Guía del producto. McAfee Web Gateway Cloud Service

Transcripción

1 Guía del producto McAfee Web Gateway Cloud Service

2 COPYRIGHT Copyright 2017 McAfee LLC ATRIBUCIONES DE MARCAS COMERCIALES McAfee y el logotipo de McAfee, McAfee Active Protection, epolicy Orchestrator, McAfee epo, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource y VirusScan son marcas comerciales de McAfee LLC o sus filiales en EE. UU. y otros países. Otros nombres y marcas pueden ser reclamados como propiedad de terceros. INFORMACIÓN DE LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA ATENTAMENTE EL ACUERDO LEGAL PERTINENTE CORRESPONDIENTE A LA LICENCIA QUE HAYA ADQUIRIDO, EN EL QUE SE ESTABLECEN LOS TÉRMINOS Y LAS CONDICIONES GENERALES DE APLICACIÓN AL USO DEL SOFTWARE CUYA LICENCIA SE CONCEDE. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS RELATIVOS A LA VENTA, ASÍ COMO OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑEN AL PAQUETE DE SOFTWARE O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (TALES COMO UN FOLLETO, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE HAYA DESCARGADO EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS ESTABLECIDOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL PUNTO DE VENTA PARA OBTENER EL REEMBOLSO ÍNTEGRO DE SU IMPORTE. 2 McAfee Web Gateway Cloud Service Guía del producto

3 Contenido 1 Descripción general del producto 5 Qué es McAfee WGCS? Funciones principales Cómo funciona McAfee WGCS Tecnologías de seguridad web de McAfee Administración de cuentas Administración de directivas 9 Modelo de directiva global Utilización del Explorador de directivas Visualizar directivas de función Visualizar reglas Visualización de catálogos Descarga e instalación de certificados SSL en los sistemas cliente Trabajo con grupos de usuarios Sincronización con Active Directory Adición de un grupo de usuarios local Cambio de nombre del grupo de usuarios locales Uso de reglas y directivas de función Agregar una regla Crear una regla mediante la importación de una lista de URL Creación de una regla mediante excepciones Edición de una regla Reordenar las reglas Eliminar una regla Crear una lista Eliminación de una lista Administración de las URL Crear una página de bloqueo Editar los Detalles de la directiva Cambio de la directiva asignada Visualización de acciones de usuario Exportación de registros de auditoría Condiciones de error Autenticación 35 Decisiones sobre autenticación y directivas Cómo implementa McAfee WGCS las opciones de autenticación Cómo funciona el proceso de autenticación Autenticación de intervalo de direcciones IP Activación o desactivación de la autenticación de intervalo de direcciones IP Configuración de la autenticación de intervalo de direcciones IP Importación de una lista de intervalos de direcciones IP Exportación de una lista de intervalos de direcciones IP Autenticación SAML McAfee Web Gateway Cloud Service Guía del producto 3

4 Contenido Ventajas de la autenticación SAML Autenticación SAML: pasos generales Descripción general sobre la configuración de SAML Consideraciones a la hora de configurar la autenticación SAML Configuración de SAML en la consola de administración Configuración de autenticación SAML Autenticación sitio a sitio de IPsec Configuración de la autenticación sitio a sitio de IPsec Consideraciones para configurar IPsec sitio a sitio Activación o desactivación de la autenticación sitio a sitio de IPsec Adición de una ubicación IPsec Eliminación de una ubicación IPsec Edición de la configuración sitio a sitio de IPsec Configuración sitio a sitio de IPsec Adición de autenticación SAML a IPsec sitio a sitio Configuración de reglas de directivas para tráfico VPN IPsec Índice 53 4 McAfee Web Gateway Cloud Service Guía del producto

5 1 Descripción 1 general del producto McAfee Web Gateway Cloud Service (McAfee WGCS) es un servicio empresarial en la nube y disponible globalmente que proporciona protección web integral mediante el análisis de contenido en profundidad y la integración con otras tecnologías de seguridad web de McAfee. Contenido Qué es McAfee WGCS? Funciones principales Cómo funciona McAfee WGCS Tecnologías de seguridad web de McAfee Administración de cuentas Qué es McAfee WGCS? El servicio de protección web protege a su organización frente a las amenazas de seguridad a las que se pueden exponer los usuarios finales cuando acceden a Internet. El servicio analiza y filtra el tráfico web entre los usuarios finales de su organización y la nube. Bloquea el tráfico que no permita la directiva de protección web que configure. Protege a los usuarios que trabajan tanto dentro como fuera de su red. Por ejemplo, el servicio protege a los usuarios que trabajen desde una cafetería o un hotel. Si utiliza el servicio de protección web, puede evitar amenazas sofisticadas, implementar la directiva de uso de Internet de su organización y fomentar la productividad. Por ejemplo, puede controlar el acceso a los sitios web de carga de archivos. Gracias a los cientos de categorías de tipos de medios, aplicaciones y contenidos web, dispone de un control detallado del uso de la Web, tanto dentro como fuera de la red. Como servicio de una plataforma en la nube, McAfee WGCS está administrado las 24 horas del día y los 7 días de la semana por un equipo de expertos en seguridad de McAfee. Deberá adquirir una suscripción al servicio, pero no tendrá que instalar hardware ni software. La plataforma de servicios en la nube consta de nodos distribuidos globalmente denominados puntos de presencia (PoP). Global Routing Manager (GRM) es un servicio DNS responsable del enrutamiento inteligente del tráfico, el uso compartido de la carga y la conmutación en caso de error. GRM enruta el tráfico al mejor punto de presencia disponible. El servicio de protección web se administra y configura mediante la plataforma y la consola de McAfee epolicy Orchestrator Cloud (McAfee epo Cloud). McAfee WGCS se puede desplegar con o sin McAfee Client Proxy. El software Client Proxy se instala en los equipos de los usuarios finales de su organización. Este software detecta la ubicación y redirige las solicitudes de los usuarios finales al servicio en la nube cuando los usuarios trabajan fuera de la red. McAfee Web Gateway Cloud Service Guía del producto 5

6 1 Descripción general del producto Funciones principales Client Proxy se despliega y configura mediante la plataforma y la consola de McAfee epolicy Orchestrator (McAfee epo ) o McAfee epo Cloud. McAfee WGCS se puede integrar con Client Proxy cuando el software se administra con cualquiera de ambas plataformas. Los equipos de los usuarios finales se denominan equipos cliente o endpoint. Los equipos endpoint a veces se denominan endpoints. Funciones principales McAfee WGCS proporciona las siguientes funciones de seguridad clave. Filtrado de URL mediante listas blancas, listas negras y categorías de reputación basadas en los niveles de riesgo determinados por McAfee Global Threat Intelligence (McAfee GTI) Análisis SSL, incluido un descifrado completo y una inspección de contenido Filtrado de contenido web: Filtrado de contenido web mediante el Filtro de categorías web Filtrado de aplicaciones web mediante Protección de acceso Filtrado de tipos de medios mediante el Filtro de tipo de medios Filtrado de antimalware que bloquea el malware en línea y que incluye tecnología de emulación del comportamiento y antivirus tradicionales Autenticación SAML, de intervalo de direcciones IP y sitio a sitio de IPsec de los usuarios finales que solicitan acceso a la nube Informes de protección web: productividad, actividad web, implementación de directivas web y descripción general de seguridad web Cómo funciona McAfee WGCS El servicio de protección web protege a su organización frente a malware, spyware, virus, URL de phishing, ataques dirigidos y amenazas combinadas gracias a un proceso de detección exhaustivo. El proceso de detección de amenazas consta de estos pasos generales. 1 Mediante la tecnología antivirus basada en firmas junto con los datos de reputación y las categorías de URL de McAfee GTI, McAfee WGCS filtra las amenazas conocidas del tráfico web a la vez que permite pasar el tráfico conocido no dañino. En este paso del proceso se detecta en torno al 80 % de las amenazas basadas en la Web. 2 No se conoce si el tráfico web restante es dañino o no. Gateway Anti-Malware Engine inspecciona el tráfico desconocido sospechoso. Mediante una tecnología de emulación, se observan el contenido web dinámico y el código activo en un entorno controlado para conocer intenciones y predecir comportamientos. Este paso del proceso detecta casi el 100 % de las amenazas basadas en la Web restantes. Conocidas como "malware de día cero", estas amenazas son archivos de malware nuevos o modificados que aún no se han firmado. 6 McAfee Web Gateway Cloud Service Guía del producto

7 Descripción general del producto Tecnologías de seguridad web de McAfee 1 Tecnologías de seguridad web de McAfee McAfee WGCS emplea la información y la inteligencia que proporcionan los componentes y las tecnologías de seguridad web comprobados de McAfee. Estas tecnologías y estos componentes actualizan dinámicamente el servicio de protección web a medida que cambia la información y la inteligencia de seguridad web, y están totalmente integrados con el servicio. Se requiere una mínima tarea de configuración en la interfaz del usuario. Entre los componentes y las tecnologías de seguridad web se incluyen los siguientes: McAfee GTI: evalúa la reputación de los sitios web en función del comportamiento previo y los asigna a las categorías de riesgo alto, medio, bajo o sin verificar. McAfee GTI recopila, analiza y distribuye datos en tiempo real de más de 100 millones de sensores en más de 120 países. Filtros: simplifique las reglas de directivas mediante la asignación de sitios web, aplicaciones web y tipos de archivos similares a los grupos. Filtro de categorías web: asigna los sitios web a categorías en función del contenido. Mediante este filtro, puede permitir o bloquear el acceso a determinados contenidos; por ejemplo, puede bloquear el acceso a sitios web de apuestas. Protección de acceso: asigna aplicaciones web a categorías por tipo. Mediante este filtro, puede permitir o bloquear el acceso a las aplicaciones web de manera individual o por categoría. Por ejemplo, puede bloquear las cargas de archivos a aplicaciones de uso compartido de archivos en la nube. Filtro de tipo de medios: categoriza los archivos por el tipo de documento o el formato de audio o vídeo. Mediante este filtro, puede permitir o bloquear el acceso a determinados tipos de medios; por ejemplo, puede bloquear el acceso a la transmisión multimedia en tiempo real. Gateway Anti-Malware Engine: filtra el tráfico web, y detecta y bloquea malware de día cero en línea con tecnología de emulación antes de que se infecten los dispositivos del usuario final. Administración de cuentas En la consola de administración, puede sincronizar un Active Directory local con McAfee epo Cloud. También puede aplicar su directiva de protección web a grupos de usuarios locales que haya creado y nombrado. Sincronización con Active Directory: puede crear, rellenar y mantener las cuentas de Active Directory locales de su organización en el Árbol de sistemas de McAfee epo Cloud. Para obtener más información, consulte la Guía del producto de McAfee epolicy Orchestrator Cloud. Función de grupo de usuarios locales: puede crear grupos de usuarios locales y ponerles un nombre manualmente, y después agregarlos a las acciones de las reglas de directivas. Esta función forma parte de la interfaz de Directiva Directiva de datos web y en la nube. McAfee Web Gateway Cloud Service Guía del producto 7

8 1 Descripción general del producto Administración de cuentas 8 McAfee Web Gateway Cloud Service Guía del producto

9 2 2 Administración de directivas En la consola de administración de McAfee epo Cloud, puede administrar la directiva de seguridad web que determina de qué forma McAfee WGCS filtra el tráfico web y permite o bloquea el acceso a los objetos, las aplicaciones y el contenido web. Contenido Modelo de directiva global Utilización del Explorador de directivas Descarga e instalación de certificados SSL en los sistemas cliente Trabajo con grupos de usuarios Uso de reglas y directivas de función Visualización de acciones de usuario Exportación de registros de auditoría Condiciones de error Modelo de directiva global El modelo de directivas de McAfee WGCS se basa en un conjunto de directivas que se aplica globalmente en toda la organización. De esta forma, configura un conjunto de directivas que se aplica globalmente a todos los usuarios y grupos de su organización. Para personalizar la aplicación del conjunto de directivas a determinados usuarios o grupos, debe configurar las excepciones a las reglas que conforman las directivas del conjunto. McAfee Web Gateway Cloud Service Guía del producto 9

10 2 Administración de directivas Utilización del Explorador de directivas Utilización del Explorador de directivas La interfaz del Explorador de directivas para administrar las directivas ha sido diseñada a fin de ofrecer información según el contexto. El tipo de información que se presenta varía según las opciones instaladas, el área de la interfaz en la que se encuentre en ese momento y las elecciones que haya realizado. La interfaz para administrar las directivas está organizada a fin de proporcionar protección en las áreas de funciones clave relevantes para los productos y servicios de McAfee que utilice. Figura 2-1 Explorador de directivas predeterminado (todas las funciones se muestran contraídas para mayor claridad) Estas áreas de función clave son las siguientes: Configuración global, que permite mantener la Lista blanca de URL global y la Lista negra global aplicables a todos los usuarios y directivas. Analizador de SSL, que permite configurar los ajustes de análisis de SSL (Capa de sockets seguros). Reputación web, que permite configurar la respuesta a un sitio web según su nivel de reputación. Filtro de categoría web, que permite configurar los ajustes de análisis basados en categorías para proteger a los usuarios de las categorías de sitios web inadecuadas. Protección de acceso, que permite configurar las aplicaciones basadas en web disponibles para los usuarios. Filtro de tipo de medios, que permite configurar los tipos de formatos de archivo a los que pueden acceder los usuarios. Filtro antimalware, que permite configurar los ajustes relativos al filtrado de malware. Visualizar directivas de función Cada área de función clave de la interfaz contiene una o más directivas de función relativas a dicha área. Una directiva de función proporciona diversos grados de restricción en sus áreas de función clave. Cada directiva dispone de su propio conjunto de reglas y excepciones. Por ejemplo, es muy probable que una directiva de función restrictiva bloquee el acceso a la mayoría de ubicaciones para la mayoría de los usuarios. Una directiva permisiva permite el acceso a la mayoría de ubicaciones para la mayoría de los usuarios. 10 McAfee Web Gateway Cloud Service Guía del producto

11 Administración de directivas Utilización del Explorador de directivas 2 Su producto incluye varias directivas para cada área de función de forma predeterminada. Estas directivas se configuran con ajustes que se utilizan frecuentemente en distintos sectores gubernamentales, educativos o industriales. Por ejemplo, algunas organizaciones prefieren configuraciones menos restrictivas de forma que sus empleados o estudiantes puedan aprovechar Internet de la mejor forma posible para sus objetivos empresariales o educativos. Un departamento de defensa del gobierno debe ser mucho más restrictivo. En la mayoría de los casos, resulta útil disponer de dos directivas para cada función: una para utilizarla en situaciones cotidianas normales y otra más restrictiva para investigar problemas de seguridad. Para ver las directivas de función disponibles en cada área de función, seleccione cada directiva haciendo clic en la flecha de la lista desplegable de directivas. Figura 2-2 Visualización de directivas seleccionándolas en la lista desplegable de directivas Una vez que se expande la lista desplegable, se muestran todas las directivas de función relacionadas con esa área. En cada directiva, puede configurar tantas reglas como necesite. Detalles de la directiva Al hacer clic en el nombre de una directiva de función (por ejemplo, Limitada o Permisiva), se muestra el panel Detalles de la directiva. Figura 2-3 Panel Detalles de la directiva típico para las directivas de McAfee Web Gateway Cloud Service En el panel Detalles de la directiva, puede ver el nombre de la directiva de función, así como visualizar y editar las páginas de bloqueo utilizadas por dicha directiva de función. Asimismo, puede copiar la página de bloqueo y utilizarla para crear otra. Puede ver los detalles de cualquier directiva, tanto si está activada como si está desactivada. Un icono de directiva desactivada marca las directivas que no están actualmente en uso. McAfee Web Gateway Cloud Service Guía del producto 11

12 2 Administración de directivas Utilización del Explorador de directivas Asimismo, también puede ver información específica sobre la directiva de función: Tabla 2-1 Información específica de la directiva de función Directiva de función Información adicional Analizador de SSL Filtro de categoría web Vínculo Descargar paquete de certificados SSL Casilla de verificación Bloquear sitios web no categorizados Si se selecciona esta opción, se bloquean todos los sitios sin categorizar, incluso los sitios que aparecen en la Lista blanca de URL en las áreas siguientes. Casilla de verificación Implementar Búsqueda segura Si se desplaza hasta otra directiva de función, el panel Detalles de la directiva permanecerá abierto, pero no se actualizará hasta que haga clic en el nombre de la nueva directiva de función. Visualizar reglas Cada directiva de función contiene un conjunto de reglas. Las reglas se ejecutan en orden descendente, y cada regla está configurada de modo que realice la acción seleccionada cuando se produzca una coincidencia con la regla. Figura 2-4 Ejemplo de reglas de directiva de función Cada directiva de función puede contener determinados tipos de reglas. 12 McAfee Web Gateway Cloud Service Guía del producto

13 Administración de directivas Utilización del Explorador de directivas 2 Tabla 2-2 Tipos de regla Función Reglas permitidas Configuración global Lista blanca de URL global: direcciones URL que se consideran seguras y que se evalúan antes que cualquier otra regla en esta función. Las URL coincidentes omiten el resto de las reglas de esta función. Lista negra global: direcciones URL que no se consideran seguras y que se evalúan antes que el resto de reglas en esta función. Las URL coincidentes omiten el resto de las reglas de esta función y el acceso se bloquea. Analizador de SSL Reputación web Filtro de categoría web Protección de acceso Filtro de tipo de medios Filtro antimalware Lista blanca de URL: URL que se aplican a la función Analizador de SSL. SSL Web Category (Categoría web SSL): inspeccionar o no inspeccionar el tráfico en función de la categoría de URL. SSL Web Application (Aplicación web SSL): inspeccionar o no inspeccionar el tráfico SSL en función de la lista de aplicaciones web que se utilizan. todas las demás conexiones SSL (regla comodín): se aplica a cualquier solicitud que no coincida con las reglas para esta función. Lista blanca de URL: URL que se aplican a la función Reputación web. Reputación web: permitir o bloquear sitios en función de su calificación de reputación de Global Threat Intelligence (GTI). Lista blanca de URL: URL que se aplican a la función Filtro de categoría web. Categorías web: permitir o bloquear las solicitudes en función de la categoría de URL. todas las demás categorías web (regla comodín): se aplica a cualquier solicitud que no coincida con las reglas de esta función. Lista blanca de URL de aplicaciones web: URL que se aplican a la función Protección de acceso. Aplicaciones web: permitir o bloquear las solicitudes en función de la aplicación web detectada en la solicitud. todas las demás aplicaciones web (regla comodín): se aplica a cualquier solicitud que no coincida con las reglas de esta función. Lista blanca de URL: URL que se aplican a la función Filtro de tipo de medios. Tipo de medios: permitir o bloquear las solicitudes en función del tipo de medios detectado en la solicitud. todos los demás tipos de medios (regla comodín): se aplica a cualquier solicitud que no coincida con las reglas de esta función. Lista blanca de URL: URL que se aplican a la función Filtro antimalware. Análisis antimalware: bloquear las solicitudes de archivos maliciosos en función de la probabilidad de antimalware del gateway (GAM). McAfee Web Gateway Cloud Service Guía del producto 13

14 2 Administración de directivas Utilización del Explorador de directivas Detalles de la regla Al hacer clic en una regla, se muestra el panel Detalles de la regla. Este panel le permite ver el nombre de la regla y saber si está desactivada o desactivada. También podrá ver la acción principal configurada, así como las posibles excepciones configuradas. Figura 2-5 Panel Detalles de la regla El área superior del panel Detalles de la regla muestra el objeto principal o sea, el objeto o la lista a los cuales se aplica la regla y su estado. El menú Detalles de la regla contiene lo siguiente: Tabla 2-3 Menú Detalles de la regla Elemento de menú Descripción Activar regla Desactivar regla Agregar acción Cerrar Active la regla seleccionada actualmente para que se pueda utilizar a fin de evaluar las solicitudes web de sus usuarios. Para evitar que se utilice una regla a fin de evaluar las solicitudes web de sus usuarios, seleccione Desactivar regla. Puede agregar acciones adicionales a la regla si procede según la función y la regla seleccionadas. Cierre el panel Detalles de la regla. El objeto principal depende del contexto. Al seleccionar distintos tipos de reglas, se muestran solo los objetos principales correspondientes. Se mostrará la acción principal que esté seleccionada en ese momento. 14 McAfee Web Gateway Cloud Service Guía del producto

15 Administración de directivas Utilización del Explorador de directivas 2 Tabla 2-4 Acciones principales disponibles para los distintos tipos de regla Tipo de regla Reglas de aplicación Reglas antimalware Acciones principales disponibles Permitir, Bloquear Permitir, Bloquear, Enviar al Espacio aislado, Omitir Notas No es posible crear reglas de tipo Antimalware. Las acciones Enviar al Espacio aislado y Omitir solo están disponibles si se ha adquirido el servicio Detección de amenazas en la nube. Lista negra de URL global Bloquear No es posible crear reglas de tipo Lista negra; la única lista negra se encuentra en la función Configuración global. Reglas comodín Lista blanca de URL global Reglas de tipo de medio Permitir, Bloquear Permitir siempre Permitir, Bloquear Reglas de reputación web Permitir, Bloquear No puede editar el objeto principal de Reputación web. Reglas del escáner de SSL Reglas de categoría web Reglas de la lista blanca de URL Permitir Inspeccionar, No inspeccionar Permitir, Bloquear No puede crear reglas de Reputación web. Para cada acción principal, siempre que se permita, se muestran todos los objetos de excepción configurados. Tabla 2-5 Descripciones de las acciones Acción Permitir/Bloquear Permitir siempre Inspeccionar/No inspeccionar Enviar al Espacio aislado/ Omitir (solo disponibles para el servicio Detección de amenazas en la nube) Descripción La acción Permitir hace que la solicitud web omita la función actual y avance hasta la siguiente función de la lista en orden descendente. La acción Bloquear detiene cualquier procesamiento posterior y bloquea la solicitud. Permitir siempre solo es aplicable a la Lista blanca de URL global, permite la solicitud web y detiene cualquier procesamiento adicional mediante las funciones restantes. La acción Inspeccionar permite descifrar la información SSL antes de pasarla a la siguiente función de la lista. No inspeccionar detiene el descifrado de la información SSL, lo que detiene de forma efectiva cualquier procesamiento adicional mediante las funciones restantes. La acción Enviar al Espacio aislado hace que los archivos se reenvíen al servicio Detección de amenazas en la nube para continuar con su análisis. La acción Omitir evita que el archivo se envíe al servicio Detección de amenazas en la nube. La importancia del orden de las reglas Cuando se activa una acción Permitir siempre, se omiten todas las reglas siguientes y no se evalúan en relación con la solicitud actual. McAfee Web Gateway Cloud Service Guía del producto 15

16 2 Administración de directivas Utilización del Explorador de directivas En el caso de las acciones Permitir, se omiten todas las reglas restantes de la directiva de función actual y el proceso continúa con la siguiente. Tanto con la acción Permitir como con la acción Permitir siempre, se permite el elemento que ha provocado la activación. Tenga en cuenta el orden utilizado para ordenar las reglas de cada directiva de función. Coloque en la parte superior de la lista de reglas aquellas que sean más restrictivas y dispóngalas en orden descendente hasta colocar la regla comodín en la parte inferior de la lista. Importancia del orden de las acciones La última acción del panel Detalles de la regla se considera la acción principal y actúa como acción comodín. Por ejemplo, si la última acción es Bloquear, se bloqueará todo el tráfico que no coincida con las acciones anteriores. Véase también Activar o desactivar una regla en la página 22 Detalles de objeto El panel de detalles de objeto le permite visualizar los elementos relevantes incluidos en las reglas. Figura 2-6 Panel Detalles de objeto La información mostrada en el panel de detalles de objeto cambia a medida que se desplaza por el flujo de trabajo de sus tareas. Esta información cambiante le garantiza que siempre visualizará las opciones relativas al flujo de trabajo actual. Por ejemplo, si selecciona la regla Reputación web, podrá activarla o desactivarla y agregar excepciones. No es posible editar la descripción de la regla Reputación web. Si lo permite la fase del flujo de trabajo en la que se encuentra, podrá editar los elementos que aparecen en el objeto seleccionado. Algunas áreas de la interfaz pueden contener muchas entradas que se pueden seleccionar. Estas áreas incluyen un campo de búsqueda que permite hallar más fácilmente lo que se busca. Reglas comodín Las reglas comodín proporcionan un método para configurar las directivas de función y entran en vigor si no se activa ninguna otra regla. Las reglas comodín se incluyen en las directivas Analizador de SSL, Filtro de categoría web, Protección de acceso y Filtro de tipo de medios. 16 McAfee Web Gateway Cloud Service Guía del producto

17 Administración de directivas Descarga e instalación de certificados SSL en los sistemas cliente 2 Las reglas comodín se muestran en la parte inferior de la lista de reglas correspondiente a las directivas de función relevantes y no se pueden eliminar ni reordenar. Este tipo de regla se puede desactivar. Visualización de catálogos Los catálogos contienen grupos de datos relacionados, por ejemplo, páginas de bloqueo, listas de categorías web, listas de tipos de aplicaciones web y listas de tipos de medios. El panel Catálogo se encuentra en la parte derecha de la pantalla. Figura 2-7 Panel Catálogo El contenido del panel Catálogo varía según el área de función y las reglas seleccionadas. Descarga e instalación de certificados SSL en los sistemas cliente La instalación de certificados SSL permite a McAfee WGCS analizar el tráfico SSL. Se deben instalar certificados en todos los dispositivos que se comuniquen con McAfee WGCS. El paquete del certificado incluye información detallada acerca de la instalación de los certificados SSL en distintos exploradores y sistemas operativos. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 En el Navegador de directivas, seleccione Escáner SSL. 3 Haga clic en el nombre de la directiva (por ejemplo, Sin inspección de SSL o Cobertura básica) a la derecha del área Analizador de SSL. 4 En el panel Detalles de la directiva, haga clic en Descargar paquete de certificados SSL. Cuando se le solicite, guarde el archivo.zip en una carpeta local. 5 Extraiga los archivos del.zip y comparta los archivos con el usuario final. 6 Siga las instrucciones correspondientes a sus navegadores y sistemas operativos recogidas en el documento Importing_Certificates_into_Browsers.pdf (incluido en el archivo.zip del paquete de certificados). Trabajo con grupos de usuarios Configure grupos de usuarios locales o utilice los servicios de Active Directory para conectarse a Active Directory y aplicar directivas a distintos grupos de usuarios. McAfee Web Gateway Cloud Service Guía del producto 17

18 2 Administración de directivas Trabajo con grupos de usuarios s Sincronización con Active Directory en la página 18 La integración de los grupos de usuarios de Active Directory en las directivas de protección web permite crear directivas que se apliquen a determinados grupos de usuarios. Adición de un grupo de usuarios local en la página 18 Puede agregar grupos de usuarios locales a las directivas de función para personalizar la protección de los usuarios. Cambio de nombre del grupo de usuarios locales en la página 18 Como administrador, puede cambiar el nombre de los grupos de usuarios a su elección. Sincronización con Active Directory La integración de los grupos de usuarios de Active Directory en las directivas de protección web permite crear directivas que se apliquen a determinados grupos de usuarios. Véase el capítulo Sincronización con Active Directory de la Guía del producto de McAfee epolicy Orchestrator para obtener información detallada sobre la sincronización con su AD local. Adición de un grupo de usuarios local Puede agregar grupos de usuarios locales a las directivas de función para personalizar la protección de los usuarios. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 En el Explorador de directivas, seleccione la función que desea cambiar. 3 En el área de función, seleccione la regla y la directiva de función donde desee agregar el grupo de usuarios local. 4 En el panel Detalles de la regla, seleccione. No es posible agregar un grupo de usuarios a la acción principal actual. 5 Haga clic en desde el panel Catálogo. Para agregar un grupo de usuarios existente, haga clic en junto al grupo en cuestión. 6 Haga clic en Nuevo grupo de usuarios. 7 Opcional: escriba un nombre para el grupo de usuarios. 8 Haga clic en Guardar para actualizar la regla. Cambio de nombre del grupo de usuarios locales Como administrador, puede cambiar el nombre de los grupos de usuarios a su elección. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 En el Explorador de directivas, seleccione la función que desea cambiar. 3 Seleccione el grupo de usuarios locales que desee editar. 18 McAfee Web Gateway Cloud Service Guía del producto

19 Administración de directivas Uso de reglas y directivas de función 2 4 Haga clic en en el panel de detalles de objeto. 5 Haga clic en Cambiar nombre. Para eliminar el grupo de usuarios, haga clic en Eliminar. 6 Escriba un nombre nuevo para el grupo de usuarios. 7 Haga clic en Guardar para actualizar el grupo de usuarios local. Uso de reglas y directivas de función Utilice las tareas siguientes al crear o cambiar las reglas y las directivas de función. s Agregar una regla en la página 20 Puede agregar reglas a las directivas de función para personalizar la protección para los usuarios. Crear una regla mediante la importación de una lista de URL en la página 20 Puede crear una regla para la lista de URL importando un archivo.csv que contenga las URL a una lista de URL. A continuación, agregue esta lista de URL a la nueva regla. Creación de una regla mediante excepciones en la página 21 Cree una regla con excepciones para especificar los grupos de usuarios; es posible proporcionar o denegar determinado acceso a los grupos de usuarios. Edición de una regla en la página 22 Hay varias formas de editar las reglas para satisfacer los requisitos de protección. Reordenar las reglas en la página 25 Mueva las reglas para cambiar el orden en el que se aplican. Las reglas se aplican de arriba a abajo. Eliminar una regla en la página 25 La eliminación de reglas no deseadas le ayudará a organizar y entender sus directivas de función. Crear una lista en la página 25 Puede crear listas y agregarlas a las reglas Categoría Web, Tipo de medio, Listas de sitios y Aplicación. Eliminación de una lista en la página 26 Es posible eliminar objetos principales no utilizados, listas de sitios, categorías web y objetos definidos por el usuario en la lista del catálogo. Administración de las URL en la página 27 Mediante la adición de una URL a la lista de URL se puede controlar un sitio web al que acceden los usuarios. Las direcciones URL agregadas se conservan en la lista de URL, la cual se puede editar cuando sea necesario. Asimismo, las URL se pueden exportar para crear una copia de seguridad de la información. Crear una página de bloqueo en la página 30 Las páginas de bloqueo se muestran al impedir que los usuarios accedan a una URL, a un documento o a otra solicitud web en particular. Puede crear distintas páginas de bloqueo para directivas de función individuales. Editar los Detalles de la directiva en la página 31 Puede editar el nombre de la directiva y la página de bloqueo asignada mediante el panel Detalles de la directiva. Cambio de la directiva asignada en la página 31 Cada función solo puede tener una directiva de función activa aplicada a la vez. Utilice esta tarea para cambiar la directiva de función asignada a una función. McAfee Web Gateway Cloud Service Guía del producto 19

20 2 Administración de directivas Uso de reglas y directivas de función Agregar una regla Puede agregar reglas a las directivas de función para personalizar la protección para los usuarios. La ubicación de la nueva regla dependerá tanto de las opciones que elija como de la selección actual: Si tiene seleccionada una regla existente, la nueva regla se situará inmediatamente por encima ella. Si no tiene ninguna regla seleccionada, la nueva regla se situará en la parte inferior del área de protección clave seleccionada. Si existe una regla comodín, la nueva regla se sitúa por encima de ella. Si elige agregar una lista blanca, se situará por debajo de la última regla de lista blanca en el navegador. No podrá agregar una regla si está editando los detalles de otra regla. Algunos tipos de reglas, como las reglas antimalware y las reglas de reputación web, se crean de forma predeterminada y no es posible agregar más reglas de estos tipos. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 En el Explorador de directivas, haga clic en el icono Nueva regla. de la directiva de función y, a continuación, seleccione 3 En el panel Catálogo, seleccione el tipo de catálogo requerido en la lista desplegable. 4 Haga clic en junto a la lista seleccionada. Práctica recomendada: Utilice el campo Buscar a fin de filtrar los elementos disponibles para su selección. 5 En el panel Detalles de la regla, seleccione la acción necesaria para la lista agregada. 6 Haga clic en Guardar. Véase también Cambiar los Detalles de la regla en la página 23 Crear una regla mediante la importación de una lista de URL Puede crear una regla para la lista de URL importando un archivo.csv que contenga las URL a una lista de URL. A continuación, agregue esta lista de URL a la nueva regla. Antes de empezar Asegúrese de que dispone de un archivo existente de valores separados por comas con la lista de las URL que desea importar. De forma opcional, el archivo también puede incluir una fila de encabezado. La lista debe contener valores separados por comas. Cada línea contiene una URL seguida por el separador "," y "true" o "false". Mediante "true" se indica que la URL tiene seleccionado el parámetro "Todos los subdominios", mientras que "false" anula la selección de "Todos los subdominios". La URL y los valores true/false no distinguen entre mayúsculas y minúsculas. No debe haber espacios dentro ni al final de cada línea. 20 McAfee Web Gateway Cloud Service Guía del producto

21 Administración de directivas Uso de reglas y directivas de función 2 Este es un ejemplo del aspecto que pueden presentar las entradas del archivo: example.org,true 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 En el Explorador de directivas, haga clic en debe agregar. junto a la directiva de función correspondiente a la regla que se 3 Seleccione Nueva regla. 4 En el panel Catálogo, seleccione la Lista de URL en la lista desplegable, haga clic en nueva lista de URL. y seleccione Importar 5 En el cuadro de diálogo Importar lista, desplácese hasta la lista de URL creada anteriormente. Si el archivo.csv incluye una primera fila con información de encabezado, asegúrese de seleccionar Este archivo contiene una fila de encabezado. 6 Haga clic en Importar. El contenido del archivo crea una regla de lista de URL. Si el archivo.csv contiene URL duplicadas, la importación se interrumpirá y se le notificará la presencia de entradas duplicadas. A continuación, podrá seguir con la importación o ponerle fin sin importar la lista de URL. 7 Tras importar las URL incluidas en el archivo, acepte el nombre predeterminado para la lista de URL o introduzca uno nuevo. De forma predeterminada, la nueva lista tomará el nombre del archivo.csv utilizado para importar la lista de URL. 8 Haga clic en Guardar. 9 Para agregar la lista a la nueva regla, haga clic en a la derecha de la lista de URL que acaba de agregar. 10 Acepte el nombre predeterminado de la regla o escriba un nuevo nombre. De forma predeterminada, la nueva regla toma el nombre de la lista de URL seleccionada. 11 Haga clic en Guardar. Véase también Exportar una lista de URL en la página 28 Creación de una regla mediante excepciones Cree una regla con excepciones para especificar los grupos de usuarios; es posible proporcionar o denegar determinado acceso a los grupos de usuarios. Supongamos que va a crear una regla para denegar al grupo de usuarios ejecutivos el acceso a sitios de redes sociales. McAfee Web Gateway Cloud Service Guía del producto 21

22 2 Administración de directivas Uso de reglas y directivas de función 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 Cree una nueva regla en el área de función Protección de acceso. a En el Explorador de directivas, haga clic en junto a la directiva de función. b Seleccione Nueva regla. 3 Asigne el tipo de regla que necesite. a En el panel Catálogo, seleccione Aplicaciones web en la lista desplegable. b En el panel Catálogo, haga clic en a la derecha de Redes sociales. En el panel Detalles de la regla, verá que el nombre de la regla ahora es Redes sociales. 4 Asigne los grupos de usuarios que necesite. a En el panel Detalles de la regla, haga clic en junto a la opción Bloquear para ver la lista de Grupos de usuarios. b En el panel Catálogo, haga clic en a la derecha de Ejecutivos. Es posible agregar uno o varios grupos de usuarios a una acción. 5 En el panel Detalles de la regla, haga clic en Guardar. Edición de una regla Hay varias formas de editar las reglas para satisfacer los requisitos de protección. s Activar o desactivar una regla en la página 22 No todas las reglas de una directiva de función deben estar activas de forma simultánea. Puede activar o desactivar las reglas según sus necesidades. Cambiar los Detalles de la regla en la página 23 En el panel Detalles de la regla, puede agregar o eliminar excepciones al grupo de usuarios o editar los objetos principales para la regla que tenga seleccionada en ese momento. Adición de una acción a una regla en la página 24 Para implementar una regla, se agregan acciones adicionales a la regla. Conversión de una acción en principal en la página 24 La acción principal de una regla se puede considerar como la acción comodín. En el panel Detalles de la regla, la acción principal se muestra en la parte inferior. Eliminación de una acción de una regla en la página 24 Las acciones no deseadas agregadas a la regla se pueden eliminar. Activar o desactivar una regla No todas las reglas de una directiva de función deben estar activas de forma simultánea. Puede activar o desactivar las reglas según sus necesidades. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 En el Explorador de directivas, seleccione la función que desea cambiar. 3 En el área de función, seleccione la directiva y la regla de función que desee editar. 22 McAfee Web Gateway Cloud Service Guía del producto

23 Administración de directivas Uso de reglas y directivas de función 2 4 En el panel Detalles de la regla, haga clic en entre las opciones disponibles. y seleccione la opción necesaria (Activar regla o Desactivar regla) Si está intentando desactivar una regla comodín, se mostrará otra confirmación. Haga clic en Aceptar para continuar. 5 Haga clic en Guardar. Cambiar los Detalles de la regla En el panel Detalles de la regla, puede agregar o eliminar excepciones al grupo de usuarios o editar los objetos principales para la regla que tenga seleccionada en ese momento. Algunos tipos de reglas presentan limitaciones de edición. Por ejemplo, con las reglas antimalware no es posible reordenar las acciones, eliminar la regla, eliminar la excepción predeterminada de la acción Bloquear ni eliminar la acción Enviar al Espacio aislado. Se pueden crear excepciones para la mayoría de tipos de reglas. Por ejemplo, una regla puede permitir que sus empleados accedan a Internet. En tal caso, podrá definir una excepción para esa regla que impida el acceso de usuarios invitados y contratistas. El siguiente flujo de trabajo muestra cómo cambiar los detalles de una regla para la acción Permitir. El cambio de la acción Bloquear utiliza un flujo de trabajo similar. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 En el Explorador de directivas, seleccione la función que desea cambiar. 3 En el área de función, seleccione la directiva y la regla de función que desee editar. 4 En el panel Detalles de la regla, asegúrese de que esté seleccionada la acción Permitir. No podrá editar la acción activa en Detalles de la regla. Por ejemplo, si la acción Permitir está activa y desea editar sus detalles, debe activar antes la acción Bloquear. Desplace Bloquear a la última posición de la lista de acciones. A continuación, realice los cambios necesarios en la acción Permitir. 5 Haga clic en junto a Permitir. 6 En el Catálogo de grupos, realice una o varias de las siguientes acciones: Agregar un grupo a la regla seleccionada: en el Catálogo de grupos, haga clic en a la derecha del grupo de usuarios que desee agregar a la acción Permitir. Si ya hay un grupo de usuarios asignado a la acción, veces a la misma acción. no aparece. No se puede agregar un objeto dos El grupo de usuarios seleccionado se mostrará atenuado en el catálogo y se agregará a la acción Permitir. Eliminar un grupo de la regla seleccionada: en los grupos existentes en Detalles de la regla, haga clic en junto al grupo que desee eliminar. El grupo de usuarios seleccionado se eliminará de la acción Permitir. 7 Haga clic en Guardar. McAfee Web Gateway Cloud Service Guía del producto 23

24 2 Administración de directivas Uso de reglas y directivas de función Adición de una acción a una regla Para implementar una regla, se agregan acciones adicionales a la regla. Es posible agregar acciones adicionales según el área de función y la regla seleccionadas. Si no hay disponibles acciones adicionales para la función y la regla seleccionadas, la opción Agregar acción estará atenuada en el menú. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 En el Explorador de directivas, seleccione la función que desea cambiar. 3 En el área de función, seleccione la directiva y la regla de función que desee editar. 4 En el panel Detalles de la regla, haga clic en y seleccione Agregar acción. La nueva acción se agregará a la regla como acción secundaria. 5 Haga clic en Guardar. Conversión de una acción en principal La acción principal de una regla se puede considerar como la acción comodín. En el panel Detalles de la regla, la acción principal se muestra en la parte inferior. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 En el Explorador de directivas, seleccione la función que desea cambiar. 3 En el área de función, seleccione la directiva y la regla de función que desee editar. 4 En el panel Detalles de la regla, haga clic en junto a la acción que desee convertir en principal. La acción que se va a cambiar muestra. 5 Haga clic en. 6 Haga clic en Bajar hasta que la acción seleccionada sea la última. 7 Haga clic en Guardar. Eliminación de una acción de una regla Las acciones no deseadas agregadas a la regla se pueden eliminar. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 En el Explorador de directivas, seleccione la función que desea cambiar. 3 En el área de función, seleccione la directiva y la regla de función que desee editar. 4 En el panel Detalles de la regla, haga clic en junto a la acción que desee eliminar. 5 Haga clic en y seleccione Eliminar acción. 6 Haga clic en Guardar. 24 McAfee Web Gateway Cloud Service Guía del producto

25 Administración de directivas Uso de reglas y directivas de función 2 Reordenar las reglas Mueva las reglas para cambiar el orden en el que se aplican. Las reglas se aplican de arriba a abajo. Antes de empezar Si la regla se encuentra en modo de edición, no podrá cambiar el orden. Si la regla se está editando, guarde o cancele los cambios antes de cambiar el orden. No se puede cambiar el orden de una regla comodín, que debe aparecer en último lugar en la lista. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 Seleccione la función necesaria en el Explorador de directivas. 3 Seleccione la regla que desea mover. 4 En la función seleccionada, haga clic en y seleccione Cambiar el orden de la regla. 5 Haga clic en o hasta que la regla seleccionada se encuentre en la posición adecuada. 6 Haga clic en Guardar. Eliminar una regla La eliminación de reglas no deseadas le ayudará a organizar y entender sus directivas de función. No podrá eliminar lo siguiente: Reglas comodín Reglas de reputación web Reglas de antimalware 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 Seleccione la función requerida en el Explorador de directivas. 3 Seleccione la regla que desea eliminar. 4 En la función seleccionada, haga clic en y seleccione Eliminar regla. 5 Haga clic en Eliminar para confirmar la eliminación. La regla se eliminará de forma permanente de la directiva. Crear una lista Puede crear listas y agregarlas a las reglas Categoría Web, Tipo de medio, Listas de sitios y Aplicación. Las listas se pueden crear de dos formas: Cree una lista con la opción para crearlas de cero. Cree una copia de una lista existente. Esta tarea muestra el proceso para crear una lista, así como las opciones para hacerlo copiando una existente. No se pueden crear listas para Grupos de usuarios. McAfee Web Gateway Cloud Service Guía del producto 25

26 2 Administración de directivas Uso de reglas y directivas de función 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 Seleccione la función en el Explorador de directivas. 3 En el área de la función, seleccione la directiva y la regla de la función que precise. 4 En el panel Catálogo, seleccione el tipo de catálogo y elija una de estas opciones: Haga clic en y seleccione Nueva lista. Seleccione la lista que desee copiar y haga clic en ; a continuación, seleccione Copiar lista. Si es preciso, puede renombrar la lista. Los nombres Nueva lista y Copiar lista cambian según el tipo de catálogo seleccionado. En el caso del tipo de catálogo de grupo de usuarios, la opción de copia solo está disponible para el grupo de usuarios locales. 5 Mediante la lista de selección, agregue los elementos requeridos a la nueva lista. Haga clic en para agregar el elemento. Si desea eliminar un elemento de la nueva lista, haga clic en el icono situado junto al elemento. Si va a crear una lista para Listas de URL, no hay disponible ninguna lista de selección. En tal caso, escriba las URL necesarias, o bien copie y pegue una lista de direcciones URL en el campo de URL. 6 Haga clic en Guardar para agregar la nueva lista a la configuración. Eliminación de una lista Es posible eliminar objetos principales no utilizados, listas de sitios, categorías web y objetos definidos por el usuario en la lista del catálogo. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 Seleccione la regla en el Explorador de directivas. 3 En el panel Catálogo, seleccione el tipo de catálogo. 4 En el tipo de catálogo seleccionado, haga clic en la lista que desee eliminar. El panel de detalles de objeto muestra la lista seleccionada y sus elementos. 5 En el panel de detalles de objeto, haga clic en y, después, en Eliminar. No es posible eliminar el objeto o la lista si se ha configurado como regla en cualquiera de las funciones. 6 Haga clic en Eliminar para confirmar. 26 McAfee Web Gateway Cloud Service Guía del producto

27 Administración de directivas Uso de reglas y directivas de función 2 Administración de las URL Mediante la adición de una URL a la lista de URL se puede controlar un sitio web al que acceden los usuarios. Las direcciones URL agregadas se conservan en la lista de URL, la cual se puede editar cuando sea necesario. Asimismo, las URL se pueden exportar para crear una copia de seguridad de la información. Formato de los nombres de dominio en las listas de URL Los formatos admitidos para los nombres de dominio son los siguientes: host.dominio.dpn/ruta host.dominio.dpn dominio.dpn/ruta dominio.dpn host: especifica el nombre DNS del host dominio: especifica el nombre del subdominio dpn: especifica el dominio de primer nivel ruta: especifica la ruta del recurso web La ruta y todas las subrutas se incluyen automáticamente, lo que equivale a colocar un asterisco tras la ruta en el nombre de dominio. Opción Todos los subdominios Esta opción determina si se aplican las reglas de directivas al dominio y a todos los subdominios o únicamente al dominio. Para especificar todos los subdominios: En el Explorador de directivas: seleccione Todos los subdominios al agregar una URL a una lista de URL. En un archivo.csv que contenga una lista de URL: establezca el valor de la columna Subdomain(True/ False) como True. Especificar todos los subdominios produce el mismo efecto que agregar "*." al principio de cada nombre de dominio. Ejemplo: *.host.dominio.dpn/ruta Agregar una URL a una lista de URL Las listas de URL le permiten controlar los sitios web a los que pueden acceder los usuarios. Es posible agregar una lista de sitios web. Las listas blancas y negras se asemejan a otras listas de URL, excepto en lo siguiente: La Lista blanca de URL global solo dispone de la acción Permitir siempre. Las listas blancas concretas de una función solo disponen de la acción Permitir. Las listas negras solo disponen de la acción Bloquear. No podrá configurar excepciones para las listas blancas ni negras. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 En el Explorador de directivas, seleccione la función que desea cambiar. 3 En el área de función, seleccione la directiva y la regla de función que desee editar. McAfee Web Gateway Cloud Service Guía del producto 27

28 2 Administración de directivas Uso de reglas y directivas de función 4 En el panel Catálogo, seleccione el tipo de catálogo Listas de URL y haga clic en la lista de URL que desee editar. El panel de detalles de objeto muestra los detalles de la lista de URL seleccionada. 5 En el panel de detalles de objeto, haga clic en y seleccione Editar. 6 En el campo URL, escriba la dirección URL que desee agregar. La URL se comprobará a medida que la introduzca para evitar que se agreguen entradas duplicadas. 7 (Opcional) Seleccione Todos los subdominios para agregar todos los sitios incluidos en la dirección URL. 8 Haga clic en Agregar. 9 Haga clic en Guardar para actualizar la regla. Editar una URL incluida en una lista de URL Las listas de URL le permiten controlar los sitios web a los que pueden acceder los usuarios. Incluyen los sitios web que se pueden agregar a las directivas. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 En el Explorador de directivas, seleccione la función que desea cambiar. 3 En el área de función, seleccione la directiva y la regla de función que desee editar. 4 En el panel Catálogo, seleccione el tipo de catálogo Listas de URL y haga clic en la lista de URL que desee editar. El panel de detalles de objeto muestra los detalles de la lista de URL seleccionada. 5 Haga clic en en el panel de detalles de objeto y seleccione Editar. 6 Seleccione la dirección URL y realice los cambios necesarios en el campo de URL. 7 Haga clic en Listo para incluir la URL editada en la lista de URL. Si desea agregar una dirección URL durante la edición, haga clic en. 8 Haga clic en Guardar para actualizar la regla. Exportar una lista de URL La exportación de listas de direcciones URL es una forma útil de crear una copia de seguridad de la información. Posteriormente, puede importar la información exportada a otras reglas o importar la información a otros sistemas. Las URL exportadas se guardan en formato CSV. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 Seleccione la regla que contiene la lista de URL que desea exportar a un archivo CSV. 3 En el panel Catálogo, seleccione el tipo de catálogo Listas de URL y haga clic en la lista en cuestión. 28 McAfee Web Gateway Cloud Service Guía del producto

29 Administración de directivas Uso de reglas y directivas de función 2 4 En el panel de detalles de objeto, haga clic en y seleccione Exportar. 5 Siga el flujo de trabajo del navegador que esté utilizando para guardar el archivo. La lista se guardará en un archivo que tendrá el mismo nombre que el objeto Sitelist. Por ejemplo, si exporta la lista de URL de un archivo Sitelist con el nombre URL bloqueadas, se creará una lista llamada URL bloqueadas.csv. Importar una lista de URL La importación de listas es un método útil para agregar URL al sistema. La lista de URL que desee importar debe estar en formato CSV. Antes de empezar Asegúrese de que dispone de un archivo existente de valores separados por comas con la lista de las URL que desea importar. De forma opcional, el archivo también puede incluir una fila de encabezado. La lista debe contener valores separados por comas. Cada línea contiene una URL seguida por el separador "," y "true" o "false". Mediante "true" se indica que la URL tiene seleccionado el parámetro "Todos los subdominios", mientras que "false" anula la selección de "Todos los subdominios". La URL y los valores true/false no distinguen entre mayúsculas y minúsculas. No debe haber espacios dentro ni al final de cada línea. Este es un ejemplo del aspecto que pueden presentar las entradas del archivo: example.org,true 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 Seleccione la regla en el área de función. 3 En el panel Catálogo, seleccione el tipo de catálogo Listas de URL y haga clic en la lista en cuestión. 4 En el panel de detalles de objeto, haga clic en y seleccione Importar. 5 Busque el archivo.csv que contiene las direcciones URL que desea importar. Si el archivo.csv incluye una primera fila con información de encabezado, asegúrese de seleccionar Este archivo contiene una fila de encabezado. 6 Haga clic en Importar. Aparecerá un mensaje de estado. Si el archivo.csv contiene URL duplicadas, la importación se interrumpirá y se le notificará la presencia de entradas duplicadas. A continuación, podrá seguir con la importación o ponerle fin sin importar la lista de URL. 7 Si desea sobrescribir alguna URL existente con los valores importados, haga clic en Reemplazar. 8 Haga clic en Guardar. McAfee Web Gateway Cloud Service Guía del producto 29

30 2 Administración de directivas Uso de reglas y directivas de función Crear una página de bloqueo Las páginas de bloqueo se muestran al impedir que los usuarios accedan a una URL, a un documento o a otra solicitud web en particular. Puede crear distintas páginas de bloqueo para directivas de función individuales. Cree una página de bloqueo mediante Nueva página de bloqueo o copie una página existente. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 En la lista desplegable de directivas del encabezado de funciones del navegador de directivas, seleccione la directiva de función que desea cambiar. 3 Haga clic en el nombre de la directiva de función, por ejemplo, Limitada o Permisiva. 4 En el panel Detalles de la directiva, haga clic en junto a Página de bloqueo. 5 En el panel Catálogo, debajo de los tipos de catálogo Páginas de bloqueo, siga uno de estos procedimientos: Haga clic en y seleccione Nueva página de bloqueo. Seleccione la página de bloqueo que desee copiar y haga clic en página de bloqueo. ; a continuación, seleccione Copiar Para agregar una página de bloqueo existente, haga clic en agregar. junto a la página de bloqueo que desee 6 En el cuadro de diálogo de la página de bloqueo, edite su nombre según corresponda y cambie el contenido y el formato del mensaje. Utilice tokens en la página de bloqueo para reflejar información acerca de las solicitudes web que activan la acción de bloqueo y el mensaje de acceso bloqueado. Tabla 2-6 Tokens disponibles para las páginas de bloqueo Token {URL} {REASON} {IP} {RULE} {WEB_CATEGORY} {URL_REPUTATION} {MEDIA_TYPE} {MALWARE_PROBABILITY} {MALWARE} {APPLICATION} {USERNAME} {PROXYNAME} Descripción La URL solicitada. Combinación entre el motivo de la acción de bloqueo y sus detalles. Dirección IP del sistema cliente. Nombre de la regla actual. Una lista de categorías con las que coincide la URL solicitada. Calificación de reputación de la URL solicitada. Clasificación de Tipo de medio para el archivo solicitado. Probabilidad de que el archivo sea malicioso. Información sobre el malware detectado. Nombre de la aplicación web. Información sobre el usuario que realizó la solicitud web. Detalles del proxy utilizado (si procede). Cada página de bloqueo tiene un límite de contenido máximo de 1 MB. 7 Haga clic en Guardar. Se agregará la nueva página de bloqueo al tipo de catálogo correspondiente. 30 McAfee Web Gateway Cloud Service Guía del producto

31 Administración de directivas Uso de reglas y directivas de función 2 8 Si desea utilizar la página de bloqueo recién creada para la directiva seleccionada, haga clic en a la derecha de la página de bloqueo en el panel Catálogo. La página de bloqueo se agregará al panel Detalles de la directiva. 9 Haga clic en Guardar. Para editar o eliminar una página de bloqueo, selecciónela y haga clic en a fin de realizar la operación necesaria. en el panel de detalles de objeto Editar los Detalles de la directiva Puede editar el nombre de la directiva y la página de bloqueo asignada mediante el panel Detalles de la directiva. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 En la lista desplegable de directivas del encabezado de funciones del navegador de directivas, seleccione la directiva de función que desea cambiar. 3 Haga clic en el nombre de la directiva de función, por ejemplo, Limitada o Permisiva. 4 En el panel Detalles de la directiva, cambie el nombre de la directiva de función o edite la página de bloqueo según sea necesario. En el caso de algunos tipos de funciones por ejemplo, Analizador de SSL, Filtro de categoría web o también es posible activar opciones específicas para la función en cuestión. 5 Haga clic en Guardar. Cambio de la directiva asignada Cada función solo puede tener una directiva de función activa aplicada a la vez. Utilice esta tarea para cambiar la directiva de función asignada a una función. Antes de empezar Asegúrese de que la función tiene al menos dos directivas de función configuradas. 1 En el menú de McAfee epo Cloud, seleccione Directiva Directiva de datos web y en la nube. 2 Seleccione el área de función clave relevante y haga clic en la lista desplegable de directivas para ver las directivas disponibles. La directiva actualmente activada está seleccionada de forma predeterminada. 3 Seleccione una directiva nueva en la lista. McAfee Web Gateway Cloud Service Guía del producto 31

32 2 Administración de directivas Visualización de acciones de usuario 4 Haga clic en Activar directiva. 5 Haga clic en Sí para confirmar el cambio. La directiva de función recién seleccionada se activará. Visualización de acciones de usuario Los detalles sobre los cambios realizados en sus directivas se registran en la página Registro de auditoría de McAfee epo Cloud. Utilice el registro de auditoría para mantener un registro de todas las acciones de los usuarios y poder acceder a él. Cada vez que se crea, se cambia o se elimina una regla o una directiva, o bien cuando se cambia el orden de las reglas, los detalles sobre estos cambios se incluyen en el Registro de auditoría de McAfee epo Cloud. Es posible ver el historial de acciones de los usuarios. 1 En el menú de McAfee epo Cloud, haga clic en Administración de usuarios Registro de auditoría. 2 Para buscar entradas concretas, seleccione el período de tiempo que desee en la lista desplegable Predefinidos o utilice el campo Búsqueda rápida y, a continuación, haga clic en Aplicar. Búsqueda rápida busca en los campos Nombre de usuario, Prioridad, Acción y Detalles. Se muestran los detalles de los parámetros seleccionados de los cambios realizados en las directivas y las reglas. Estos detalles incluyen el ID de cada entrada y la jerarquía del objeto o la regla. Exportación de registros de auditoría Puede exportar la información contenida en los registros de auditoría para analizarla fuera de McAfee epo Cloud. 1 En el menú de McAfee epo Cloud, haga clic en Administración de usuarios Registro de auditoría. 2 Para buscar entradas concretas, seleccione el período de tiempo necesario en la lista desplegable Predefinidos o utilice el campo Búsqueda rápida y, después, haga clic en Aplicar. 3 Haga clic en el botón Acciones y seleccione Exportar tabla. 4 Defina la información de configuración para la información exportada. Opción Comprimir archivos Formato de archivo Acción para los archivos exportados Descripción Permite exportar todos los archivos a un archivo.zip. Seleccione el formato en el que desea exportar la información. Si selecciona PDF como archivo de salida, defina el tamaño y la orientación de las páginas. Asimismo, puede incluir información sobre los criterios seleccionados de filtrado y agregar una portada al informe en PDF. Introduzca los detalles de los Destinatarios, el Asunto y la información sobre el Cuerpo del mensaje de correo electrónico. 5 Haga clic en Exportar. 32 McAfee Web Gateway Cloud Service Guía del producto

33 Administración de directivas Condiciones de error 2 Condiciones de error Si trabaja con productos que interactúan con servidores web, es posible que se produzcan algunas condiciones de error. Estas condiciones de error también pueden deberse al hecho de que haya varios administradores realizando cambios en las directivas de forma simultánea. Las condiciones de error suelen pertenecer a una de las siguientes categorías: Errores de datos. Errores de conexión de red. Errores de guardado. Errores de datos Los errores de datos tienen lugar cuando los datos no están disponibles o no pueden encontrarse. Los motivos más frecuentes por los que se producen estos errores de datos son: Los datos solicitados se han eliminado o no pueden encontrarse. Se ha producido un error de servidor al procesar la solicitud de datos. Si se produce un error de datos, se mostrará un mensaje de error para informarle de que los datos no están disponibles. Este mensaje incluye el botón Volver a cargar para intentar volver a cargar los datos. Si los datos siguen sin estar disponibles, otro mensaje le informará de que el reintento no ha tenido éxito. Si los datos se han eliminado anteriormente, el mensaje de error le ofrecerá información sobre los datos eliminados. Errores de conexión de red Tal y como sucede con numerosos servicios web, pueden producirse errores de comunicación entre el sistema que se está utilizando y el servidor web y la base de datos que alojan los servicios. A menudo, los errores de comunicación de red son de corta duración, y el servicio vuelve a conectarse de forma automática cuando se restaura la comunicación. También puede reintentar la conexión manualmente. Errores de almacenamiento Los errores de almacenamiento tienen lugar cuando un administrador hace clic en Guardar pero la acción no se puede efectuar. Los motivos para que tenga lugar un error de almacenamiento incluyen: Se ha producido un error general porque el servidor estaba ocupado o sobrecargado. Otro usuario ha eliminado la regla antes de intentar guardarla. Ya no existe un objeto perteneciente a la regla que se intenta guardar. McAfee Web Gateway Cloud Service Guía del producto 33

34 2 Administración de directivas Condiciones de error 34 McAfee Web Gateway Cloud Service Guía del producto

35 3 Autenticación 3 McAfee WGCS aplica su directiva de seguridad web a las solicitudes web de los usuarios finales una vez que se han autenticado. Contenido Decisiones sobre autenticación y directivas Cómo implementa McAfee WGCS las opciones de autenticación Cómo funciona el proceso de autenticación Autenticación de intervalo de direcciones IP Autenticación SAML Autenticación sitio a sitio de IPsec Decisiones sobre autenticación y directivas McAfee WGCS toma decisiones sobre las directivas en función de la información que devuelve cada opción de autenticación. Autenticación de Client Proxy: esta opción se encuentra disponible cuando se ha instalado Client Proxy en equipos de usuarios finales en los que se ejecuta Windows o Mac OS X y que están integrados con McAfee WGCS. Client Proxy devuelve el ID de su organización y los nombres de los grupos a los que pertenezca el usuario final a McAfee WGCS. McAfee WGCS toma decisiones acerca de las directivas según la pertenencia a grupos. Autenticación de intervalo de direcciones IP: seleccione esta opción cuando desee que McAfee WGCS autentique a los usuarios finales basándose en sus direcciones IP. McAfee WGCS toma decisiones sobre las directivas en función de los intervalos de direcciones IP configurados para su organización. Autenticación SAML: seleccione esta opción cuando desee especificar el proveedor de identidad que autentica a los usuarios finales de su organización. Se puede llevar a cabo la autenticación mediante cualquier método. Por ejemplo, los usuarios se pueden autenticar mediante un servicio de Active Directory local, Facebook o Google. El resultado de la autenticación y la información de identidad se devuelven a McAfee WGCS en aserciones SAML que contienen pares nombre de atributo-valor. McAfee WGCS toma decisiones en cuanto a las directivas en función del valor del atributo de ID de grupo de las aserciones SAML. Autenticación de IPsec sitio a sitio: seleccione esta opción cuando desee proteger las comunicaciones entre su red y McAfee WGCS mediante un túnel VPN IPsec. McAfee WGCS toma decisiones sobre las directivas en función del ID de cliente asociado con la dirección IP de origen de las comunicaciones IPsec que recibe y de una clave precompartida. McAfee Web Gateway Cloud Service Guía del producto 35

36 3 Autenticación Cómo implementa McAfee WGCS las opciones de autenticación Cómo implementa McAfee WGCS las opciones de autenticación La implementación depende de la opción de autenticación. Las opciones de autenticación son las siguientes: Client Proxy: el software de Client Proxy instalado en el endpoint agrega encabezados a cada solicitud HTTP o HTTPS. Los encabezados se cifran mediante el secreto compartido. McAfee WGCS detecta los encabezados, los descifra sirviéndose del secreto compartido e identifica al usuario final. Configure la autenticación de Client Proxy en el Catálogo de directivas en la consola de administración de McAfee epo o McAfee epo Cloud. No es preciso configurar la interfaz de Protección web. Intervalo de direcciones IP: McAfee WGCS comprueba si la dirección IP de origen del paquete TCP que recibe está incluida en los intervalos de direcciones IP que el cliente ha configurado como seguros. Si la dirección está incluida, McAfee WGCS autoriza la solicitud. SAML: la opción SAML utiliza autenticación mediante cookie. La cookie contiene los nombres de usuario y de grupo. Si no hay ninguna cookie en la solicitud, McAfee WGCS redirige esta al servicio de identidad configurado para el nombre de dominio en la dirección de correo electrónico introducida por el usuario final. El servicio de identidad autentica al usuario y redirige la solicitud de vuelta a McAfee WGCS con la cookie. McAfee WGCS evalúa la cookie y extrae la identidad del usuario. IPsec sitio a sitio: IPsec sitio a sitio es un protocolo de transporte más que un método de autenticación. McAfee WGCS autentica el túnel VPN IPsec y al cliente, pero no al usuario final. Si agrega autenticación de Client Proxy o SAML a IPsec sitio a sitio, McAfee WGCS puede utilizar estos métodos para autenticar las solicitudes que se reciban a través del túnel VPN. Cómo funciona el proceso de autenticación La forma en que McAfee WGCS procesa las solicitudes web y lleva a cabo la autenticación depende de varios factores, tales como el número del puerto donde se recibe la solicitud y de si está configurado IPsec sitio a sitio. Autenticación de Client Proxy McAfee WGCS comprueba si está configurada la autenticación de Client Proxy y la lleva a cabo antes que cualquier método de autenticación. Esto es así tanto si está configurada la autenticación de IPsec sitio a sitio como si no. Puede combinar la autenticación de usuario proporcionada por Client Proxy con la seguridad proporcionada por IPsec sitio a sitio. Para agregar autenticación de Client Proxy a IPsec sitio a sitio, compruebe que Client Proxy esté configurado para utilizar el puerto 80 al redirigir el tráfico a McAfee WGCS. Autenticación SAML El puerto 8084 está reservado para la autenticación SAML. Si está configurada la autenticación SAML y de IPsec sitio a sitio, puede agregar la configuración SAML a cada ubicación IPsec. Proceso de autenticación si IPsec sitio a sitio no está configurado Cuando IPsec sitio a sitio no está configurado, McAfee WGCS procesa las solicitudes web conforme al número del puerto donde se reciben. 36 McAfee Web Gateway Cloud Service Guía del producto

37 Autenticación Autenticación de intervalo de direcciones IP 3 Puertos 80, 8080 y 8081: McAfee WGCS procesa las solicitudes web recibidas en estos puertos como sigue: 1 Client Proxy: McAfee WGCS primero busca encabezados de Client Proxy en la solicitud web. Si los encuentra, se lleva a cabo la autenticación de Client Proxy. 2 Intervalo de direcciones IP: si la solicitud web no contiene encabezados de Client Proxy, entonces McAfee WGCS comprueba si la dirección IP de origen está incluida en los intervalos de direcciones IP que el cliente ha configurado como seguros. Si la dirección IP de origen está incluida, McAfee WGCS autoriza la solicitud. 3 Si no se lleva a cabo la autenticación de Client Proxy ni de intervalo de direcciones IP, la solicitud web no se autoriza. Puerto 8084: se lleva a cabo la autenticación SAML en todas las solicitudes web recibidas en el puerto Proceso de autenticación con IPsec sitio a sitio Cuando IPsec sitio a sitio está configurado, McAfee WGCS procesa las solicitudes web recibidas a través del túnel VPN IPsec como sigue. 1 Client Proxy: McAfee WGCS primero busca encabezados de Client Proxy en la solicitud web. Si los encuentra, se lleva a cabo la autenticación de Client Proxy. 2 SAML: si la solicitud web no contiene encabezados de Client Proxy, entonces McAfee WGCS comprueba si existe una configuración SAML que esté asociada a la configuración de IPsec. Si tal asociación existe, se lleva a cabo la autenticación SAML. 3 Si no se lleva a cabo la autenticación de Client Proxy ni SAML, se autentica al cliente, pero no se identifica al usuario final. Autenticación de intervalo de direcciones IP Puede configurar los intervalos de direcciones IP que considere seguros en la consola de administración. A continuación, McAfee WGCS autentica a los usuarios que han enviado solicitudes web desde estas direcciones. En la interfaz de usuario de la autenticación de intervalo de direcciones IP puede hacer lo siguiente: Activar o desactivar la autenticación de intervalo de direcciones IP. Configurar intervalos de direcciones IP. Importar una lista de intervalos de direcciones IP. Exportar una lista de intervalos de direcciones IP. Activación o desactivación de la autenticación de intervalo de direcciones IP Puede activar o desactivar la autenticación de intervalo de direcciones IP según sus necesidades. 1 En el menú de McAfee epo Cloud, seleccione Protección web Configuración de autenticación. 2 En la lista desplegable de Configuración de autenticación, seleccione Intervalo de direcciones IP. El panel Detalles se abrirá en el lado derecho. McAfee Web Gateway Cloud Service Guía del producto 37

38 3 Autenticación Autenticación de intervalo de direcciones IP 3 Para activar la autenticación de intervalo de direcciones IP, marque la casilla de verificación Autenticación de intervalo de direcciones IP. Para desactivar la autenticación de intervalo de direcciones IP, anule la selección de la casilla de verificación. 4 Haga clic en Guardar. Configuración de la autenticación de intervalo de direcciones IP Los intervalos de direcciones IP se configuran mediante la notación Classless Inter-Domain Routing (CIDR). La notación CIDR especifica lo siguiente: Un prefijo de enrutamiento de una red Una dirección IP o un intervalo de la red especificada La sintaxis de CIDR se forma con una dirección IPv4 o IPv6 seguida de una barra diagonal y un número decimal. El decimal indica en número de bits del prefijo de enrutamiento y se conoce como el tamaño de la red en bits. Las redes IPv4 se permiten en intervalos de tamaño de 24 a 32 bits. Una red IPv4 de 24 bits está formada por 256 direcciones. Las redes IPv6 se permiten en intervalos de tamaño de 120 a 128 bits. Una red IPv6 de 120 bits está formada por 256 direcciones. Protocolo Tamaño de red (bits) Notación CIDR (ejemplo) Intervalo de direcciones IP específico IPv4 De 24 a /24 Desde a IPv6 De 120 a :db8:1234:0:0:0:0:ff00/120 Desde 2001:db8:1234:0:0:0:0:ff00 a 2001:db8:1234:0:0:0:0:ffff Adición de un intervalo de direcciones IP Al configurar la autenticación de Intervalo de direcciones IP, puede agregar una dirección IP o un intervalo a la lista Intervalos de direcciones IP. 1 En el menú de McAfee epo Cloud, seleccione Protección web Configuración de autenticación. 2 En la lista desplegable de Configuración de autenticación, seleccione Intervalo de direcciones IP. El panel Detalles se abrirá en el lado derecho. 3 En el menú de Intervalos de direcciones IP, seleccione Configurar intervalo de direcciones IP. Se abrirá el campo de configuración. 4 Mediante la notación CIDR, introduzca una dirección IPv4 o IPv6 y, a continuación, haga clic en Agregar. La entrada se agrega a la lista Intervalos de direcciones IP. 5 Agregue las direcciones IP o los intervalos necesarios y, a continuación, haga clic en Guardar. Cambio de un intervalo de direcciones IP Al configurar la autenticación de Intervalo de direcciones IP, puede cambiar una dirección IP o un intervalo de la lista Intervalos de direcciones IP. Para agregar una dirección IP o un intervalo en lugar de cambiarlo, haga clic en el icono de agregar (+). 38 McAfee Web Gateway Cloud Service Guía del producto

39 Autenticación Autenticación de intervalo de direcciones IP 3 1 En el menú de McAfee epo Cloud, seleccione Protección web Configuración de autenticación. 2 En la lista desplegable de Configuración de autenticación, seleccione Intervalo de direcciones IP. El panel Detalles se abrirá en el lado derecho. 3 En el menú de Intervalos de direcciones IP, seleccione Configurar intervalo de direcciones IP. Se abrirá el campo de configuración. 4 En la lista Intervalos de direcciones IP, seleccione la entrada que desea cambiar. Se mostrará la entrada en el campo de configuración. 5 Edite la entrada y, a continuación, haga clic en Listo. La lista Intervalos de direcciones IP se actualiza con la nueva entrada. 6 Cambie las direcciones IP o los intervalos necesarios y, a continuación, haga clic en Guardar. Eliminación de un intervalo de direcciones IP Al configurar la autenticación de Intervalo de direcciones IP, puede eliminar una dirección IP o un intervalo a la lista Intervalos de direcciones IP. 1 En el menú de McAfee epo Cloud, seleccione Protección web Configuración de autenticación. 2 En la lista desplegable de Configuración de autenticación, seleccione Intervalo de direcciones IP. El panel Detalles se abrirá en el lado derecho. 3 En el menú de Intervalos de direcciones IP, seleccione Configurar intervalo de direcciones IP. 4 Para eliminar una dirección IP o un intervalo, haga clic en el icono de eliminación (x) situado a la derecha del intervalo. 5 Haga clic en Guardar. Importación de una lista de intervalos de direcciones IP Puede sustituir la lista Intervalos de direcciones IP por una lista que importe de un archivo.csv. Antes de empezar Lea estas consideraciones antes de importar una lista de intervalos de direcciones IP a partir de un archivo.csv: El archivo contiene una dirección IP o intervalo por línea. La primera línea del archivo tiene un encabezado. Si es así, marque la casilla de verificación Este archivo contiene una fila de encabezado al importar el archivo. 1 En el menú de McAfee epo Cloud, seleccione Protección web Configuración de autenticación. 2 En la lista desplegable de Configuración de autenticación, seleccione Intervalo de direcciones IP. El panel Detalles se abrirá en el lado derecho. McAfee Web Gateway Cloud Service Guía del producto 39

40 3 Autenticación Autenticación SAML 3 En el menú Intervalos de direcciones IP, seleccione Importar lista de intervalos de direcciones IP. Se abrirá el cuadro de diálogo Importar lista. 4 Desplácese al archivo.csv que contiene la lista e intervalos de direcciones IP que desea importar y, a continuación, haga clic en Importar. Se abrirá el cuadro de diálogo Estado de la importación. 5 Para confirmar la importación, haga clic en Reemplazar. Se sustituyen los valores de la lista Intervalos de direcciones IP por los valores del archivo.csv. 6 Haga clic en Guardar. Exportación de una lista de intervalos de direcciones IP Puede guardar la lista Intervalos de direcciones IP en un archivo.csv para disponer de una copia de seguridad, para editarla o para importarla más tarde. 1 En el menú de McAfee epo Cloud, seleccione Protección web Configuración de autenticación. 2 En la lista desplegable de Configuración de autenticación, seleccione Intervalo de direcciones IP. El panel Detalles se abrirá en el lado derecho. 3 En el menú de Intervalos de direcciones IP, seleccione Exportar lista de intervalos de direcciones IP. Se abrirá el cuadro de diálogo Opening IP_range_list_null.csv. 4 Seleccione Guardar archivo y, a continuación, haga clic en Aceptar. 5 Especifique un nombre de archivo y una ubicación y, a continuación, haga clic en Guardar. Autenticación SAML Cuando se utiliza la autenticación SAML 2.0, McAfee WGCS admite las organizaciones que desean utilizar su propio servicio de identidad para autenticar a los usuarios finales. Además del usuario final, la especificación SAML define las funciones siguientes. Proveedor de identidades: autentica al usuario final y ofrece aserciones que acreditan la identidad del usuario. El proveedor de identidades es el servicio de identidad que especifique su organización. Proveedor de servicios: decide si proporcionar el servicio que el usuario final ha solicitado en función de la información sobre la identidad que ha recibido del proveedor de identidades. El usuario final solicita acceso a un recurso web. Como proveedor de servicios, McAfee WGCS reenvía la solicitud del usuario con la información de identidad a la nube o bloquea la solicitud. El proveedor de identidades y el de servicios se comunican mediante un protocolo de solicitud-respuesta: Solicitud SAML: el proveedor de servicios envía una solicitud de autenticación al proveedor de identidades. Respuesta SAML: el proveedor de identidades envía una respuesta con una o más aserciones SAML sobre el usuario final al proveedor de servicios. Ventajas de la autenticación SAML La autenticación SAML le ofrece las siguientes ventajas. Autenticación SAML: 40 McAfee Web Gateway Cloud Service Guía del producto

41 Autenticación Autenticación SAML 3 Es compatible con cualquier proveedor de identidades y método de autenticación siempre que la solicitud, la respuesta y el resultado de autenticación se intercambien mediante el protocolo SAML 2.0. Suprime las contraseñas del intercambio de información entre las partes SAML. McAfee WGCS no requiere una contraseña del usuario final. En su lugar, el proveedor de identidades comparte toda la información de identidad y de autenticación en forma de aserciones SAML. Autenticación SAML: pasos generales Antes de aplicar la directiva web de su organización al usuario final, McAfee WGCS requiere la identidad del usuario y la información de grupos proporcionadas por el proceso de autenticación SAML. El proceso de autenticación SAML consta de estos pasos generales. 1 El usuario final solicita acceso al recurso web. La solicitud incluye la URL del recurso, pero no información que sirva para identificar al usuario o a su organización. 2 McAfee WGCS recibe la solicitud y devuelve una página de bloqueo, en la que se solicita al usuario una dirección de correo electrónico. 3 El usuario indica una dirección de correo electrónico. McAfee Web Gateway Cloud Service Guía del producto 41

42 3 Autenticación Autenticación SAML 4 McAfee WGCS busca el nombre de dominio, que forma parte de la dirección de correo electrónico del usuario final, en la lista de dominios configurados. Si el nombre de dominio existe, el servicio en la nube inicia la autenticación SAML mediante la redirección de la solicitud SAML en una cookie a través del navegador del usuario al proveedor de identidades configurado para el dominio. En la solicitud SAML, se incluyen los valores siguientes. ID de entidad: identifica McAfee WGCS como el emisor de la solicitud SAML. Su organización asigna este valor. URL del proveedor de servicios: especifica la URL que McAfee WGCS utiliza para la comunicación SAML. Esta URL incluye un valor constante: 5 Para validar la solicitud SAML, el proveedor de identidades busca el ID de entidad y la URL del proveedor de servicios. Si están configurados, el proveedor de identidades autentica al usuario final y, después, redirige la respuesta SAML mediante una cookie a través del navegador del usuario hacia McAfee WGCS. La respuesta incluye las aserciones SAML que acreditan la identidad del usuario y que proporcionan información sobre el usuario y sus grupos. En la respuesta SAML, se incluyen los siguientes valores: El ID de identidad: identifica al proveedor de identidades como el emisor de la respuesta SAML. Su organización asigna este valor. La URL del proveedor de identidades: especifica la URL del servicio del proveedor de identidades. Su organización proporciona este valor. 6 Para validar la respuesta SAML, McAfee WGCS busca el ID de entidad y la URL del proveedor de identidades. Si se han configurado y el usuario se ha autenticado, McAfee WGCS aplica la directiva web de su organización al usuario final y permite o bloquea el acceso al recurso web solicitado. Descripción general sobre la configuración de SAML Además de la configuración en la consola de administración, la autenticación SAML requiere la configuración en el proveedor de identidades y en los equipos cliente de su organización. Configuración en el proveedor de identidades Para la comunicación SAML con McAfee WGCS, configure su proveedor de identidades de forma que utilice esta URL: Como el servicio en la nube consume las aserciones SAML enviadas por el proveedor de identidades, esta opción se conoce como la URL del Servicio del consumidor de aserción (ACS). Varias de las opciones de SAML se configuran tanto en la consola de administración como en el proveedor de identidades. Para que la autenticación SAML resulte correcta, estas opciones deben coincidir exactamente. Configuración en los navegadores de los clientes En el caso de la autenticación SAML mediante McAfee WGCS, configure los navegadores de los clientes de su organización para enviar las solicitudes web al puerto 8084 de la siguiente forma: c<id_de_cliente>.saasprotection.com: McAfee Web Gateway Cloud Service Guía del producto

43 Autenticación Autenticación SAML 3 Configuración en la consola de administración La configuración de la autenticación SAML en la consola de administración incluye las siguientes tareas generales. Interfaz de usuario de Configuración de autenticación: configure las opciones de autenticación SAML. Interfaz de usuario de Administración de directivas: configure el análisis SSL. Consideraciones a la hora de configurar la autenticación SAML Antes de configurar la autenticación SAML, revise las consideraciones siguientes. Configuración del análisis SSL Se necesita análisis SSL para la autenticación SAML. Al activar la autenticación SAML, se activa automáticamente el análisis SSL, que se puede configurar mediante la interfaz de usuario de Administración de directivas. Para configurar el análisis SSL, haga lo siguiente: 1 Configure una directiva de escáner SSL. 2 Descargue el paquete de certificados SSL. 3 Instale los certificados SSL en los exploradores y los sistemas operativos de los equipos cliente de su organización. Para obtener más información sobre el análisis SSL, consulte el capítulo Administración de directivas. Inclusión en la lista blanca de la URL del proveedor de identidades Cuando configure McAfee WGCS como servidor proxy mediante un archivo PAC u otro método de configuración de proxies, incluya la URL del proveedor de identidades en la lista blanca. Si omite este paso, las comunicaciones SAML entre el usuario final y el servicio en la nube pueden entrar en un bucle infinito. Configuración de SAML en la consola de administración En la interfaz de usuario de la autenticación SAML, puede configurar la autenticación SAML, así como activar o desactivar dicha configuración. s Activación o desactivación de la autenticación SAML en la página 43 Puede activar o desactivar la autenticación SAML según sus necesidades. Configuración de la autenticación SAML en la página 44 Una vez configurada la autenticación SAML, puede usar su propio proveedor de identidades y compartir la información de identidad y de autenticación con McAfee WGCS en forma de aserciones SAML. Activación o desactivación de la autenticación SAML Puede activar o desactivar la autenticación SAML según sus necesidades. 1 En el menú de McAfee epo Cloud, seleccione Protección web Configuración de autenticación. 2 En la lista desplegable de Configuración de autenticación, seleccione SAML. El panel Detalles se abrirá en el lado derecho. McAfee Web Gateway Cloud Service Guía del producto 43

44 3 Autenticación Autenticación SAML 3 Para activar la edición, haga clic en el icono del lápiz y, después, seleccione una opción: Para activar la autenticación SAML: seleccione la casilla de verificación Activar autenticación SAML. Para desactivar la autenticación SAML: anule la selección de la casilla de verificación Activar autenticación SAML. 4 Haga clic en Guardar. Configuración de la autenticación SAML Una vez configurada la autenticación SAML, puede usar su propio proveedor de identidades y compartir la información de identidad y de autenticación con McAfee WGCS en forma de aserciones SAML. Antes de empezar Para configurar la autenticación SAML, debe disponer de la siguiente información: El nombre de uno o más dominios que identifican su organización La URL del proveedor de identidades ID de entidad asignado a McAfee WGCS por su organización El ID de identidad que su organización ha asignado al proveedor de identidades Nombre del atributo que identifica de forma inequívoca a los usuarios finales Nombre del atributo que enumera las pertenencias a grupos Nombres de grupos de su organización Certificado para comprobar las aserciones y las respuestas SAML firmadas Varias de las opciones de SAML se configuran tanto en la consola de administración como en el proveedor de identidades. Para que la autenticación SAML resulte correcta, estas opciones deben coincidir exactamente. 1 En el menú de McAfee epo Cloud, seleccione Protección web Configuración de autenticación. 2 En la lista desplegable de Configuración de autenticación, seleccione SAML. El panel Detalles se abrirá en el lado derecho. 3 Para activar la edición, haga clic en el icono del lápiz y, a continuación, defina los campos y la configuración de los dominios, la solicitud y la respuesta SAML. 4 Para proporcionar un certificado, haga clic en el icono del lápiz. Se abrirá el cuadro de diálogo Edit Certificate (Editar certificado). 5 Descargue el archivo de certificado mediante el servicio de su proveedor de identidades y ábralo en un editor de texto. Copie el contenido del archivo, incluyendo -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----, y pegue el contenido en el cuadro de diálogo; a continuación, haga clic en Guardar. El certificado se guardará y el cuadro de diálogo se cerrará. 6 Haga clic en Guardar. La autenticación SAML se ha configurado y guardado. 44 McAfee Web Gateway Cloud Service Guía del producto