Guía del administrador de GlobalProtect Versión 6.2

Transcripción

1 Guía del administrador de GlobalProtect Versión 6.2

2 Información de contacto Sede de la empresa: Palo Alto Networks 4401 Great America Parkway Santa Clara, CA Acerca de esta guía Esta guía le explica los procesos de configuración y mantenimiento de la infraestructura de GlobalProtect. Para obtener más información, consulte los siguientes recursos: Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el cortafuegos, consulte Para acceder a la base de conocimientos, documentación al completo, foros de debate y vídeos, consulte Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistencia técnica o gestionar la cuenta o los dispositivos, consulte Para leer las notas sobre la última versión, vaya la página de descarga de software en Para enviar sus comentarios sobre la documentación, diríjase a: documentation@paloaltonetworks.com. Palo Alto Networks, Inc Palo Alto Networks. Todos los derechos reservados. Palo Alto Networks y PAN-OS son marcas comerciales registradas de Palo Alto Networks, Inc. Fecha de revisión: mayo 22, 2015 ii

3 Contenido Descripción general de GlobalProtect Acerca de los componentes de GlobalProtect Portal GlobalProtect Puertas de enlace de GlobalProtect Cliente de GlobalProtect Gestor de seguridad móvil de GlobalProtect Qué versiones de sistema operativo del cliente admite GlobalProtect? Acerca de las licencias de GlobalProtect Configuración de la infraestructura de GlobalProtect Creación de interfaces y zonas para GlobalProtect Habilitación de SSL entre componentes de GlobalProtect Acerca de la implementación de certificados GlobalProtect Recomendaciones para certificados de GlobalProtect Implementación de certificados de servidores en los componentes de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect Acerca de la autenticación de usuarios de GlobalProtect Configuración de autenticación externa Configuración de la autenticación de certificado de cliente Configuración de la autenticación en dos fases Configuración de la autenticación para clientes strongswan Ubuntu y CentOS Habilitación de la asignación de grupo Configuración de las puertas de enlace de GlobalProtect Tareas de requisitos previos para la configuración de la puerta de enlace de GlobalProtect Configuración de una puerta de enlace de GlobalProtect Configuración del portal de GlobalProtect Tareas de requisitos previos para la configuración del portal de GlobalProtect Configuración del acceso al portal de GlobalProtect Definición de las configuraciones de cliente de GlobalProtect Personalización del agente de GlobalProtect Personalización de las páginas de inicio de sesión, bienvenida y ayuda del portal de GlobalProtect.. 56 Implementación del software cliente de GlobalProtect Implementación del software del agente de GlobalProtect Descarga e instalación de la aplicación móvil de GlobalProtect Implementación de la configuración del agente de forma transparente Ajustes personalizables del agente Implementación de los ajustes del agente para los clientes de Windows Implementación de los ajustes del agente para los clientes de Mac Use la aplicación ios de GlobalProtect con un MDM de terceros Ejemplo de configuración de VPN a nivel de dispositivo de la aplicación GlobalProtect ios Ejemplo de configuración de VPN a nivel de aplicación de la aplicación GlobalProtect ios Referencia: Funciones criptográficas del agente de GlobalProtect Guía del administrador de GlobalProtect iii

4 Configuración del gestor de seguridad móvil de GlobalProtect Recomendaciones de implementación del gestor de seguridad móvil Configuración del acceso de gestión al gestor de seguridad móvil Registro, licencia y actualización del gestor de seguridad móvil Registro del dispositivo GP Activación/recuperación de licencias Instalación de las actualizaciones de contenido y software de Panorama Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil para el registro de dispositivos Configuración del gestor de seguridad móvil para la inscripción Configuración del acceso de puerta de enlace al gestor de seguridad móvil Definición de políticas de implementación Acerca de la implementación de la política del gestor de seguridad móvil Recomendaciones sobre las políticas del gestor de seguridad móvil Integración del gestor de seguridad móvil con su directorio LDAP Definición de objetos y perfiles HIP Creación de perfiles de configuración Creación de políticas de implementación Verificación de la configuración del gestor de seguridad móvil Configuración del acceso administrativo en el gestor de seguridad móvil Configuración de la autenticación administrativa Creación de una cuenta administrativa Gestión de dispositivos móviles Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos Etiquetar dispositivos manualmente Preetiquetado de dispositivos Supervisión de dispositivos móviles Administración de dispositivos remotos Interacción con dispositivos Reacción ante la pérdida o sustracción de un dispositivo Eliminación de dispositivos Creación de políticas de seguridad para aplicación de tráfico de dispositivos móviles Gestión de datos y aplicaciones comerciales con una tienda de aplicaciones empresariales Descripción general de la tienda de aplicaciones empresariales Conceptos de la tienda de aplicaciones empresariales Aplicaciones gestionadas Aplicaciones requeridas y opcionales Programa de compras por volumen de Apple (PCV) Adición de aplicaciones gestionadas Adición de una aplicación empresarial Adición de aplicaciones de Google Play o Apple Adiciones de aplicaciones del PCV como aplicaciones gestionadas iv Guía del administrador de GlobalProtect

5 Configuración de la tienda de aplicaciones Gestión y supervisión de aplicaciones Aislamiento del tráfico comercial Aislamiento de datos comerciales Habilitación del modo de aplicación única Uso de la información de host en la aplicación de políticas Acerca de la información del host Qué datos recopila el agente de GlobalProtect? Cómo usa la puerta de enlace la información del host para aplicar las políticas? Cómo pueden saber los usuarios si sus sistemas cumplen los requisitos? Cómo puedo consultar el estado de los clientes finales? Configuración de la aplicación de políticas basadas en HIP Recopilación de datos de procesos y aplicaciones de clientes Configuraciones rápidas de GlobalProtect VPN de acceso remoto (Perfil de autenticación) VPN de acceso remoto (Perfil del certificado) VPN de acceso remoto con autenticación de dos factores Configuración de VPN siempre activada VPN de acceso remoto con función anterior al inicio de sesión Configuración de varias puertas de enlace de GlobalProtect GlobalProtect para comprobación de HIP interna y acceso basado en usuario Configuración de puerta de enlace externa e interna combinada Guía del administrador de GlobalProtect v

6 vi Guía del administrador de GlobalProtect

7 Descripción general de GlobalProtect Ya se trate de comprobar el correo electrónico desde casa o de actualizar documentos de empresa desde el aeropuerto, la mayoría de los empleados de hoy en día trabajan fuera de los límites físicos de la empresa. Este aumento de la movilidad de los trabajadores hace crecer la productividad y la flexibilidad al tiempo que introduce riesgos de seguridad significativos. Cada vez que un usuario abandona las instalaciones de la empresa con su portátil o dispositivo móvil, está sorteando el cortafuegos de la empresa y las políticas asociadas diseñadas para proteger tanto al usuario como la red. GlobalProtect resuelve los retos planteados por los usuarios itinerantes extendiendo las mismas políticas de última generación basadas en cortafuegos que se aplican a todos los usuarios dentro del perímetro físico de la empresa, independientemente de su ubicación. Las siguientes secciones ofrecen información conceptual acerca de la oferta de Palo Alto Networks GlobalProtect mediante la descripción de los componentes de GlobalProtect y las posibles situaciones de implementación: Acerca de los componentes de GlobalProtect Qué versiones de sistema operativo del cliente admite GlobalProtect? Acerca de las licencias de GlobalProtect Guía del administrador de GlobalProtect 1

8 Acerca de los componentes de GlobalProtect Descripción general de GlobalProtect Acerca de los componentes de GlobalProtect GlobalProtect ofrece una completa infraestructura para la gestión de su fuerza de trabajo itinerante para garantizar a todos sus usuarios un acceso seguro, independientemente de los dispositivos que usen o de donde se encuentren. Esta infraestructura incluye los siguientes componentes: Portal GlobalProtect Puertas de enlace de GlobalProtect Cliente de GlobalProtect Gestor de seguridad móvil de GlobalProtect Portal GlobalProtect El portal de GlobalProtect proporciona las funciones de gestión para su infraestructura de GlobalProtect. Todos los sistemas clientes que participan en la red de GlobalProtect reciben información de configuración desde el portal, incluida información sobre las puertas de enlace disponibles, así como certificados cliente que pueden ser necesarios para conectarse a las puertas de enlace de GlobalProtect o a su gestor de seguridad móvil. Además, el portal controla el comportamiento y la distribución del software del agente de GlobalProtect para los portátiles con Mac y Windows. (En dispositivos móviles, la aplicación GlobalProtect se distribuye a través de la Apple App Store para los dispositivos ios o mediante Google Play para dispositivos Android.) Si está usando la función Perfil de información del host (HIP), el portal también define qué información se recopila desde el host, incluyendo cualquier información personalizada que necesite. La Configuración del portal de GlobalProtect se realiza en una interfaz de cualquier cortafuegos de última generación de Palo Alto Networks. Puertas de enlace de GlobalProtect Las puertas de enlace de GlobalProtect permiten aplicar la seguridad al tráfico de agentes / aplicaciones de GlobalProtect. Asimismo, si la función HIP está habilitada, la puerta de enlace HIP genera un informe a partir de los datos sin procesar del host enviados por los clientes y puede usar dicha información para la aplicación de políticas. Puertas de enlace externas: Permiten a los usuarios remotos acceder a la red privada virtual (VPN) o aplicar la seguridad. Puertas de enlace internas: Una interfaz en la red interna configurada como una puerta de enlace de GlobalProtect que permite aplicar la política de seguridad para el acceso a recursos internos. Al usarla junto con el ID de usuario o las comprobaciones HIP, una puerta de enlace interna permite ofrecer un método preciso y seguro para identificar y controlar el tráfico por usuario o estado del dispositivo. Las puertas de enlace internas son útiles en entornos confidenciales que requieren acceso autenticado a los recursos críticos. Puede configurar una puerta de enlace interna tanto en el modo de túnel como de no túnel. La Configuración de las puertas de enlace de GlobalProtect se realiza en una interfaz de cualquier cortafuegos de última generación de Palo Alto Networks. Puede ejecutar tanto una puerta de enlace y un portal en el mismo cortafuegos como múltiples puertas de enlace distribuidas por toda su empresa. 2 Guía del administrador de GlobalProtect

9 Descripción general de GlobalProtect Acerca de los componentes de GlobalProtect Cliente de GlobalProtect El software del cliente de GlobalProtect se ejecuta en sistemas de usuarios finales y habilita el acceso a los recursos de su red a través de los portales y las puertas de enlace de GlobalProtect que ha implementado. Hay dos tipos de clientes de GlobalProtect: El agente de GlobalProtect: Se ejecuta en sistemas Windows y Mac OS y se implementa desde el portal de GlobalProtect. El comportamiento del agente (p. ej., qué pestañas pueden ver los usuarios, pueden los usuarios desinstalar el agente o no) se determina en la configuración del cliente que defina en el portal. Consulte Definición de las configuraciones de cliente de GlobalProtect, Personalización del agente de GlobalProtect y Implementación del software del agente de GlobalProtect para obtener más información. La aplicación de GlobalProtect: Se ejecuta en dispositivos ios y Android. Los usuarios deben obtener la aplicación GlobalProtect de la tienda App Store de Apple (para ios) o de Google Play (para Android). Consulte Qué versiones de sistema operativo del cliente admite GlobalProtect? para obtener más información. El siguiente diagrama ilustra el modo en que los portales, puertas de enlace y agentes / aplicaciones de GlobalProtect se coordinan para ofrecer a todos sus usuarios un acceso seguro, independientemente de los dispositivos que usen o de donde se encuentren. Guía del administrador de GlobalProtect 3

10 Acerca de los componentes de GlobalProtect Descripción general de GlobalProtect Gestor de seguridad móvil de GlobalProtect El gestor de seguridad móvil de GlobalProtect ofrece gestión, visibilidad e implementación de configuración automatizada para dispositivos móviles (tanto los de la empresa como del empleado) en su red. Dado que el gestor de seguridad móvil forma parte de la solución móvil de GlobalProtect, la puerta de enlace de GlobalProtect puede aprovechar la información de los dispositivos gestionados y usar la información ampliada del host recopilada por el gestor de seguridad móvil para ofrecer a los dispositivos gestionados una aplicación mejorada de las políticas de seguridad. Las puertas de enlace recuperan los perfiles HIP extendidos del gestor de seguridad móvil y usan la información para aplicar políticas de seguridad para los dispositivos que se conectan a su red. El gestor de seguridad móvil de GlobalProtect amplía la seguridad a los dispositivos móviles para que los usuarios puedan acceder y usar con seguridad las aplicaciones desde sus dispositivos. Los datos comerciales están contenidos en las aplicaciones y cuentas comerciales de los dispositivos móviles, y al mismo tiempo se mantiene la experiencia de usuario nativa y los datos personales del usuario están separados y se mantienen en la intimidad. Las políticas de implementación que crea en el gestor de seguridad móvil ofrecen aprovisionamiento de cuentas simplificado para que los usuarios de dispositivos móviles puedan acceder a las aplicaciones de la empresa (tales como las configuraciones VPN y correo electrónico). También puede realizar ciertas acciones, tales como bloquear el dispositivo, hacer que emita una alarma para ayudar a localizarlo o incluso borrarlo si duda de la seguridad del mismo. Para comunicarse con un dispositivo, el gestor de seguridad móvil envía una notificación push mediante OTA. En el caso de dispositivos ios, envía notificaciones push mediante el servicio Notificaciones Push de Apple (APN) y en el de dispositivos Android las envía mediante Mensajería de Google Cloud (GCM). Cuando un dispositivo recibe una notificación push, la comprueba estableciendo una conexión HTTPS con la interfaz de comprobación del dispositivo en el gestor de seguridad móvil. Apruebe las aplicaciones que podrán utilizar los usuarios para fines comerciales en sus dispositivos móviles. Las aplicaciones que apruebe y añada al gestor de seguridad móvil como aplicaciones gestionadas se pueden enviar a sus usuarios a través de la implementación de políticas. Los usuarios pueden examinar y luego instalar las aplicaciones que tengan asignadas en la tienda de aplicaciones empresariales de la aplicación GlobalProtect. Habilite configuraciones de seguridad para aplicaciones gestionadas con el gestor de seguridad móvil de modo que los datos comerciales estén contenidos solo en aplicaciones y cuentas gestionadas en un dispositivo móvil, y que el tráfico de las aplicaciones gestionadas se enrute a través de la VPN corporativa (pero no el tráfico personal). Cuando un dispositivo se registra en el gestor de seguridad móvil, envía información del host que incluye información adicional además de la recopilada por la puerta de enlace de GlobalProtect, incluyendo una lista de todas las aplicaciones instaladas gestionadas, una lista de aplicaciones instaladas no gestionadas (se puede deshabilitar), la ubicación del dispositivo en el momento del registro (se puede deshabilitar), si el dispositivo tiene un código de acceso establecido o si está modificado o desbloqueado. Además, si el gestor de seguridad móvil tiene una suscripción WildFire, puede detectar si un dispositivo contiene software malintencionado (solo dispositivos Android). Al aprovechar los datos HIP extendidos que recopila el gestor de seguridad móvil, puede crear una política de seguridad muy granular para usuarios de dispositivos móviles en sus puertas de enlace de GlobalProtect. 4 Guía del administrador de GlobalProtect

11 Descripción general de GlobalProtect Acerca de los componentes de GlobalProtect Consulte Configuración del gestor de seguridad móvil de GlobalProtect para obtener más información. Guía del administrador de GlobalProtect 5

12 Qué versiones de sistema operativo del cliente admite GlobalProtect? Descripción general de GlobalProtect Qué versiones de sistema operativo del cliente admite GlobalProtect? En la siguiente tabla se resume la compatibilidad con GlobalProtect de los dispositivos de sobremesa, portátiles y móviles, así como las versiones mínimas de agentes / aplicaciones GlobalProtect y PAN-OS necesarias para la compatibilidad: Versiones de clientes de OS compatibles Apple Mac OS 10.6 Apple Mac OS 10.7 Apple Mac OS 10.8 Apple Mac OS 10.9 Apple Mac OS Windows XP (32 bits) Windows Vista (32 bits y 64 bits) Windows 7 (32 bits y 64 bits) Windows 8 (32 bits y 64 bits) Windows 8.1 (32 bits y 64 bits) Windows Surface Pro Apple ios 6.0* Apple ios 7.0* Apple ios 8.0* Versión mínima de agente / aplicación App 1.3 App 1.3 App 2.1 Versión mínima de PAN-OS o superior 4.0 o posterior o superior Google Android o posterior* App o superior Clientes IPsec de X-Auth de terceros: Cliente IPsec integrado en ios Cliente IPsec integrado en Android VPNC en Ubuntu Linux y CentOS 6 strongswan en Ubuntu Linux y CentOS** N/D N/D 5.0 o posterior 6.1 o posterior * La app 2.x es necesaria para que un dispositivo pueda ser gestionado por el gestor de seguridad móvil de GlobalProtect y el cortafuegos debe ejecutar PAN-OS 6.0 o posterior. **Para obtener información sobre cómo habilitar el acceso de clientes de strongswan Ubuntu y CentOS a la VPN de GlobalProtect, consulte Configuración de la autenticación para clientes strongswan Ubuntu y CentOS. Los usuarios deben obtener la aplicación GlobalProtect de la tienda App Store de Apple (para ios) o de Google Play (para Android). Para obtener información sobre cómo distribuir el agente GlobalProtect, consulte Implementación del software del agente de GlobalProtect. 6 Guía del administrador de GlobalProtect

13 Descripción general de GlobalProtect Acerca de las licencias de GlobalProtect Acerca de las licencias de GlobalProtect Si tan solo quiere usar GlobalProtect para proporcionar una solución de red privada virtual (VPN), segura o de acceso remoto a través de una única puerta de enlace externa, no necesita licencia de GlobalProtect. Sin embargo, para usar algunas de las funciones más avanzadas, como múltiples puertas de enlace, aplicaciones móviles, gestión de seguridad móvil, comprobaciones de información del host o puertas de enlace internas, puede que necesite adquirir una o más de las siguientes licencias: Licencia de portal: Una licencia perpetua que debe instalarse una única vez en el cortafuegos que ejecute el portal para habilitar la compatibilidad con la puerta de enlace interna, múltiples puertas de enlace (internas o externas) o comprobaciones HIP. Suscripción de puerta de enlace: Una suscripción anual que habilita las comprobaciones de HIP y las actualizaciones de contenido asociadas. Esta licencia debe instalarse en cada cortafuegos que contenga puertas de enlace que realicen comprobaciones HIP. Asimismo, la licencia de puerta de enlace habilita la compatibilidad con aplicaciones móviles de GlobalProtect para ios y Android. Licencia del gestor de seguridad móvil de GlobalProtect en el dispositivo GP-100: Una licencia perpetua de instalación única para el gestor de seguridad móvil basada en el número de dispositivos móviles que se van a gestionar. Esta licencia solo es necesaria si pretende gestionar más de 500 dispositivos móviles. Hay disponibles licencias perpetuas para 1000, 2000, 5000, , , o dispositivos móviles. Suscripción a WildFire en el gestor de seguridad móvil de GlobalProtect para el dispositivo GP-100: Usada junto con el gestor de seguridad móvil de GlobalProtect para la detección de software malintencionado APK en los dispositivos Android gestionados. Para habilitar el uso de detección de software malintencionado con el gestor de seguridad móvil de GlobalProtect, debe adquirir una suscripción a WildFire que se corresponda con la capacidad de la licencia del gestor de seguridad móvil de GlobalProtect. Guía del administrador de GlobalProtect 7

14 Acerca de las licencias de GlobalProtect Descripción general de GlobalProtect Consulte Activación de licencias para obtener información sobre la instalación de licencias en el cortafuegos. Consulte la Activación/recuperación de licencias para obtener información sobre la instalación de licencias en el gestor de seguridad móvil. 8 Guía del administrador de GlobalProtect

15 Configuración de la infraestructura de GlobalProtect Para que GlobalProtect funcione, debe configurar la infraestructura básica que permite que todos los componentes se comuniquen. Básicamente, esto implica configurar las interfaces y zonas que a las que se conectarán los usuarios finales de GlobalProtect para acceder al portal y las puertas de enlace. Puesto que los componentes de GlobalProtect se comunican a través de canales seguros, debe adquirir e implementar todos los certificados SSL necesarios de los distintos componentes. Las siguientes secciones le guiarán a través de los pasos básicos para configurar la infraestructura de GlobalProtect: Creación de interfaces y zonas para GlobalProtect Habilitación de SSL entre componentes de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect Habilitación de la asignación de grupo Configuración de las puertas de enlace de GlobalProtect Configuración del portal de GlobalProtect Implementación del software cliente de GlobalProtect Implementación de la configuración del agente de forma transparente Use la aplicación ios de GlobalProtect con un MDM de terceros Referencia: Funciones criptográficas del agente de GlobalProtect Guía del administrador de GlobalProtect 9

16 Creación de interfaces y zonas para GlobalProtect Configuración de la infraestructura de GlobalProtect Creación de interfaces y zonas para GlobalProtect Debe configurar las siguientes interfaces y zonas para la infraestructura de GlobalProtect: Portal de GlobalProtect: Requiere una interfaz de bucle o capa 3 para que se conecten los clientes de GlobalProtect. Si el portal y la puerta de enlace se encuentran en el mismo cortafuegos, pueden usar la misma interfaz. El portal debe estar en una zona accesible desde fuera de su red, por ejemplo: no fiable. Puertas de enlace de GlobalProtect: Los requisitos de interfaz y zona para la puerta de enlace dependen de si está configurando una puerta de enlace externa o una puerta de enlace interna, como se indica a continuación: Puertas de enlace externas: Requieren una interfaz de bucle o capa 3 y una interfaz de túnel lógica para que el cliente se conecte con el fin de establecer un túnel VPN. La interfaz de capa 3/bucle invertido debe encontrarse en una zona externa, como una no fiable. La interfaz de túnel puede estar en la misma zona que la interfaz que se conecta a sus recursos internos, por ejemplo, fiable, o bien, para mejorar la seguridad y la visibilidad, puede crear una zona separada, como corp-vpn. Si crea una zona separada para su interfaz de túnel, necesitará crear políticas de seguridad que habiliten el flujo del tráfico entre la zona VPN y la zona fiable. Puertas de enlace internas: Requiere una interfaz de bucle o de capa 3 en su zona fiable. También puede crear una interfaz de túnel para acceder a sus puertas de enlace internas, pero no es necesario. Puede encontrar consejos sobre el uso de la interfaz de bucle para proporcionar acceso a GlobalProtect a través de diferentes puertos y direcciones en Can GlobalProtect Portal Page be Configured to be Accessed on any Port? ( Se puede configurar la página del portal de GlobalProtect para acceder desde cualquier dispositivo?) Si desea más información sobre portales y puertas de enlace, consulte Acerca de los componentes de GlobalProtect. Configuración de interfaces y zonas para GlobalProtect Paso 1 Configure una interfaz de capa 3 para cada portal o puerta de enlace que pretenda implementar. Si la puerta de enlace y el portal se encuentran en el mismo cortafuegos, puede usar una sola interfaz para ambos. Se recomienda usar direcciones IP estáticas para el portal y la puerta de enlace. 1. Seleccione Red > Interfaces > Ethernet o Red > Interfaces > Bucle invertido y, a continuación, seleccione la interfaz que quiere configurar para GlobalProtect. En este ejemplo, estamos configurando ethernet1/1 como la interfaz del portal. 2. (Solo Ethernet) Seleccione Capa3 en el menú desplegable Tipo de interfaz. 3. En la pestaña Configurar, seleccione la zona a la que pertenece la interfaz del portal o la puerta de enlace, como se indica a continuación: Coloque los portales y las puertas de enlace externas en una zona no fiable para acceder mediante hosts desde fuera de su red, como l3-nofiable. Coloque puertas de enlace internas en una zona interna, como l3-fiable. Si aún no ha creado la zona, seleccione Nueva zona desde el menú desplegable Zona de seguridad. En el cuadro de diálogo Zona, defina un Nombre para una nueva zona y, a continuación, haga clic en ACEPTAR. 4. En el menú desplegable Enrutador virtual, seleccione predeterminado. 5. Para asignar una dirección IP a la interfaz, seleccione la pestaña IPv4, haga clic en Añadir en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la interfaz, por ejemplo, / Para guardar la configuración de la interfaz, haga clic en ACEPTAR. 10 Guía del administrador de GlobalProtect

17 Configuración de la infraestructura de GlobalProtect Creación de interfaces y zonas para GlobalProtect Configuración de interfaces y zonas para GlobalProtect (Continuación) Paso 2 Paso 3 En los cortafuegos donde se alojen puertas de enlace de GlobalProtect, configure la interfaz de túnel lógica que finalizará los túneles VPN establecidos por los agentes de GlobalProtect. No se requieren direcciones IP en la interfaz de túnel a menos que requiera enrutamiento dinámico. Además, asignar una dirección IP a la interfaz de túnel puede resultar útil para solucionar problemas de conexión. Asegúrese de habilitar User-ID en la zona donde finalizan los túneles de VPN. Si ha creado una zona separada para la finalización del túnel de las conexiones VPN, cree una política de seguridad para habilitar el flujo de tráfico entre la zona VPN y su zona fiable. 1. Seleccione Red > Interfaces > Túnel y haga clic en Añadir. 2. En el campo Nombre de interfaz, especifique un sufijo numérico, como En la pestaña Configurar, amplíe el menú desplegable Zona de seguridad para definir la zona del siguiente modo: Para usar una zona fiable como punto de finalización del túnel, seleccione la zona del menú desplegable. (Recomendado) Si quiere crear una zona separada para la finalización del túnel de VPN, haga clic en Nueva zona. En el cuadro de diálogo Zona, defina un Nombre para la nueva zona (por ejemplo, vpn-corp), seleccione la casilla de verificación Habilitar identificación de usuarios y, a continuación, haga clic en ACEPTAR. 4. En el menú desplegable Enrutador virtual, seleccione predeterminado. 5. (Opcional) Si quiere asignar una dirección IP a la interfaz de túnel, seleccione la pestaña IPv4, haga clic en Añadir en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la interfaz, por ejemplo: / Para guardar la configuración de la interfaz, haga clic en ACEPTAR. Por ejemplo, la siguiente regla de política habilita el tráfico entre la zona corp-vpn y la zona l3-fiable. Paso 4 Guarde la configuración. Si ha habilitado el acceso de gestión a la interfaz donde se aloja el portal, debe añadir :4443 a la URL. Por ejemplo, para acceder a la interfaz web del portal configurado en este ejemplo, debería introducir lo siguiente: O bien, si ha configurado un registro DNS para FQDN, como gp.acme.com, debería introducir: Haga clic en Confirmar. Guía del administrador de GlobalProtect 11

18 Habilitación de SSL entre componentes de GlobalProtect Configuración de la infraestructura de GlobalProtect Habilitación de SSL entre componentes de GlobalProtect Toda la interacción entre los componentes de GlobalProtect se realiza a través de una conexión SSL. Por lo tanto, debe generar o instalar los certificados necesarios antes de configurar cada componente, de modo que pueda hacer referencia a los certificados adecuados en las configuraciones. En las siguientes secciones se describen los métodos compatibles de implementación de certificados, las descripciones y las directrices de recomendaciones para los diversos certificados de GlobalProtect, además de ofrecer instrucciones para la generación e implementación de los certificados necesarios. Acerca de la implementación de certificados GlobalProtect Recomendaciones para certificados de GlobalProtect Implementación de certificados de servidores en los componentes de GlobalProtect Acerca de la implementación de certificados GlobalProtect Hay tres enfoques básicos para la Implementación de certificados de servidores en los componentes de GlobalProtect: (Recomendado) Combinación de certificados de terceros y certificados autofirmados: Puesto que los clientes finales accederán al portal antes de la configuración de GlobalProtect, el cliente debe confiar en el certificado para establecer una conexión HTTPS. Del mismo modo, si está usando el gestor de seguridad móvil de GlobalProtect, ocurre lo mismo con los dispositivos móviles que acceden al gestor de seguridad móvil para su inscripción. Por lo tanto, el método recomendado consiste en adquirir el certificado de servidor del portal y el certificado de servidor para la interfaz de registro del dispositivo del gestor de seguridad móvil desde un certificado de CA fiable en el que ya confíen la mayoría de clientes finales con el fin de prevenir errores de certificado. Una vez que el cliente se conecta correctamente, el portal puede enviar cualquier otro certificado requerido (por ejemplo, el certificado de CA raíz para la puerta de enlace) al cliente final. Entidad de certificación empresarial: Si ya cuenta con su propia entidad de certificación empresarial, puede usar esta CA interna para emitir certificados de cada uno de los componentes de GlobalProtect y, a continuación, importarlos desde los cortafuegos donde se alojan su portal y sus puertas de enlace y desde el gestor de seguridad móvil. En este caso, debe asegurarse de que los dispositivos móviles o sistemas del usuario final confíen en el certificado de CA raíz usado para emitir los certificados para los servicios de GlobalProtect a los que deben conectarse. Certificados autofirmados: Puede generar un certificado de CA autofirmado en el portal y usarlo para emitir certificados de todos los componentes de GlobalProtect. Sin embargo, esta solución es menos segura que otras opciones y, por lo tanto, no se recomienda. Si aun así elige esta opción, los usuarios finales verán un error de certificado la primera vez que se conecten al portal. Para evitar esto, puede implementar manualmente un certificado de CA raíz autofirmado para todos los sistemas de usuarios finales o usar algún tipo de implementación centralizada, como un objeto de directiva de grupo (GPO) de Active Directory. 12 Guía del administrador de GlobalProtect

19 Configuración de la infraestructura de GlobalProtect Habilitación de SSL entre componentes de GlobalProtect Recomendaciones para certificados de GlobalProtect En la siguiente tabla se resumen los certificados SSL que necesitará dependiendo de las funciones que pretenda usar: Tabla: Requisitos de certificados para GlobalProtect Certificado Uso Proceso de emisión / Recomendaciones Certificado de CA Usado para firmar certificados emitidos para los componentes de GlobalProtect. Si pretende usar certificados autofirmados, es recomendable generar un certificado de CA en el portal y, a continuación, usar dicho certificado para emitir los certificados necesarios para GlobalProtect. Certificado de servidor del portal Certificado de servidor de la puerta de enlace Habilita a los agentes / aplicaciones de GlobalProtect para que establezcan una conexión HTTPS con el portal. El campo de nombre común (CN) y, si es aplicable, de nombre alternativo del asunto (SAN) del certificado deben coincidir exactamente con la dirección IP o con el nombre de dominio completo (FQDN) de la interfaz donde está alojado el portal. Habilita a los agentes / aplicaciones de GlobalProtect para que establezcan una conexión HTTPS con la puerta de enlace. El campo de nombre común (CN) y, si es aplicable, de nombre alternativo del asunto (SAN) del certificado deben coincidir exactamente con el FQDN o la dirección IP de la interfaz donde pretende configurar la puerta de enlace. Se recomienda usar un certificado emitido por una CA externa conocida. Es la opción más segura y garantiza que los clientes finales puedan establecer una relación de confianza con el portal sin necesidad de que implemente el certificado de CA raíz. Si no usa una CA pública conocida, debería exportar el certificado de CA raíz usado para generar el certificado de servidor del portal a todos los sistemas cliente que usen GlobalProtect con el fin de evitar que los usuarios finales vean advertencias de certificados durante la conexión inicial al portal. Si está implementando un portal y una única puerta de enlace en la misma interfaz / dirección IP para un acceso básico a VPN, debe usar un certificado de servidor único para ambos componentes. Cada puerta de enlace debe tener su propio certificado de servidor. Se recomienda generar un certificado de CA en el portal y usar dicho certificado para generar todos los certificados de puertas de enlace. El portal puede distribuir el certificado de CA raíz de la puerta de enlace a todos los agentes en la configuración del cliente, de modo que no sea necesario que una CA pública emita todos los certificados de puerta de enlace. Si no implementa los certificados CA raíz para puertas de enlace GlobalProtect en la configuración cliente, el agente/aplicación no realizará comprobaciones de certificados cuando se conecta, haciendo que la conexión sea vulnerable a los ataques de intermediario (man-in-the-middle). Si está implementando un portal y una única puerta de enlace en la misma interfaz / dirección IP para un acceso básico a VPN, debe usar un certificado de servidor único para ambos componentes. Se recomienda usar un certificado emitido por una CA pública. Guía del administrador de GlobalProtect 13

20 Habilitación de SSL entre componentes de GlobalProtect Configuración de la infraestructura de GlobalProtect Certificado Uso Proceso de emisión / Recomendaciones (Opcional) Certificado de cliente Sirve para habilitar la autenticación mutua entre los agentes de GlobalProtect y las puertas de enlace o el portal. Además de habilitar la autenticación mutua al establecer una sesión HTTPS entre el cliente y el portal / puerta de enlace, también puede usar certificados de cliente para autenticar a usuarios finales. Para simplificar la implementación de certificados de cliente, configure el portal para que implemente el certificado de cliente a los agentes al realizarse correctamente el inicio de sesión. En esta configuración, todos los agentes de GlobalProtect que usen la misma configuración comparten un único certificado de cliente; el objetivo de este certificado es asegurarse de que solo los clientes de su organización tengan permiso para conectarse. Puede usar otros mecanismos para implementar certificados de clientes exclusivos para cada sistema de cliente que se usarán en la autenticación del usuario final. Tal vez deba probar su configuración primero sin el certificado de cliente y, a continuación, añadir el certificado del cliente cuando esté seguro de que el resto de ajustes de la configuración son correctos. (Opcional) Certificado de máquina Certificados de servidor del gestor de seguridad móvil Garantiza que solo se puedan conectar a GlobalProtect los equipos fiables. Además, los certificados de máquina son necesarios para el uso del método de conexión anterior al inicio de sesión, lo que permite el establecimiento de túneles VPN antes de que el usuario inicie sesión. Permite a los dispositivos móviles establecer sesiones HTTPS con el gestor de seguridad móvil para su inscripción o registro. Permite a las puertas de enlace conectarse al gestor de seguridad móvil para recuperar informes HIP para los dispositivos móviles gestionados. El campo de nombre común (CN) y, si es aplicable, de nombre alternativo del asunto (SAN) del certificado deben coincidir exactamente con la dirección IP o con el nombre de dominio completo (FQDN) de la interfaz. Si pretende usar la función anterior al inicio de sesión, debe utilizar su propia infraestructura PKI para implementar los certificados de máquina en cada sistema de cliente antes de habilitar el acceso a GlobalProtect. Para obtener más información, consulte VPN de acceso remoto con función anterior al inicio de sesión. Puesto que los dispositivos deben confiar en el gestor de seguridad móvil para inscribirse, se recomienda adquirir un certificado para la interfaz de registro del dispositivo del gestor de seguridad móvil desde una CA fiable y conocida. Si no utiliza una CA fiable para emitir certificados de la interfaz de registro del dispositivo del gestor de seguridad móvil, tendrá que implementar el certificado de CA raíz del gestor de seguridad móvil para dispositivos móviles a través de la configuración del portal (a fin de habilitar el dispositivo para que establezca una conexión SSL con el gestor de seguridad móvil para su inscripción). Si la interfaz de registro del dispositivo está en una interfaz diferente a la que se conectan las puertas de enlace para la recuperación de HIP, necesitará certificados de servidor separados para cada interfaz. Si desea información detallada, consulte Configuración del gestor de seguridad móvil de GlobalProtect. 14 Guía del administrador de GlobalProtect