacte el firewall. El tipo de destino de log que necesita configurar y qu logs se reenvan depender de sus necesidades. Algunas situaciones frecuentes de reenvo de logs son:

Para una notificacin inmediata de amenazas o eventos crticos del sistema que requieren su atencin, puede generar traps SNMP o enviar alertas de correo electrnico. Consulte Configuracin de alertas de correo electrnico y/o Configuracin de los destinos de Trap SNMP.

Para el almacenamiento a largo plazo y el archivo de datos y para la supervisin centralizada de dispositivos, puede enviar los datos de logs a un servidor Syslog. Consulte Definicin de servidores Syslog. Esto permite la integracin con herramientas de supervisin de seguridad de terceros, como Splunk! o ArcSight.

Para aadir y elaborar informes de datos de logs de firewalls de Palo Alto Networks, puede reenviar los logs a un gestor de Panorama Manager o un recopilador de logs de Panorama. Consulte Reenvo de logs a Panorama.

Puede definir tantos perfiles de servidor como necesite. Por ejemplo, puede usar perfiles de servidor para enviar logs de trfico a un servidor Syslog y logs de sistema a uno diferente. Tambin puede incluir varias entradas de servidor en un nico perfil de servidor para poder registrarse en varios servidores Syslog y conseguir redundancia.

Al configurar el reenvo de logs o el reenvo de archivos de WildFire en un firewall PA-7050, debe configurar un puerto de datos con el tipo de log Tarjeta de log. Este puerto debe conectarse a una red que pueda comunicarse con sus destinos de logs y, si est configurado el reenvo de WildFire, debe poder acceder a la nube de WildFire o a un dispositivo WildFire, si hay uno implementado en su red. Tras configurar una interfaz con este tipo, estos servicios utilizarn automticamente el puerto de tarjeta de log y no ser necesaria ninguna otra configuracin. Para obtener ms informacin sobre este tipo de interfaz, consulte la ayuda en la seccin Red > Interfaces de un PA-7050.

Si no tiene un recopilador de Syslog o no necesita actualizaciones en tiempo real, en su lugar puede programar exportaciones de logs y guardarlas en un servidor FTP en formato CSV o usar Secure Copy (SCP) para transferir datos de forma segura entre el firewall y un host remoto. Para obtener ms informacin, consulte la seccin Informes y logs de la Gua del administrador de PAN-OS 6.0.22 Gua de inicio

Integracin del firewall en la red de gestin Supervisin del firewall Configuracin de alertas de correo electrnico

De forma predeterminada, todos los datos de logs se reenvan a travs de la interfaz de gestin. Si pretende usar una interfaz que no sea de gestin, deber configurar una ruta de servicio para cada servicio al que desee reenviar logs, como se describe en el Paso 5 del procedimiento para Establecimiento de un puerto de datos para acceder a servicios externos.

Configuracin de alertas de correo electrnico

Paso 1 Cree un perfil de servidor para su servidor de correo electrnico.

1. Seleccione Dispositivo > Perfiles de servidor > Correo electrnico.

2. Haga clic en Aadir y, a continuacin, introduzca un Nombre para el perfil.

3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el men desplegable Ubicacin.

4. Haga clic en Aadir para aadir una nueva entrada de servidor de correo electrnico e introduzca la informacin necesaria para conectar con el servidor SMTP y enviar mensajes de correo electrnico (puede aadir hasta cuatro servidores de correo electrnico al perfil):

Nombre: Nombre para identificar el servidor de correo electrnico (1-31 caracteres). Este campo es solamente una etiqueta y no tiene que ser el nombre de host de un servidor SMTP existente.

Email Display Name (Nombre de visualizacin de correo electrnico): El nombre que aparecer en el campo De del correo electrnico.

De: La direccin de correo electrnico desde la que se enviarn las notificaciones de correo electrnico.

Para: La direccin de correo electrnico a la que se enviarn las notificaciones de correo electrnico.

Destinatario adicional: Si desea que las notificaciones se enven a una segunda cuenta, introduzca la direccin adicional aqu. Solo puede aadir un destinatario adicional. Para aadir varios destinatarios, aada la direccin de correo electrnico de una lista de distribucin.

Email Gateway (Puerta de enlace de correo electrnico): La direccin IP o el nombre de host de la puerta de enlace SMTP que se usar para enviar los mensajes de correo electrnico.

5. Haga clic en Aceptar para guardar el perfil de servidor.Paso 2 (Opcional) Personalice el formato de los

mensajes de correo electrnico que enva el firewall.

Seleccione la ficha Formato de log personalizado. Si desea ms informacin sobre cmo crear formatos personalizados para los distintos tipos de log, consulte Common Event Format Configuration Guide (Gua de configuracin de formato de eventos comunes).Gua de inicio 23

Supervisin del firewall Integracin del firewall en la red de gestinConfiguracin de los destinos de Trap SNMP

SNMP (Protocolo simple de administracin de redes) es un servicio estndar para la supervisin de los dispositivos de su red. Puede configurar su firewall para enviar traps SNMP a su software de gestin de SNMP para alertarle de amenazas o eventos crticos del sistema que requieran su atencin inmediata.

Paso 3 Guarde el perfil de servidor y confirme los cambios.

1. Haga clic en Aceptar para guardar el perfil.2. Haga clic en Confirmar para guardar los cambios en la

configuracin actual.

Tambin puede usar SNMP para supervisar el firewall. En este caso, su gestor de SNMP debe estar configurado para obtener estadsticas del firewall en lugar de (o adems de) hacer que el firewall enve traps al gestor. Para obtener ms informacin, consulte Supervisin del Firewall mediante SNMP.

Configuracin de los destinos de Trap SNMP

Paso 1 (nicamente SNMP v3) Obtenga el ID de motor para el firewall.

Nota En muchos casos, el explorador de MIB o el gestor de SNMP detectar automtica-mente el ID de motor tras una conexin correcta al agente de SNMP del firewall. Normalmente encontrar esta informacin en la seccin de configuracin del agente de la interfaz. Consulte la documentacin de su producto especfico para obtener instruc-ciones sobre cmo encontrar la informa-cin del agente.

Para conocer el ID de motor del firewall, deber configurar el firewall para SNMP v3 y enviar un mensaje GET desde el gestor de SNMP o el explorador de MIB de la manera siguiente:1. Habilite la interfaz para permitir solicitudes SNMP entrantes:

Si va a recibir mensajes SNMP GET en la interfaz de gestin, seleccione Dispositivo > Configuracin > Gestin y haga clic en el icono Editar que hay en la seccin Configuracin de interfaz de gestin de la pantalla. En la seccin Servicios, seleccione la casilla de verificacin SNMP y haga clic en Aceptar.

Si va a recibir mensajes SNMP GET en una interfaz distinta, deber asociar un perfil de gestin a la interfaz y habilitar la gestin de SNMP.

2. Configure el firewall para SNMP v3 como se describe en el Paso 2 en Configuracin de la supervisin de SNMP. Si no configura el firewall para SNMP v3, su explorador de MIB no le permitir obtener el ID de motor.

3. Conecte su explorador de MIB o gestor de SNMP al firewall y ejecute GET para OID 1.3.6.1.6.3.10.2.1.1.0. El valor devuelto es el ID de motor exclusivo del firewall.

Configuracin de alertas de correo electrnico (Continuacin)24 Gua de inicio

Integracin del firewall en la red de gestin Supervisin del firewall Definicin de servidores Syslog

Syslog es un mecanismo de transporte de logs estndar que permite aadir datos de logs desde distintos dispositivos de la red, tales como enrutadores, firewalls o impresoras, de diferentes proveedores a un repositorio central para su archivo y anlisis, as como para elaborar informes.

Paso 2 Cree un perfil de servidor que contenga la informacin para conectarse y autenticar los gestores de SNMP.1. Seleccione Dispositivo > Perfiles de servidor > Trap SNMP.2. Haga clic en Aadir y, a continuacin, introduzca un Nombre para el perfil.3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el men desplegable Ubicacin.4. Especifique la versin de SNMP que est usando (V2c o V3).5. Haga clic en Aadir para aadir una nueva entrada de receptor de trap SNMP (puede aadir hasta cuatro

receptores de traps por perfil de servidor). Los valores requeridos dependen de si est usando SNMP V2c o V3, como se explica a continuacin:SNMP V2c Nombre: Nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una

etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente. Gestor SNMP: Direccin IP del gestor de SNMP al que desea enviar traps. Comunidad: Cadena de comunidad necesaria para autenticar en el gestor de SNMP.SNMP V3 Nombre: Nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una

etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente. Gestor SNMP: Direccin IP del gestor de SNMP al que desea enviar traps. Usuario: Nombre de usuario necesario para autenticarse en el gestor de SNMP. EngineID: ID de motor del firewall, segn se ha identificado en el Paso 1. Es un valor hexadecimal de entre

5 y 64 bytes con un prefijo 0x. Cada firewall tiene un ID de motor nico. Contrasea de autenticacin: Contrasea que se usar para los mensajes de nivel authNoPriv para el gestor

de SNMP. Esta contrasea contar con un algoritmo hash de seguridad (SHA-1), pero no estar cifrada. Contrasea priv.: Contrasea que se usar para los mensajes de nivel authPriv para el gestor de SNMP. Esta

contrasea tendr un algoritmo hash SHA y estar cifrada con el estndar de cifrado avanzado (AES 128). 6. Haga clic en Aceptar para guardar el perfil de servidor.

Paso 3 (Opcional) Configure una ruta de servicio para traps SNMP.

De forma predeterminada, los traps SNMP se envan a travs de la interfaz de gestin. Si desea utilizar una interfaz diferente para traps SNMP, deber editar la ruta de servicio para permitir que el firewall acceda a su gestor de SNMP. Consulte Establecimiento de acceso a la red para servicios externos para obtener instrucciones.

Paso 4 Compile los cambios. Haga clic en Confirmar. El dispositivo puede tardar hasta 90 segundos en guardar sus cambios.

Paso 5 Habilite el gestor de SNMP para que interprete las traps que recibe del firewall.

Cargue los archivos MIB de PAN-OS en su software de gestin de SNMP y complelos. Consulte las instrucciones especficas para realizar este proceso en la documentacin de su gestor de SNMP.

Configuracin de los destinos de Trap SNMP (Continuacin)Gua de inicio 25

Supervisin del firewall Integracin del firewall en la red de gestin

Hay cinco tipos de logs que PAN-OS puede exportar a un servidor Syslog: trfico, amenaza, coincidencia HIP,

configuracin y sistema. Si desea ms informacin sobre los campos en cada tipo de log, consulte PAN-OS Syslog Integration Tech Note (Nota tcnica sobre la integracin de Syslog de PAN-OS). Para una lista parcial de mensajes de log y sus niveles de gravedad, consulte System Log Reference (Referencia de logs del sistema).

Los mensajes de Syslog se envan en texto en claro y no se pueden cifrar directamente. Sin embargo, si necesita cifrado, puede enviar los mensajes de Syslog a travs de una interfaz de tnel, que forzar el cifrado de los paquetes de Syslog. Tambin tendr que crear una nueva ruta de servicio para Syslog.

Configuracin del reenvo de Syslog

Paso 1 Cree un perfil de servidor que contenga la informacin para conectarse a los servidores Syslog.

1. Seleccione Dispositivo > Perfiles de servidor > Syslog.2. Haga clic en Aadir y, a continuacin, introduzca un Nombre

para el perfil.3. (Opcional) Seleccione el sistema virtual al que se aplica este

perfil en el men desplegable Ubicacin.4. Haga clic en Aadir para aadir una nueva entrada del servidor

Syslog e introduzca la informacin necesaria para conectar con el servidor Syslog (puede aadir hasta cuatro servidores Syslog al mismo perfil): Nombre: Nombre exclusivo para el perfil de servidor.

Servidor Syslog: Direccin IP o nombre de dominio completo (FQDN) del servidor Syslog.

Transporte: Seleccione TCP, UDP o SSL como el mtodo de comunicacin con el servidor Syslog.

Puerto: Nmero de puerto por el que se enviarn mensajes de Syslog (el valor predeterminado es UDP en el puerto 514); debe usar el mismo nmero de puerto en el firewall y en el servidor Syslog.

Formato: Seleccione el formato de mensaje de Syslog que se debe utilizar, BSD o IETF. Tradicionalmente, el formato BSD es a travs de UDP y el formato IETF es a travs de TCP/SSL.

Instalaciones: Seleccione uno de los valores de Syslog estndar, que se usa para calcular el campo de prioridad (PRI) en la implementacin de su servidor Syslog. Debe seleccionar el valor que asigna cmo usa el campo PRI para gestionar sus mensajes de Syslog.

5. (Opcional) Para personalizar el formato de los mensajes de Syslog que enva el firewall, seleccione la pestaa Formato de log personalizado. Si desea ms informacin sobre cmo crear formatos personalizados para los distintos tipos de log, consulte Common Event Format Configuration Guide (Gua de configuracin de formato de eventos comunes).

6. Haga clic en Aceptar para guardar el perfil de servidor.26 Gua de inicio

Integracin del firewall en la red de gestin Supervisin del firewall Reenvo de logs a Panorama

Antes de poder reenviar archivos log a un gestor de Panorama Manager o a un recopilador de logs de Panorama, el firewall debe estar configurado como un dispositivo gestionado. Para obtener informacin detallada sobre cmo configurar Panorama y aadir dispositivos, consulte la Gua del administrador de Panorama. Puede habilitar el reenvo de logs a Panorama para cada tipo de log segn se describe en Habilitacin del reenvo de logs. Para logs reenviados a Panorama, tiene a su disposicin la compatibilidad con el reenvo centralizado de logs a un servidor Syslog externo.

Habilitacin del reenvo de logs

Una vez creados los perfiles de servidor que definen dnde se envan sus logs, debe habilitar el reenvo de logs. Para cada tipo de log, puede especificar si se reenva a Syslog, correo electrnico, receptor de traps SNMP o Panorama. La forma de habilitar el reenvo depende del tipo de log:

Logs de trfico: Habilite el reenvo de logs de trfico creando un perfil de reenvo de logs (Objetos > Reenvo de logs) y aadindolo a las polticas de seguridad que desea que activen el reenvo de logs. Solo el trfico que coincida con una regla especfica dentro de la poltica de seguridad ser registrado y enviado.

Logs de amenaza: Habilite el reenvo de logs de amenaza creando un perfil de reenvo de logs (Objetos > Reenvo de logs) que especifique qu niveles de gravedad desea reenviar y, a continuacin, aadindolo a las polticas de seguridad para las que desee activar el reenvo de logs. Solo se crear (y enviar) una entrada de log de amenaza si el trfico asociado coincide con un perfil de seguridad (Antivirus, Antispyware, Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o Proteccin DoS). La siguiente tabla resume los niveles de gravedad de las amenazas:

Paso 2 (Opcional) Configure el formato del nombre de host en el encabezado de los mensajes de Syslog.

1. Seleccione Dispositivo > Configuracin > Gestin y haga clic en el icono Editar de la seccin Configuracin de logs e informes.

2. Seleccione Exportacin e informes de log y, en Formato de nombre de host de Syslog, seleccione si desea incluir el nombre de host, el nombre de dominio completo (FQDN) (valor predeterminado que concatena el nombre de host y el nombre de dominio) o la direccin IPv4/IPv6 del dispositivo.

3. Haga clic en ACEPTAR.

Paso 3 Compile los cambios. Haga clic en Confirmar. El dispositivo puede tardar hasta 90 segundos en guardar sus cambios.

Configuracin del reenvo de Syslog (Continuacin)Gua de inicio 27

Supervisin del firewall Integracin del firewall en la red de gestin Logs de configuracin: Habilite el reenvo de logs de configuracin especificando un perfil de servidor en la configuracin de ajustes de log. (Dispositivo > Configuracin de log > Logs de configuracin).

Logs de sistema: Habilite el reenvo de logs de sistema especificando un perfil de servidor en la configuracin de ajustes de log. (Dispositivo > Configuracin de log > Logs de sistema). Debe seleccionar un perfil de servidor para cada nivel de gravedad que desee reenviar. Para una lista parcial de mensajes de log de sistema y sus niveles de gravedad, consulte System Log Reference (Referencia de logs del sistema). La siguiente tabla resume los niveles de gravedad de los logs de sistema:

Logs de WildFire: Habilite el reenvo de logs de WildFire que contengan informacin sobre los archivos que se reenvan desde el firewall a WildFire para su anlisis. Puede configurar el firewall para reenviar logs y obtener el veredicto Bueno y/o Malo.

Gravedad Descripcin

Crtico Amenazas serias, como aquellas que afectan a las instalaciones predeterminadas de software ampliamente implementado, que comprometen profundamente los servidores y dejan el cdigo de explotacin al alcance de los atacantes. El atacante no suele necesitar ningn tipo de credenciales de autenticacin o conocimientos acerca de las vctimas y el objetivo no necesita ser manipulado para que realice ninguna funcin especial.

Alto Amenazas que tienen la habilidad de convertirse en crticas pero que tienen factores atenuantes; por ejemplo, pueden ser difciles de explotar, no conceder privilegios elevados o no tener un gran grupo de vctimas.

Medio Amenazas menores en las que se minimiza el impacto, como ataques DoS que no comprometen al objetivo o explotaciones que requieren que el atacante est en la misma LAN que la vctima, afectan solo a configuraciones no estndar o aplicaciones oscuras u ofrecen acceso muy limitado.

Bajo Amenazas con nivel de advertencia que tienen muy poco impacto en la infraestructura de la organizacin. Suelen requerir acceso local o fsico al sistema y con frecuencia suelen ocasionar problemas en la privacidad de las vctimas, problemas de DoS y fugas de informacin. Las coincidencias de perfiles de filtrado de datos se registran como bajas.

Informativo Eventos sospechosos que no suponen una amenaza inmediata, pero que se registran para indicar que podra haber problemas ms serios. Las entradas de logs de filtrado de URL con un veredicto benigno se registran como informativas.

Gravedad Descripcin

Crtico Fallos de hardware, lo que incluye la conmutacin por error de HA y los fallos de enlaces.

Alto Problemas graves, incluidas las interrupciones en las conexiones con dispositivos externos, como servidores Syslog y RADIUS.

Medio Notificaciones de nivel medio, como actualizaciones de paquetes de antivirus.

Bajo Notificaciones de menor gravedad, como cambios de contrasea de usuario.

Informativo Inicios de sesin/cierres de sesin, cambio de nombre o contrasea de administrador, cualquier cambio de configuracin y el resto de eventos no cubiertos por los otros niveles de gravedad.28 Gua de inicio

Integracin del firewall en la red de gestin Supervisin del firewall Supervisin del Firewall mediante SNMP

Todos los firewalls de Palo Alto Networks son compatibles con mdulos de base de informacin de gestin (MIB) de SNMP de red estndar, as como con mdulos MIB empresariales privados. Puede configurar un gestor de SNMP para recibir estadsticas del firewall. Por ejemplo, puede configurar su gestor de SNMP para que supervise las interfaces, sesiones activas, sesiones simultneas, porcentajes de uso de sesin, temperatura o tiempo de actividad en el firewall.

Los firewalls de Palo Alto Networks solo son compatibles con solicitudes SNMP GET; no es compatible con las solicitudes SNMP SET.

Configuracin de la supervisin de SNMP

Paso 1 Habilite la interfaz para permitir solicitudes SNMP entrantes:

Si va a recibir mensajes SNMP GET en la interfaz de gestin, seleccione Dispositivo > Configuracin > Gestin y haga clic en el icono Editar que hay en la seccin Configuracin de interfaz de gestin de la pantalla. En la seccin Servicios, seleccione la casilla de verificacin SNMP y haga clic en Aceptar.

Si va a recibir mensajes SNMP GET en una interfaz distinta, deber asociar un perfil de gestin a la interfaz y habilitar la gestin de SNMP.

Paso 2 Desde la interfaz web del firewall, configure los ajustes para permitir que el agente de SNMP del firewall responda a las solicitudes GET entrantes del gestor de SNMP.

1. Seleccione Dispositivo > Configuracin > Operaciones > Configuracin de SNMP.

2. Especifique la ubicacin fsica del firewall y el nombre o direccin de correo electrnico de un contacto de gestin.

3. Seleccione la versin SNMP y, a continuacin, introduzca los detalles de configuracin de la siguiente forma (segn la versin SNMP que utilice) y, a continuacin, haga clic en ACEPTAR: V2c: Introduzca la cadena de comunidad SNMP que permitir

que el gestor de SNMP acceda al agente de SNMP del firewall. El valor predeterminado es pblico. Sin embargo, como se trata de una cadena de comunidad ampliamente conocida, se recomienda utilizar un valor difcil de adivinar.

V3: Debe crear al menos una vista y un usuario para poder utilizar SNMPv3. La vista especifica a qu informacin de gestin tiene acceso el gestor. Si desea permitir el acceso a toda la informacin de gestin, solamente tiene que introducir el OID de nivel ms alto de .1.3.6.1 y especificar la opcin como incluir (tambin puede crear vistas que excluyan determinados objetos). Utilice 0xf0 como la mscara. A continuacin, cuando cree un usuario, seleccione la vista que acaba de crear y especifique la contrasea de autenticacin y la contrasea privada.

La configuracin de autenticacin (la cadena de comunidad para V2c o el nombre de usuario y las contraseas para V3) establecida en el firewall debe coincidir con el valor configurado en el gestor de SNMP.

4. Haga clic en ACEPTAR para guardar la configuracin.5. Haga clic en Confirmar para guardar estos ajustes de SNMP.Gua de inicio 29

Supervisin del firewall Integracin del firewall en la red de gestinPaso 3 Active el gestor de SNMP para interpretar las estadsticas del firewall.

Cargue los archivos MIB de PAN-OS en su software de gestin de SNMP y, si es necesario, complelos. Consulte las instrucciones especficas para realizar este proceso en la documentacin de su gestor de SNMP.

Paso 4 Identifique las estadsticas que desee supervisar.

Use un explorador de MIB para examinar los archivos MIB de PAN-OS y localizar los identificadores de objeto (OID) que se corresponden con las estadsticas que desea supervisar. Por ejemplo, imagnese que desea supervisar el porcentaje de uso de sesin del firewall. Usando un explorador de MIB ver que estas estadsticas se corresponden con los OID 1.3.6.1.4.1.25461.2.1.2.3.1.0 de PAN-COMMON-MIB.

Paso 5 Configure el software de gestin de SNMP para que supervise los OID que le interesan.

Consulte las instrucciones especficas para realizar este proceso en la documentacin de su gestor de SNMP.

Paso 6 Cuando haya terminado la configuracin del firewall y el gestor de SNMP podr empezar a supervisar el firewall desde su software de gestin de SNMP.

A continuacin, un ejemplo de la apariencia de un gestor de SNMP al mostrar las estadsticas del porcentaje de uso de sesin en tiempo real de un firewall de la serie PA-500 supervisado:

Configuracin de la supervisin de SNMP (Continuacin)30 Gua de inicio

Creacin del permetro de seguridad

Los siguientes temas indican los pasos bsicos para configurar las interfaces del firewall, definir zonas y configurar una poltica de seguridad bsica: Descripcin general del permetro de seguridad Configuracin de interfaces y zonas Configuracin de polticas NAT Configuracin de polticas de seguridad bsicasGua de inicio 31

Descripcin general del permetro de seguridad Creacin del permetro de seguridadDescripcin general del permetro de seguridadEl trfico debe pasar por el firewall para que este pueda gestionarlo y controlarlo. Fsicamente, el trfico entra y sale del firewall a travs de las interfaces. El firewall decide cmo actuar sobre un paquete basndose en si el paquete coincide con una poltica de seguridad. Al nivel ms bsico, la poltica de seguridad debe identificar de dnde proviene el trfico y hacia dnde va. En un firewall de prxima generacin de Palo Alto Networks, se aplican polticas de seguridad entre zonas. Una zona es un grupo de interfaces (fsicas o virtuales) que proporciona una abstraccin de un rea de confianza para el cumplimiento de una poltica simplificada. Por ejemplo, en el siguiente diagrama de topologa, hay tres zonas: zona fiable, zona no fiable y zona desmilitarizada (DMZ). El trfico puede circular libremente dentro de una zona, pero no podr hacerlo entre zonas hasta que no defina una poltica de seguridad que lo permita.

Las siguientes secciones describen los componentes del permetro de seguridad e indican los pasos necesarios para configurar las interfaces del firewall, definir zonas y configurar una poltica de seguridad bsica que permita el trfico desde su zona interna hasta Internet y DMZ. Al crear inicialmente una poltica bsica como esta, podr analizar el trfico que circula por su red y utilizar esta informacin para definir polticas ms especficas y as habilitar aplicaciones de forma segura y evitar amenazas. Implementaciones de firewalls Acerca de la traduccin de direccin de red (NAT) Acerca de las polticas de seguridad

Implementaciones de firewalls

Todos los firewalls de prxima generacin de Palo Alto Networks proporcionan una arquitectura de red flexible que incluye la compatibilidad con el enrutamiento dinmico, la conmutacin y la conectividad de VPN, lo que le permite implementar el firewall en prcticamente cualquier entorno de red. Al configurar los puertos Ethernet en su firewall, podr elegir entre una implementacin de interfaz de cable virtual, capa 2 o capa 3. Adems, para permitirle integrar una variedad de segmentos de red, podr configurar diferentes tipos de interfaces en diferentes puertos. Las secciones siguientes ofrecen informacin bsica sobre cada tipo de implementacin. Para obtener informacin ms detallada sobre la implementacin, consulte Designing Networks with Palo Alto Networks Firewalls (Diseo de redes con firewalls de Palo Alto Networks).32 Gua de inicio

Creacin del permetro de seguridad Descripcin general del permetro de seguridad

Implementaciones de cable virtualEn una implementacin de cable virtual, el firewall se instala de forma transparente en un segmento de red uniendo dos puertos. Cuando utilice un cable virtual, podr instalar el firewall en cualquier entorno de red sin volver a configurar los dispositivos adyacentes. Si fuera necesario, un cable virtual puede bloquear o permitir el trfico en funcin de los valores de etiquetas de LAN virtual (VLAN). Tambin puede crear mltiples subinterfaces y clasificar el trfico en funcin de una direccin IP (nombre, intervalo o subred), VLAN o una combinacin de ambas.

De forma predeterminada, el cable virtual default-vwire conecta los puertos Ethernet 1 y 2 y permite todo el trfico sin etiquetar. Seleccione esta implementacin para simplificar la instalacin y la configuracin y/o evitar cambios de configuracin en los dispositivos de red que se encuentran alrededor.

Un cable virtual es la configuracin predeterminada y solo se debe utilizar cuando no se necesita conmutacin o enrutamiento. Si no pretende usar el cable virtual predeterminado, debe eliminar manualmente la configuracin antes de continuar con la configuracin de la interfaz para evitar que interfiera con otras configuraciones de interfaz que defina. Para obtener instrucciones sobre cmo eliminar el cable virtual predeterminado y sus zonas y poltica de seguridad asociadas, consulte el Paso 3 en Establecimiento de un puerto de datos para acceder a servicios externos.

Implementaciones de capa 2

En una implementacin de capa 2, el firewall permite cambiar entre dos o ms interfaces. Cada grupo de interfaces se debe asignar a un objeto VLAN para que el firewall pueda alternar entre ellas. El firewall ejecutar el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN comn. Seleccione esta opcin cuando necesite poder alternar.

Para obtener ms informacin sobre las implementaciones de capa 2, consulte Layer 2 Networking Tech Note (Nota tcnica sobre redes de capa 2) y/o Securing Inter VLAN Traffic Tech Note (Nota tcnica sobre proteccin del trfico entre VLAN).

Implementaciones de capa 3

En una implementacin de capa 3, el firewall enruta el trfico entre puertos. Se debe asignar una direccin IP a cada interfaz y definir un enrutador virtual para enrutar el trfico. Seleccione esta opcin cuando necesite enrutamiento.

Debe asignar una direccin IP a cada interfaz de capa 3 fsica que configure. Tambin puede crear subinterfaces lgicas para cada interfaz de capa 3 fsica que le permitan segregar el trfico de la interfaz basndose en el tag de VLAN (cuando se utilice un enlace troncal de VLAN) o la direccin IP, por ejemplo, para la arquitectura multiempresa.

Adems, dado que el firewall debe enrutar trfico en una implementacin de capa 3, deber configurar un enrutador virtual. Puede configurar el enrutador virtual para participar con protocolos de enrutamiento dinmico (BGP, OSPF o RIP), as como aadir rutas estticas. Tambin puede crear varios enrutadores virtuales, cada uno de los cuales mantendr un conjunto separado de rutas que no se comparten entre enrutadores virtuales, lo que le permitir configurar diferentes