Sei sulla pagina 1di 178

Palo Alto Networks

Gua del administrador de GlobalProtect


Versin 6.0

Informacin de contacto
Sede de la empresa:

Palo Alto Networks


4401 Great America Parkway
Santa Clara, CA 95054

http://www.paloaltonetworks.com/contact/contact/

Acerca de esta gua


Esta gua le explica los procesos de configuracin y mantenimiento de la infraestructura de GlobalProtect. Para obtener
ms informacin, consulte los siguientes recursos:

Para obtener informacin sobre funciones adicionales e instrucciones sobre cmo configurar las funciones en el
cortafuegos, consulte https://www.paloaltonetworks.com/documentation.

Para acceder a la base de conocimientos, documentacin al completo, foros de debate y vdeos, consulte
https://live.paloaltonetworks.com.

Para ponerse en contacto con el equipo de asistencia tcnica, obtener informacin sobre los programas de asistencia
tcnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.

Para leer las notas sobre la ltima versin, vaya la pgina de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.

Para enviar sus comentarios sobre la documentacin, dirjase a: documentation@paloaltonetworks.com.

Palo Alto Networks, Inc.


www.paloaltonetworks.com
2014 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks, PAN-OS y Panorama son marcas comerciales de Palo Alto Networks, Inc. Todas las dems marcas comerciales son
propiedad de sus respectivos propietarios.
810-000237-00A

ii

Contenido
Descripcin general de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Acerca de los componentes de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Portal GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Gestor de seguridad mvil de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Qu clientes son compatibles? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Acerca de las licencias de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Configuracin de la infraestructura de GlobalProtect. . . . . . . . . . . . . . . . . . . .7


Creacin de interfaces y zonas para GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Habilitacin de SSL entre componentes de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Acerca de la implementacin de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Recomendaciones para certificados de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Implementacin de certificados de servidores en los componentes de GlobalProtect . . . . . . . . . . . . . 14
Configuracin de la autenticacin de usuario en GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Acerca de la autenticacin de usuarios de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Configuracin de autenticacin externa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Configuracin de la autenticacin de certificado de cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Configuracin de la autenticacin en dos fases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Habilitacin de la asignacin de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Configuracin de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Configuracin de una puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Configuracin del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Configuracin del acceso al portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Definicin de las configuraciones de clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Personalizacin del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Personalizacin de las pginas de inicio de sesin de portal, bienvenida y ayuda . . . . . . . . . . . . . . . . . 49
Implementacin del software cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Implementacin del software del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Implementacin de la configuracin del agente de forma transparente. . . . . . . . . . . . . . . . . . . . . . . . . 55
Descarga e instalacin de la aplicacin mvil de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Configuracin del gestor de seguridad mvil de GlobalProtect . . . . . . . . . . . 61


Recomendaciones de implementacin del gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Configuracin del acceso de gestin al gestor de seguridad mvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Registro, licencia y actualizacin del gestor de seguridad mvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Registro del dispositivo GP-100. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

Gua del administrador de GlobalProtect

iii

Activacin/recuperacin de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Instalacin de las actualizaciones de contenido y software de Panorama . . . . . . . . . . . . . . . . . . . . . . . 68
Configuracin del gestor de seguridad mvil para la gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . 70
Configuracin del gestor de seguridad mvil para el registro de dispositivos. . . . . . . . . . . . . . . . . . . . 70
Configuracin del gestor de seguridad mvil para la inscripcin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Configuracin del acceso de puerta de enlace al gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . 80
Definicin de polticas de implementacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Acerca de la implementacin de la poltica del gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . 83
Recomendaciones sobre las polticas del gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Integracin del gestor de seguridad mvil con su directorio LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Definicin de objetos y perfiles HIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Creacin de perfiles de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Creacin de polticas de implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Verificacin de la configuracin del gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Configuracin del acceso administrativo en el gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . 112
Configuracin de la autenticacin administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Creacin de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Gestin de dispositivos mviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119


Agrupacin de dispositivos por etiqueta para simplificar la administracin de dispositivos . . . . . . . . . . . 120
Etiquetar dispositivos manualmente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Preetiquetado de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Supervisin de dispositivos mviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Administracin de dispositivos remotos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Interaccin con dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reaccin ante la prdida o sustraccin de un dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eliminacin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

128
128
129
130

Creacin de polticas de seguridad para aplicacin de trfico de dispositivos mviles. . . . . . . . . . . . . . . . 131

Uso de informacin del host en la aplicacin de polticas. . . . . . . . . . . . . . 133


Acerca de la informacin del host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Qu datos recopila el agente? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cmo usa la puerta de enlace la informacin del host para aplicar las polticas . . . . . . . . . . . . . . . . .
Cmo pueden saber los usuarios si sus sistemas cumplen los requisitos? . . . . . . . . . . . . . . . . . . . . .

134
134
136
136

Configuracin de la aplicacin de polticas basadas en HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

Configuraciones rpidas de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . 145


VPN de acceso remoto (Perfil de autenticacin) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
VPN de acceso remoto (Perfil del certificado) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
VPN de acceso remoto con autenticacin de dos factores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Configuracin de VPN siempre activada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
VPN de acceso remoto con funcin anterior al inicio de sesin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Configuracin de varias puertas de enlace de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
GlobalProtect para comprobacin de HIP interna y acceso basado en usuario. . . . . . . . . . . . . . . . . . . . . 165
Configuracin de puerta de enlace externa e interna combinada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

iv

Gua del administrador de GlobalProtect

Descripcin general de GlobalProtect


Ya se trate de comprobar el correo electrnico desde casa o de actualizar documentos de empresa desde el
aeropuerto, la mayora de los empleados de hoy en da trabajan fuera de los lmites fsicos de la empresa. Este
aumento de la movilidad de los trabajadores hace crecer la productividad y la flexibilidad al tiempo que introduce
riesgos de seguridad significativos. Cada vez que un usuario abandona las instalaciones de la empresa con su
porttil o dispositivo mvil, est sorteando el cortafuegos de la empresa y las polticas asociadas diseadas para
proteger tanto al usuario como la red. GlobalProtect resuelve los retos planteados por los usuarios itinerantes
extendiendo las mismas polticas de ltima generacin basadas en cortafuegos que se aplican a todos los
usuarios dentro del permetro fsico de la empresa, independientemente de su ubicacin.
Las siguientes secciones ofrecen informacin conceptual acerca de la oferta de Palo Alto Networks
GlobalProtect mediante la descripcin de los componentes de GlobalProtect y las posibles situaciones de
implementacin:

Acerca de los componentes de GlobalProtect

Qu clientes son compatibles?

Acerca de las licencias de GlobalProtect

Gua del administrador de GlobalProtect

Acerca de los componentes de GlobalProtect

Descripcin general de GlobalProtect

Acerca de los componentes de GlobalProtect


GlobalProtect ofrece una completa infraestructura para la gestin de su fuerza de trabajo itinerante para
garantizar a todos sus usuarios un acceso seguro, independientemente de los dispositivos que usen o de donde
se encuentren. Esta infraestructura incluye los siguientes componentes:

Portal GlobalProtect

Puertas de enlace de GlobalProtect

Cliente de GlobalProtect

Gestor de seguridad mvil de GlobalProtect

Portal GlobalProtect
El portal GlobalProtect proporciona las funciones de gestin para su infraestructura de GlobalProtect. Todos
los sistemas clientes que participan en la red de GlobalProtect reciben informacin de configuracin desde el
portal, incluida informacin sobre las puertas de enlace disponibles, as como certificados cliente que pueden
ser necesarios para conectarse a las puertas de enlace de GlobalProtect o a su gestor de seguridad mvil.
Adems, el portal controla el comportamiento y la distribucin del software del agente de GlobalProtect para
los porttiles con Mac y Windows. (En dispositivos mviles, la aplicacin GlobalProtect se distribuye a travs
de la App Store de Apple para los dispositivos iOS o mediante Google Play para dispositivos Android.) Si est
usando la funcin Perfil de informacin del host (HIP), el portal tambin define qu informacin se recopila
desde el host, incluyendo cualquier informacin personalizada que necesite. El portal se configura en una
interfaz de cualquier cortafuegos de ltima generacin de Palo Alto Networks.

Puertas de enlace de GlobalProtect


Las puertas de enlace de GlobalProtect permiten aplicar la seguridad al trfico de agentes / aplicaciones de
GlobalProtect. Asimismo, si la funcin HIP est habilitada, la puerta de enlace HIP genera un informe a partir
de los datos sin procesar del host enviados por los clientes y puede usar dicha informacin para la aplicacin de
polticas.

Puertas de enlace externas: Permiten a los usuarios remotos acceder a la red privada virtual (VPN) o
aplicar la seguridad.

Puertas de enlace internas: Una interfaz en la red interna configurada como una puerta de enlace de
GlobalProtect que permite aplicar la poltica de seguridad para el acceso a recursos internos. Al usarla junto
con el ID de usuario o las comprobaciones HIP, una puerta de enlace interna permite ofrecer un mtodo
preciso y seguro para identificar y controlar el trfico por usuario o estado del dispositivo. Las puertas de
enlace internas son tiles en entornos confidenciales que requieren acceso autenticado a los recursos crticos.
Puede configurar una puerta de enlace interna tanto en el modo de tnel como de no tnel.
Las puertas de enlace se configuran en una interfaz de cualquier cortafuegos de ltima generacin de Palo
Alto Networks. Puede ejecutar tanto una puerta de enlace y un portal en el mismo cortafuegos como
mltiples puertas de enlace distribuidas por toda su empresa.

Gua del administrador de GlobalProtect

Descripcin general de GlobalProtect

Acerca de los componentes de GlobalProtect

Cliente de GlobalProtect
El software del cliente de GlobalProtect se ejecuta en sistemas de usuarios finales y habilita el acceso a los
recursos de su red a travs de los portales y las puertas de enlace de GlobalProtect que ha implementado.
Hay dos tipos de clientes de GlobalProtect:

El agente de GlobalProtect: Se ejecuta en sistemas Windows y Mac OS y se implementa desde el portal


de GlobalProtect. El comportamiento del agente (p. ej., qu pestaas pueden ver los usuarios, pueden los
usuarios desinstalar el agente o no) se determina en la configuracin del cliente que defina en el portal.

La aplicacin de GlobalProtect: Se ejecuta en dispositivos iOS y Android.

Consulte Qu clientes son compatibles? para obtener ms informacin.


El siguiente diagrama ilustra el modo en que los portales, puertas de enlace y agentes / aplicaciones de
GlobalProtect se coordinan para ofrecer a todos sus usuarios un acceso seguro, independientemente de los
dispositivos que usen o de donde se encuentren.

Gua del administrador de GlobalProtect

Acerca de los componentes de GlobalProtect

Descripcin general de GlobalProtect

Gestor de seguridad mvil de GlobalProtect


El gestor de seguridad mvil de GlobalProtect ofrece gestin, visibilidad, e implementacin de configuracin
automatizada para dispositivos mviles (tanto los de la empresa como del empleado) en su red. Dado que el gestor de
seguridad mvil forma parte de la solucin mvil de GlobalProtect, la puerta de enlace de GlobalProtect puede
aprovechar la informacin de los dispositivos gestionados y usar la informacin ampliada del host recopilada por el
gestor de seguridad mvil para ofrecer a los dispositivos gestionados una aplicacin mejorada de las polticas de
seguridad. Las puertas de enlace recuperan los perfiles HIP extendidos del gestor de seguridad mvil y usan la
informacin para aplicar polticas de seguridad para los dispositivos que se conectan a su red.

Las polticas de implementacin que crea en el gestor de seguridad mvil ofrecen aprovisionamiento de cuentas
simplificado para que los usuarios de dispositivos mviles puedan acceder a las aplicaciones de la empresa (tales
como las configuraciones VPN y correo electrnico). Tambin puede realizar ciertas acciones, tales como
bloquear el dispositivo, hacer que emita una alarma para ayudar a localizarlo o incluso borrarlo si duda de la
seguridad del mismo.

Para comunicarse con un dispositivo, el gestor de seguridad mvil enva una notificacin push mediante OTA.
En el caso de dispositivos iOS, enva notificaciones push mediante el servicio Notificaciones Push de Apple
(APN) y en el de dispositivos Android las enva mediante Mensajera de Google Cloud (GCM). Cuando un
dispositivo recibe una notificacin push, la comprueba estableciendo una conexin HTTPS con la interfaz de
comprobacin del dispositivo en el gestor de seguridad mvil.

Cuando un dispositivo se registra en el gestor de seguridad mvil, enva informacin del host que incluye
informacin adicional adems de la recopilada por la puerta de enlace de GlobalProtect, incluyendo una lista de
todas las aplicaciones instaladas, la ubicacin del dispositivo en el momento del registro (se puede deshabilitar), si
el dispositivo tiene un cdigo de acceso establecido o si est modificado o desbloqueado. Adems, si el gestor de
seguridad mvil tiene una suscripcin WildFire, puede detectar si un dispositivo contiene software
malintencionado (solo dispositivos Android).

Al aprovechar los datos HIP extendidos que recopila el gestor de seguridad mvil, puede crear una poltica de
seguridad muy granular para usuarios de dispositivos mviles en sus puertas de enlace de GlobalProtect.

Gua del administrador de GlobalProtect

Descripcin general de GlobalProtect

Qu clientes son compatibles?

Qu clientes son compatibles?


En la siguiente tabla se resume la compatibilidad con GlobalProtect de los siguientes dispositivos de sobremesa,
porttiles y mviles, as como las versiones mnimas de agentes / aplicaciones GlobalProtect y PAN-OS
necesarias para la compatibilidad:
Versiones de clientes de OS compatibles

Versin mnima de
agente / aplicacin

Versin mnima de PAN-OS

Apple Mac OS 10.6

1.1

4.1.0 o posterior

Apple Mac OS 10.7

1.1

Apple Mac OS 10.8

1.1.6

Apple Mac OS 10.9

1.2

Windows XP (32 bits)

1.0

Windows Vista (32 bits y 64 bits)

1.0

Windows 7 (32 bits y 64 bits)

1.0

Windows 8 (32 bits y 64 bits)

1.2

Windows 8.1 (32 bits y 64 bits)

1.2

Windows Surface Pro

1.2

Apple iOS 6.0 o posterior*

App 1.3

4.1.0 o posterior

Google Android 4.0.3 o posterior*

App 1.3

4.1.6 o posterior

Clientes IPsec de X-Auth de terceros:

N/D

5.0 o posterior

4.0 o posterior

VPNC en Ubuntu Linux 10.04 y CentOS 6


Cliente IPsec integrado en iOS
Cliente IPsec integrado en Android
* La app 2.0 es necesaria para que un dispositivo pueda ser gestionado por el gestor de seguridad mvil de GlobalProtect
y el cortafuegos debe ejecutar PAN-OS 6.0.

Gua del administrador de GlobalProtect

Acerca de las licencias de GlobalProtect

Descripcin general de GlobalProtect

Acerca de las licencias de GlobalProtect


Si tan solo quiere usar GlobalProtect para proporcionar una solucin de red privada virtual (VPN), segura o de
acceso remoto a travs de una nica puerta de enlace externa, no necesita licencia de GlobalProtect. Sin
embargo, para usar algunas de las funciones ms avanzadas, como mltiples puertas de enlace, aplicaciones
mviles, gestin de seguridad mvil, comprobaciones de informacin del host o puertas de enlace internas,
puede que necesite adquirir una o ms de las siguientes licencias:

Licencia de portal: Una licencia perpetua que debe instalarse una nica vez en el cortafuegos que ejecute
el portal para habilitar la compatibilidad con la puerta de enlace interna, mltiples puertas de enlace (internas
o externas) o comprobaciones HIP.

Suscripcin de puerta de enlace: Una suscripcin anual que habilita las comprobaciones de HIP y las
actualizaciones de contenido asociadas. Esta licencia debe instalarse en cada cortafuegos que contenga
puertas de enlace que realicen comprobaciones HIP. Asimismo, la licencia de puerta de enlace habilita la
compatibilidad con aplicaciones mviles de GlobalProtect para iOS y Android.

Licencia del gestor de seguridad mvil de GlobalProtect en el dispositivo GP-100: Una licencia
perpetua de instalacin nica para el gestor de seguridad mvil basada en el nmero de dispositivos mviles
que se van a gestionar. Esta licencia solo es necesaria si pretende gestionar ms de 500 dispositivos mviles.
Hay disponibles licencias perpetuas para 1000, 2000, 5000, 10 000, 25 000, 50 000 o 100 000 dispositivos
mviles.

Suscripcin a WildFire en el gestor de seguridad mvil de GlobalProtect para el dispositivo GP-100:


Usada junto con el gestor de seguridad mvil de GlobalProtect para la deteccin de software malintencionado
APK en los dispositivos Android gestionados. Para habilitar el uso de deteccin de software malintencionado con
el gestor de seguridad mvil de GlobalProtect, debe adquirir una suscripcin a WildFire que se corresponda con
la capacidad de la licencia del gestor de seguridad mvil de GlobalProtect.

Funcin:

Requisitos de licencia del


cortafuegos

Requisitos de licencia del gestor


de seguridad mvil

Licencia de
portal

Licencia de
capacidad del
gestor de
seguridad mvil

Suscripcin de
puerta de enlace

Suscripcin a
WildFire

Puerta de enlace nica externa


(Windows y Mac)
Una o varias puertas de enlace internas
Varias puertas de enlace externas
Comprobaciones HIP
Aplicacin mvil para iOS o Android
Gestor de seguridad mvil (requiere aplicacin
mvil de GlobalProtect para iOS o Android)
Deteccin de software malintencionado APK
Android del gestor de seguridad mvil

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de
GlobalProtect
Para que GlobalProtect funcione, debe configurar la infraestructura bsica que permite que todos los
componentes se comuniquen. Bsicamente, esto implica configurar las interfaces y zonas que a las que se
conectarn los usuarios finales de GlobalProtect para acceder al portal y las puertas de enlace. Puesto que los
componentes de GlobalProtect se comunican a travs de canales seguros, debe adquirir e implementar todos
los certificados SSL necesarios de los distintos componentes. Las siguientes secciones le guiarn a travs de los
pasos bsicos para configurar la infraestructura de GlobalProtect:

Creacin de interfaces y zonas para GlobalProtect

Habilitacin de SSL entre componentes de GlobalProtect

Configuracin de la autenticacin de usuario en GlobalProtect

Habilitacin de la asignacin de grupo

Configuracin de las puertas de enlace de GlobalProtect

Configuracin del portal de GlobalProtect

Implementacin del software cliente de GlobalProtect

Gua del administrador de GlobalProtect

Creacin de interfaces y zonas para GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Creacin de interfaces y zonas para GlobalProtect


Debe configurar las siguientes interfaces y zonas para la infraestructura de GlobalProtect:

Portal de GlobalProtect: Requiere una interfaz de bucle o capa 3 para que se conecten los clientes de
GlobalProtect. Si el portal y la puerta de enlace se encuentran en el mismo cortafuegos, pueden usar la misma
interfaz. El portal debe estar en una zona accesible desde fuera de su red, por ejemplo: no fiable.

Puertas de enlace de GlobalProtect: Los requisitos de interfaz y zona para la puerta de enlace dependen de si
est configurando una puerta de enlace externa o una puerta de enlace interna, como se indica a continuacin:
Puertas de enlace externas: Requieren una interfaz de bucle o capa 3 y una interfaz de tnel lgica para
que el cliente se conecte con el fin de establecer un tnel VPN. La interfaz de bucle / capa 3 debe encontrarse
en una zona externa, como no fiable. La interfaz de tnel puede estar en la misma zona que la interfaz que se
conecta a sus recursos internos, por ejemplo, fiable, o bien, para mejorar la seguridad y la visibilidad, puede
crear una zona separada, como corp-vpn. Si crea una zona separada para su interfaz de tnel, necesitar crear
polticas de seguridad que habiliten el flujo del trfico entre la zona VPN y la zona fiable.

Puertas de enlace internas: Requiere una interfaz de bucle o de capa 3 en su zona fiable. Tambin puede
crear una interfaz de tnel para acceder a sus puertas de enlace internas, pero no es necesario.
Puede encontrar consejos sobre el uso de la interfaz de bucle para proporcionar acceso a GlobalProtect
a travs de diferentes puertos y direcciones en Can GlobalProtect Portal Page be Configured to be
Accessed on any Port? (Se puede configurar la pgina del portal de GlobalProtect para acceder desde
cualquier dispositivo?)

Si desea ms informacin sobre portales y puertas de enlace, consulte Acerca de los componentes de GlobalProtect.
Configuracin de interfaces y zonas para GlobalProtect

Paso 1

Nota

Nota

Configure una interfaz de capa 3 para cada 1.


portal o puerta de enlace que pretenda
implementar.
Si la puerta de enlace y el portal se
encuentran en el mismo cortafuegos, puede 2.
usar una sola interfaz para ambos.
Se recomienda usar direcciones IP estticas 3.
para el portal y la puerta de enlace.

Seleccione Red > Interfaces > Ethernet o Red > Interfaces >
Bucle invertido y, a continuacin, seleccione la interfaz que quiere
configurar para GlobalProtect. En este ejemplo, estamos
configurando ethernet1/1 como la interfaz del portal.
(Solo Ethernet) Seleccione Capa3 en el men desplegable Tipo de
interfaz.
En la pestaa Configurar, seleccione la zona a la que pertenece la
interfaz del portal o la puerta de enlace, como se indica a
continuacin:
Coloque los portales y las puertas de enlace externas en una zona
no fiable para acceder mediante hosts desde fuera de su red,
como l3-nofiable.
Coloque puertas de enlace internas en una zona interna, como
l3-fiable.
Si an no ha creado la zona, seleccione Nueva zona desde el
men desplegable Zona de seguridad. En el cuadro de dilogo
Zona, defina un Nombre para una nueva zona y, a continuacin,
haga clic en ACEPTAR.

4.

En el men desplegable Enrutador virtual, seleccione


predeterminado.

5.

Para asignar una direccin IP a la interfaz, seleccione la pestaa


IPv4, haga clic en Aadir en la seccin IP e introduzca la direccin

6.
8

IP y la mscara de red para asignarlas a la interfaz, por ejemplo:


208.80.56.100/24.
Para guardar la configuracin de la interfaz, haga clic en ACEPTAR.
Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Creacin de interfaces y zonas para GlobalProtect

Configuracin de interfaces y zonas para GlobalProtect (Continuacin)

Paso 2

Nota

Nota

En los cortafuegos donde se alojen


puertas de enlace de GlobalProtect,
configure la interfaz de tnel lgica que
finalizar los tneles VPN establecidos
por los agentes de GlobalProtect.

1.

Seleccione Red > Interfaces > Tnel y haga clic en Aadir.

2.

En el campo Nombre de interfaz, especifique un sufijo


numrico, como.2.

3.

En la pestaa Configurar, ample el men desplegable Zona de


seguridad para definir la zona del siguiente modo:

No se requieren direcciones IP en la
interfaz de tnel a menos que requiera
enrutamiento dinmico. Adems, asignar
una direccin IP a la interfaz de tnel
puede resultar til para solucionar
problemas de conexin.

Para usar una zona fiable como punto de finalizacin del


tnel, seleccione la zona del men desplegable.
(Recomendado) Si quiere crear una zona separada para la
finalizacin del tnel VPN, haga clic en Nueva zona. En el
cuadro de dilogo Zona, defina un Nombre para la nueva
zona (por ejemplo, vpn-corp), seleccione la casilla de
verificacin Habilitar identificacin de usuarios y, a
continuacin, haga clic en ACEPTAR.

Asegrese de habilitar ID de usuario en la


zona donde finalizan los tneles VPN.
4.

En el men desplegable Enrutador virtual, seleccione


predeterminado.

5.

(Opcional) Si quiere asignar una direccin IP a la interfaz de


tnel, seleccione la pestaa IPv4, haga clic en Aadir en la
seccin IP e introduzca la direccin IP y la mscara de red
para asignarlas a la interfaz, por ejemplo: 10.31.32.1/32.

6.

Para guardar la configuracin de la interfaz, haga clic en


Aceptar.

Paso 3

Si ha creado una zona separada para la finalizacin del tnel de las conexiones VPN, cree una poltica de
seguridad para habilitar el flujo de trfico entre la zona VPN y su zona fiable. Por ejemplo, la siguiente regla de
poltica habilita el trfico entre la zona corp-vpn y la zona l3-fiable.

Paso 4

Guarde la configuracin.

Nota

Si ha habilitado el acceso de gestin a


la interfaz donde se aloja el portal, debe
aadir :4443 a la URL. Por ejemplo,
para acceder a la interfaz web del portal
configurado en este ejemplo, debera
introducir lo siguiente:

Haga clic en Compilar.

https://208.80.56.100:4443

O bien, si ha configurado un registro


DNS para FQDN, como gp.acme.com,
debera introducir:
https://gp.acme.com:4443

Gua del administrador de GlobalProtect

Habilitacin de SSL entre componentes de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Habilitacin de SSL entre componentes de GlobalProtect


Toda la interaccin entre los componentes de GlobalProtect se realiza a travs de una conexin SSL. Por lo
tanto, debe generar o instalar los certificados necesarios antes de configurar cada componente, de modo que
pueda hacer referencia a los certificados adecuados en las configuraciones. En las siguientes secciones se
describen los mtodos compatibles de implementacin de certificados, las descripciones y las directrices de
recomendaciones para los diversos certificados de GlobalProtect, adems de ofrecer instrucciones para la
generacin e implementacin de los certificados necesarios.

Acerca de la implementacin de certificados

Recomendaciones para certificados de GlobalProtect

Implementacin de certificados de servidores en los componentes de GlobalProtect

Acerca de la implementacin de certificados


Hay tres mtodos bsicos para implementar certificados para GlobalProtect:

(Recomendado) Combinacin de certificados de terceros y certificados autofirmados: Puesto que los


clientes finales accedern al portal antes de la configuracin de GlobalProtect, el cliente debe confiar en el
certificado para establecer una conexin HTTPS. Del mismo modo, si est usando el gestor de seguridad
mvil de GlobalProtect, ocurre lo mismo con los dispositivos mviles que acceden al gestor de seguridad
mvil para su inscripcin. Por lo tanto, el mtodo recomendado consiste en adquirir el certificado de
servidor del portal y el certificado de servidor para la interfaz de registro del dispositivo del gestor de
seguridad mvil desde un certificado de CA fiable en el que ya confen la mayora de clientes finales con el
fin de prevenir errores de certificado. Una vez conectado correctamente, el portal puede enviar cualquier
otro certificado requerido (por ejemplo, el certificado de CA raz para la puerta de enlace) al cliente final.

Autoridad de certificacin empresarial: Si ya cuenta con su propia autoridad de certificacin empresarial,


puede usar esta CA interna para emitir certificados de cada uno de los componentes de GlobalProtect y, a
continuacin, importarlos desde los cortafuegos donde se alojan su portal y sus puertas de enlace y desde el
gestor de seguridad mvil. En este caso, debe asegurarse de que los dispositivos mviles o sistemas del
usuario final confen en el certificado de CA raz usado para emitir los certificados para los servicios de
GlobalProtect a los que deben conectarse.

Certificados autofirmados: Puede generar un certificado de CA autofirmado en el portal y usarlo para


emitir certificados de todos los componentes de GlobalProtect. Sin embargo, esta solucin es menos segura
que otras opciones y, por lo tanto, no se recomienda. Si aun as elige esta opcin, los usuarios finales vern
un error de certificado la primera vez que se conecten al portal. Para evitar esto, puede implementar
manualmente un certificado de CA raz autofirmado para todos los sistemas de usuarios finales o usar algn
tipo de implementacin centralizada, como un objeto de directiva de grupo (GPO) de Active Directory.

10

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Habilitacin de SSL entre componentes de GlobalProtect

Recomendaciones para certificados de GlobalProtect


En la siguiente tabla se resumen los certificados SSL que necesitar dependiendo de las funciones que pretenda usar:
Tabla: Requisitos de certificados para GlobalProtect
Certificado

Uso

Proceso de emisin / Recomendaciones

Certificado de CA

Usado para firmar certificados Si pretende usar certificados autofirmados, es recomendable


emitidos para los componentes generar un certificado de CA en el portal y, a continuacin, usar
de GlobalProtect.
dicho certificado para emitir los certificados necesarios para
GlobalProtect.

Certificado de servidor
del portal

Se recomienda usar un certificado emitido por una CA


Habilita a los agentes /
externa conocida. Es la opcin ms segura y garantiza que los
aplicaciones de GlobalProtect
clientes finales puedan establecer una relacin de confianza
para que establezcan una
con el portal sin necesidad de que implemente el certificado
conexin HTTPS con el portal.
de
CA raz.
El campo de nombre comn
(CN) y, si es aplicable, de
Si no usa una CA pblica conocida, debera exportar el
nombre alternativo del asunto
certificado de CA raz usado para generar el certificado de
(SAN) del certificado deben
servidor del portal a todos los sistemas cliente que usen
coincidir exactamente con la
GlobalProtect con el fin de evitar que los usuarios finales
direccin IP o con el nombre
vean advertencias de certificados durante la conexin inicial
de dominio completo (FQDN)
al portal.
de la interfaz donde est alojado
Si est implementando un portal y una nica puerta de enlace
el portal.
en la misma interfaz / direccin IP para un acceso bsico a
VPN, debe usar un certificado de servidor nico para ambos
componentes.

Certificado de servidor
de la puerta de enlace

Cada puerta de enlace debe tener su propio certificado de


Habilita a los agentes /
servidor.
aplicaciones de GlobalProtect
para que establezcan una
Se recomienda generar un certificado de CA en el portal y
conexin HTTPS con el portal.
usar dicho certificado para generar todos los certificados de
El campo de nombre comn
puertas de enlace.
(CN) y, si es aplicable, de
El portal puede distribuir el certificado de CA raz de la puerta
nombre alternativo del asunto
de enlace a todos los agentes en la configuracin del cliente,
(SAN) del certificado deben
de modo que no sea necesario que una CA pblica emita
coincidir exactamente con el
todos los certificados de puerta de enlace.
FQDN o la direccin IP de la
Si est implementando un portal y una nica puerta de enlace
interfaz donde pretende
en la misma interfaz / direccin IP para un acceso bsico a
configurar la puerta de enlace.
VPN, debe usar un certificado de servidor nico para ambos
componentes. Se recomienda usar un certificado emitido por
una CA pblica.

Gua del administrador de GlobalProtect

11

Habilitacin de SSL entre componentes de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Certificado

Uso

Proceso de emisin / Recomendaciones

(Opcional) Certificado
de cliente

Sirve para habilitar la


autenticacin mutua entre los
agentes de GlobalProtect y las
puertas de enlace o el portal.

Para simplificar la implementacin de certificados de cliente,


configure el portal para que implemente el certificado de
cliente a los agentes al realizarse correctamente el inicio de
sesin. En esta configuracin, todos los agentes de
GlobalProtect que usen la misma configuracin comparten
un nico certificado de cliente; el objetivo de este certificado
es asegurarse de que solo los clientes de su organizacin
tengan permiso para conectarse.

Adems de habilitar la
autenticacin mutua al
establecer una sesin HTTPS
entre el cliente y el portal /
puerta de enlace, tambin puede Puede usar otros mecanismos para implementar certificados
usar certificados de cliente para
de clientes exclusivos para cada sistema de cliente que se
autenticar a usuarios finales.
usarn en la autenticacin del usuario final.

Tal vez deba probar su configuracin primero sin el


certificado de cliente y, a continuacin, aadir el certificado
del cliente cuando est seguro de que el resto de ajustes de la
configuracin son correctos.
(Opcional) Certificado
de mquina

Garantiza que solo se puedan


conectar a GlobalProtect los
equipos fiables. Adems, los
certificados de mquina son
necesarios para el uso del
mtodo de conexin anterior al
inicio de sesin, lo que permite
el establecimiento de tneles
VPN antes de que el usuario
inicie sesin.

Certificados de servidor Permite a los dispositivos


del gestor de seguridad
mviles establecer sesiones
mvil
HTTPS con el gestor de

seguridad mvil para su


inscripcin o registro.
Permite a las puertas de
enlace conectarse al gestor
de seguridad mvil para
recuperar informes HIP
para los dispositivos
mviles gestionados.

Si pretende usar la funcin anterior al inicio de sesin, debe


utilizar su propia infraestructura PKI para implementar los
certificados de mquina en cada sistema de cliente antes de
habilitar el acceso a GlobalProtect. Para obtener ms
informacin, consulte VPN de acceso remoto con funcin
anterior al inicio de sesin.

Puesto que los dispositivos deben confiar en el gestor de


seguridad mvil para inscribirse, se recomienda adquirir un
certificado para la interfaz de registro del dispositivo del
gestor de seguridad mvil desde una CA fiable y conocida.
Si no utiliza una CA fiable para emitir certificados de la
interfaz de registro del dispositivo del gestor de seguridad
mvil, tendr que implementar el certificado de CA raz del
gestor de seguridad mvil para dispositivos mviles a travs
de la configuracin del portal (a fin de habilitar el dispositivo
para que establezca una conexin SSL con el gestor de
seguridad mvil para su inscripcin).

Si la interfaz de registro del dispositivo est en una interfaz


El campo de nombre comn
diferente a la que se conectan las puertas de enlace para la
(CN) y, si es aplicable, de
recuperacin de HIP, necesitar certificados de servidor
nombre alternativo del asunto
separados para cada interfaz.
(SAN) del certificado deben
coincidir exactamente con la Si desea informacin detallada, consulte Configuracin del
direccin IP o con el nombre gestor de seguridad mvil de GlobalProtect.
de dominio completo
(FQDN) de la interfaz.

12

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Habilitacin de SSL entre componentes de GlobalProtect

Certificado

Uso

Proceso de emisin / Recomendaciones

Certificado de gestor
de seguridad mvil del
servicio Notificaciones
Push de Apple (APN)

Permite que el gestor de


seguridad mvil enve
notificaciones push a los
dispositivos iOS gestionados.

Debe generar una solicitud de firma de certificado (CSR)


para este certificado en el gestor de seguridad mvil y, a
continuacin, enviarlo al portal de perfiles de datos de iOS de Apple
(requiere inicio de sesin) para la firma.
Apple solo admite CSR firmados mediante SHA 1 Message
Digest y claves de 2048 bits.
Consulte Configuracin del gestor de seguridad mvil para el
registro de dispositivos para obtener informacin detallada
sobre cmo realizar esta configuracin.

Certificados de
identidad

Habilitan el gestor de seguridad


mvil y, opcionalmente, la
puerta de enlace para establecer
sesiones SSL mutuamente
autenticadas con dispositivos
mviles.

Gua del administrador de GlobalProtect

El gestor de seguridad mvil gestiona la implementacin de


certificados de identidad para los dispositivos que gestiona.
Consulte Configuracin del gestor de seguridad mvil para la
inscripcin para obtener informacin detallada sobre cmo
realizar esta configuracin.

13

Habilitacin de SSL entre componentes de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Implementacin de certificados de servidores en los componentes de


GlobalProtect
El siguiente flujo de trabajo muestra los pasos recomendados para implementar certificados SSL en los
componentes de GlobalProtect:
Implementacin de certificados de servidores SSL en los componentes de GlobalProtect

Importe un certificado de servidor desde una CA Para importar un certificado y una clave desde una CA pblica,
asegrese de que se puede acceder a los archivos de clave y
externa conocida.
certificado desde su sistema de gestin y de que tiene la frase de
Recomendacin:
contrasea para descifrar la clave privada. A continuacin, siga estos
Use un certificado de servidor de una CA externa
pasos:
conocida para el portal de GlobalProtect y el
1. Seleccione Configuracin > Gestin de certificados >
gestor de seguridad mvil. De este modo puede
Certificados > Certificados de dispositivos.
asegurarse de que los clientes finales podrn
2. Haga clic en Importar e introduzca un nombre de certificado.
establecer una conexin HTTPS sin recibir
advertencias de certificado.
Nota

El campo de nombre comn (CN) y, si


es aplicable, de nombre alternativo del
asunto (SAN) del certificado deben
coincidir exactamente con el nombre
de dominio completo (FQDN) o la
direccin IP de la interfaz donde
pretende configurar el portal o la
interfaz de registro del dispositivo en
el gestor de seguridad mvil. Admite
coincidencias con comodines.

3.

Introduzca la ruta y el nombre en el Archivo de certificado que


recibi de la CA o seleccione Examinar para buscar el archivo.

4.

Seleccione Clave privada cifrada y certificado (PKCS12) como


Formato de archivo.

5.

Seleccione la casilla de verificacin Importar clave privada.

6.

Introduzca la ruta y el nombre en el archivo PKCS#12


en el campo Archivo de clave o seleccione Examinar para
encontrarla.

7.

Vuelva a introducir la frase de contrasea que se us para


cifrar la clave privada y despus haga clic en ACEPTAR para
importar el certificado y la clave.

Cree el certificado de CA raz para la emisin de Para usar certificados autofirmados, primero debe crear un
certificados autofirmados de los componentes de certificado de CA raz que servir para firmar los certificados
de componentes de GlobalProtect del siguiente modo:
GlobalProtect.
1. Para crear un certificado de CA raz, seleccione Dispositivo >
Recomendacin:
Cree el certificado de CA raz en el portal y selo
para emitir certificados de servidor para puertas
2.
de enlace y, de manera opcional, clientes.

14

Gestin de certificados > Certificados > Certificados de


dispositivos y, a continuacin, haga clic en Generar.

Introduzca un nombre de certificado, como GlobalProtect_CA.


El nombre de certificado no puede puede contener espacios.

3.

No seleccione ningn valor en el campo Firmado por (esto es


lo que indica que est autofirmado).

4.

Seleccione la casilla de verificacin Autoridad del certificado y,


a continuacin, haga clic en Aceptar para generar el certificado.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Habilitacin de SSL entre componentes de GlobalProtect

Implementacin de certificados de servidores SSL en los componentes de GlobalProtect (Continuacin)

Genere un nuevo certificado de servidor


autofirmado.
Recomendacin:
Use la CA raz en el portal para generar
certificados de servidor para cada puerta de
enlace que pretende implementar y, de manera
opcional, para la interfaz de gestin del gestor
de seguridad mvil (si esta es la interfaz que
usarn las puertas de enlace para recuperar los
informes HIP).
Nota

En los certificados de servidor de la puerta


de enlace, los valores en los campos
Nombre comn (CN) y Nombre
alternativo del asunto (SAN) en el
certificado deben ser idnticos. De lo
contrario, el agente de GlobalProtect
detectar la discrepancia al comprobar la
cadena de confianza del certificado y no
confiar en el certificado. Los certificados
autofirmados solo contendrn un campo
SAN si aade un atributo de certificado
Nombre de host.

Implemente los certificados de servidor


autofirmados.

1.

Seleccione Dispositivo > Gestin de certificados >


Certificados > Certificados de dispositivos y, a continuacin,
haga clic en Generar.

2.

Introduzca un nombre de certificado. El nombre de certificado


no puede puede contener espacios.

3.

Introduzca el FQDN (recomendado) o la direccin IP de la interfaz


donde pretende configurar la puerta de enlace en el campo
Nombre comn.

4.

En el campo Firmado por, seleccione GlobalProtect_CA, que cre


en el paso anterior.

5.

En la seccin Atributos del certificado, haga clic en Aadir y defina


los atributos para identificar de forma exclusiva la puerta de enlace.
Tenga en cuenta que si aade un atributo Nombre de host (que
cumplimenta el campo SAN del certificado), debe coincidir
exactamente con el valor que haya definido en el campo Nombre
comn.

6.

Haga clic en Aceptar para generar el certificado.

7.

Compile sus cambios.

1.

En el portal, seleccione Dispositivo > Gestin de certificados >


Certificados > Certificados de dispositivos, seleccione el
certificado de puerta de enlace que quiere implementar y haga clic
en Exportar.

2.

Seleccione Clave privada cifrada y certificado (PKCS12) en el


men desplegable Formato de archivo.

3.

Introduzca dos veces una frase de contrasea para cifrar la clave


privada y, a continuacin, haga clic en ACEPTAR para descargar el
archivo PKCS12 en su ordenador.

4.

En la puerta de enlace, seleccione Dispositivo > Gestin de


certificados > Certificados > Certificados de dispositivo y haga
clic en Importar.

5.

Introduzca un nombre de certificado.

6.

Introduzca la ruta y el nombre en el archivo de certificado que


acaba de descargar del portal o seleccione Examinar para buscar el
archivo.

7.

Seleccione Clave privada cifrada y certificado (PKCS12) como


Formato de archivo.

Recomendaciones:
Exporte los certificados de servidor
autofirmados emitidos por la CA raz al
portal e imprtelos desde las puertas de
enlace.
Asegrese de emitir un nico certificado de
servidor para cada puerta de enlace.
Al usar certificados autofirmados, debe
distribuir el certificado de CA raz a los
clientes finales en las configuraciones de
clientes del portal.

8.

Introduzca la ruta y nombre en el archivo PKCS#12 en el campo


Archivo de clave o seleccione Examinar para encontrarla.

9.

Vuelva a introducir la frase de contrasea que se us para cifrar


la clave privada y despus haga clic en ACEPTAR para importar el
certificado y la clave.

10. Compilar los cambios en la puerta de enlace.

Gua del administrador de GlobalProtect

15

Configuracin de la autenticacin de usuario en GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin de la autenticacin de usuario en


GlobalProtect
El portal y la puerta de enlace requieren las credenciales autenticacin del usuario final antes de que permitir al
agente / aplicacin de GlobalProtect acceder a los recursos de GlobalProtect. Puesto que el portal y la puerta
de enlace le piden que especifique qu mecanismos de autenticacin se usarn, debe configurar la autenticacin
antes de continuar con la configuracin del portal y la puerta de enlace. En las siguientes secciones se detallan
los mecanismos de autenticacin admitidos y el modo de configurarlos:

Acerca de la autenticacin de usuarios de GlobalProtect

Configuracin de autenticacin externa

Configuracin de la autenticacin de certificado de cliente

Configuracin de la autenticacin en dos fases

Acerca de la autenticacin de usuarios de GlobalProtect


La primera vez que un agente / aplicacin de GlobalProtect se conecta al portal, se solicita al usuario que se
autentique en el portal para poder descargar la configuracin de GlobalProtect, que incluye una lista de puertas
de enlace a las que se puede conectar el agente, la ubicacin del gestor de seguridad mvil y, de manera opcional,
un certificado de cliente para conectarse a las puertas de enlace. Cuando se haya descargado correctamente la
configuracin y se haya guardado en cach, el agente / aplicacin trata de conectarse a una de las puertas de
enlace especificadas en la configuracin o al gestor de seguridad mvil. Puesto que estos componentes ofrecen
acceso a sus recursos y configuraciones de red, tambin requieren la autenticacin del usuario final.
El nivel de seguridad requerido en el portal, en el gestor de seguridad mvil y en las puertas de enlace (e incluso
de una puerta de enlace a otra) vara en funcin de la confidencialidad de los recursos que cada uno protege;
GlobalProtect ofrece un marco de autenticacin flexible que le permite elegir el perfil de autenticacin o el perfil
de certificado adecuado para cada componente.
Las siguientes secciones describen las funciones de autenticacin disponibles en el portal y la
puerta de enlace. Para obtener informacin detallada acerca de la configuracin de la
autenticacin, consulte Configuracin del gestor de seguridad mvil para la inscripcin.

16

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin de la autenticacin de usuario en GlobalProtect

Mtodos de autenticacin de GlobalProtect admitidos


GlobalProtect es compatible con los siguientes mtodos de autenticacin:
Mtodo de autenticacin Descripcin
Autenticacin local

Tanto las credenciales de cuenta de usuario como los mecanismos de autenticacin se


encuentran en el cortafuegos. Este mecanismo de autenticacin no es adaptable, ya que
requiere una cuenta para cada usuario final de GlobalProtect y, por lo tanto, solo se
recomienda para implementaciones muy pequeas. Para obtener instrucciones sobre cmo
crear cuentas de usuarios locales, consulte la gua de inicio de PAN-OS.

Autenticacin externa

Las funciones de autenticacin de usuarios se externalizan a un servicio LDAP, Kerberos o


RADIUS existente (incluyendo la compatibilidad con mecanismos de autenticacin en dos fases
basada en token, tales como la autenticacin OTP [contrasea de un solo uso]). Para habilitar la
autenticacin externa, primero debe crear un perfil de servidor que defina la configuracin de
acceso al servicio de autenticacin externa y, a continuacin, crear un perfil de autenticacin que
haga referencia al perfil de servidor. Entonces tendr que hacer referencia al perfil de autenticacin
en la configuracin del portal, la puerta de enlace o el gestor de seguridad mvil. Puede usar
diferentes perfiles de autenticacin para cada componente de GlobalProtect. Consulte un ejemplo
de configuracin en VPN de acceso remoto (Perfil de autenticacin).

Autenticacin de certificacin El portal o la puerta de enlace usan un certificado de cliente para obtener el nombre de usuario y
de cliente
autenticar al usuario antes de permitirle acceder al sistema. Con este tipo de autenticacin, debe

emitir un certificado de cliente para cada usuario final; los certificados que emita deben contener
el nombre de usuario en uno de los campos del certificado, como el campo Nombre de asunto.
Si se ha configurado el perfil del certificado en el portal de GlobalProtect, el cliente debe presentar
un certificado para conectarse. Esto significa que los certificados deben implantarse previamente
en clientes finales antes de su conexin inicial al portal.
Adems, el perfil del certificado especifica el campo del certificado del que obtener el nombre de
usuario. Si el perfil del certificado especifica Asunto en Campo nombre de usuario, el certificado
presentado por el cliente debe contener un nombre comn para poder conectarse. Si el perfil del
certificado especifica un Asunto alternativo con un Correo electrnico o Nombre principal como
Campo de nombre de usuario, el certificado presentado por el cliente debe contener los campos
correspondientes, que se usarn como nombre de usuario cuando el agente de GlobalProtect se
autentique en el portal o la puerta de enlace.
GlobalProtect tambin es compatible con una tarjeta de acceso comn (CAC) y autenticacin con
tarjetas inteligentes, que se basan en un perfil del certificado. En este caso, el perfil del certificado
debe contener el certificado de CA raz que emiti el certificado en la tarjeta inteligente/CAC.
Si usa la autenticacin de certificado de cliente, no debera configurar un certificado de cliente en
la configuracin del portal, ya que lo proporcionar el sistema del cliente cuando se conecte el
usuario final. En VPN de acceso remoto (Perfil del certificado) puede ver un ejemplo de cmo
configurar una autenticacin de certificado de cliente.

Gua del administrador de GlobalProtect

17

Configuracin de la autenticacin de usuario en GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Mtodo de autenticacin Descripcin


Autenticacin en dos fases

Puede habilitar la autenticacin en dos fases configurando tanto un perfil de certificado como un
perfil de autenticacin y aadir ambos a la configuracin de portal o puerta de enlace. Tenga en
cuenta que con la autenticacin en dos fases, el cliente deber autenticarse correctamente en
ambos mecanismos para poder acceder al sistema.
Adems, si el perfil de certificado especifica un Campo nombre de usuario desde el que obtener
el nombre de usuario del certificado, el nombre de usuario se usar automticamente para la
autenticacin en el servicio de autenticacin externo especificado en el perfil de autenticacin. Por
ejemplo, si en el perfil del certificado Campo nombre de usuario se ha definido como Asunto, el
valor en el campo de nombre comn del certificado se usar por defecto como el nombre de
usuario cuando el usuario intente autenticarse en el servidor de autenticacin. Si no quiere obligar
a los usuarios a autenticarse con un nombre de usuario desde el certificado, asegrese de que el
perfil del certificado se ha establecido en Ninguno para Campo nombre de usuario. Consulte un
ejemplo de configuracin en VPN de acceso remoto con autenticacin de dos factores.

Cmo sabe el agente qu credenciales proporcionar al portal y la puerta de enlace?


Por defecto, el agente de GlobalProtect intenta usar las mismas credenciales de inicio de sesin para la puerta de enlace
y el portal. En el caso ms sencillo, si la puerta de enlace y el portal usan el mismo perfil de autenticacin o perfil de
certificado, el agente se conectar a la puerta de enlace de forma transparente. Sin embargo, si el portal y la puerta de
enlace requieren credenciales diferentes (tales como OTP exclusivas), este comportamiento predeterminado
provocara retrasos en la conexin a la puerta de enlace porque esta no avisara al usuario para que se autenticase hasta
que hubiera intentado autenticarse sin xito mediante las credenciales proporcionadas por el agente.
Hay dos opciones para modificar el comportamiento de la autenticacin predeterminada del agente en una
configuracin basada en el cliente:

Autenticacin de cookies en el portal: El agente usa cookies cifradas para la autenticacin en el portal al
actualizar una configuracin que se ha almacenado previamente en cach (se solicitar la autenticacin del usuario
siempre que se trate de la configuracin inicial o al expirar una cookie). De este modo se simplifica el proceso de
autenticacin para usuarios finales, puesto que ya no tendrn que iniciar sesin sucesivamente tanto en el portal
como en la puerta de enlace o introducir varias OTP para autenticarse en ambas.

Deshabilitacin del reenvo de credenciales a algunas o todas las puertas de enlace: El agente no
intentar usar sus credenciales del portal para iniciar sesin en la puerta de enlace, lo que permite a la puerta de
enlace solicitar inmediatamente su propio conjunto de credenciales. Esta opcin acelera el proceso de
autenticacin cuando el portal y la puerta de enlace requieren credenciales distintas (ya se trate de OTP distintas o
credenciales de inicio de sesin completamente diferentes). Tambin puede optar por usar usar una contrasea
diferente solo para puertas de enlace manuales. Con esta opcin, el agente reenviar credenciales a puertas de
enlace automticas pero no a las manuales, lo que le permite tener la misma seguridad en sus portales y en las
puertas de enlace automticas, y al mismo tiempo solicitar una OTP como segundo factor o una contrasea
diferente para acceder a esas puertas de enlace, que permiten acceder a los recursos ms importantes de su
empresa.

18

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin de la autenticacin de usuario en GlobalProtect

Configuracin de autenticacin externa


En el siguiente flujo de trabajo se describe el modo de configurar el portal o la puerta de enlace para la autenticacin
de usuarios mediante un servicio de autenticacin existente. GlobalProtect admite la autenticacin externa mediante
LDAP, Kerberos o RADIUS.
GlobalProtect tambin es compatible con la autenticacin local. Para usar este mtodo de
autenticacin, cree una base de datos de usuarios locales que contenga los usuarios y grupos a
los que quiere permitir el acceso a la VPN (Dispositivo > Base de datos de usuario local) y
haga una referencia en el perfil de autenticacin.

Configuracin de la autenticacin de usuarios externa

Paso 1

Cree un perfil de servidor.


El perfil de servidor indica al cortafuegos
cmo conectar con un servicio de
autenticacin externo y acceder a las
credenciales de autenticacin de los
usuarios.

Nota

1.
2.
3.

4.
Si est usando LDAP para conectarse a
Active Directory (AD), debe crear un perfil
de servidor LDAP diferente para cada
dominio de AD.
5.

Seleccione Dispositivo > Perfiles de servidor y seleccione el tipo


de perfil (LDAP, Kerberos o RADIUS).
Haga clic en Aadir e introduzca un Nombre para el perfil, como
Aut-Usuarios-GP
(Solo LDAP) Seleccione el Tipo de servidor LDAP al que se est
conectando.
Haga clic en Aadir en la seccin Servidores e introduzca la
informacin requerida para el servicio de autenticacin, incluido el
Nombre, Direccin IP (o FQDN) y Puerto del servidor.
(Solo RADIUS y LDAP) Especifique la configuracin para
habilitar la autenticacin del cortafuegos en el servicio de
autenticacin del siguiente modo:
RADIUS: Introduzca el Secreto compartido al aadir la entrada
del servidor.
LDAP: Introduzca el valor de Enlazar DN y Enlazar
contrasea.

6.

(Solo LDAP y Kerberos) Especifique dnde buscar a los usuarios


en el servicio del directorio:
LDAP: DN de Base especifica el punto en el rbol del LDAP
donde empezar a buscar usuarios y grupos. Este campo debera
cumplimentarse automticamente al introducir el puerto y la
direccin del servidor. De no ser as, compruebe la ruta del
servicio al servidor LDAP.
Kerberos: Introduzca el nombre del Dominio de Kerberos.

7.

8.
Paso 2

Cree un perfil de autenticacin.

1.

El perfil de autenticacin especifica qu


perfil de servidor se usa para la autenticacin 2.
de usuarios. Puede adjuntar un perfil de
autenticacin a una configuracin de portal 3.
o puerta de enlace.
4.
5.
Paso 3

Guarde la configuracin.

Gua del administrador de GlobalProtect

Especifique el nombre del Dominio (sin puntos, por ejemplo acme,


no acme.com). Este valor se aadir al nombre de usuario en la
direccin IP para las asignaciones de usuarios a los ID de usuario.
Haga clic en Aceptar para guardar el perfil de servidor.
Seleccione Dispositivo > Perfil de autenticacin y haga clic en
Aadir un nuevo perfil.
Introduzca un Nombre para el perfil y, a continuacin, seleccione
el tipo de Autenticacin (LDAP, Kerberos o RADIUS).
Seleccione el Perfil de servidor que cre en el Paso 1.
(LDAP AD) Introduzca sAMAccountName como el Atributo de
inicio de sesin.
Haga clic en ACEPTAR.

Haga clic en Compilar.


19

Configuracin de la autenticacin de usuario en GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin de la autenticacin de certificado de cliente


Con la autenticacin de certificado del cliente, el agente / aplicacin debe presentar un certificado de cliente
para conectarse al portal o puerta de enlace de GlobalProtect.
Configuracin de la autenticacin de certificado de cliente

Paso 1

Emita certificados de cliente para


mquinas/usuarios de GlobalProtect.
El mtodo de emisin de certificados de
cliente depende del modo en que est
usando la autenticacin de clientes:
Para autenticar usuarios
individuales: Debe emitir un
certificado de cliente exclusivo para
cada usuario de GlobalProtect e
implementarlos en los sistemas del
cliente antes de habilitar
GlobalProtect.
Para validar que el sistema del
cliente pertenece a su organizacin:
Use su propia infraestructura de clave
pblica (PKI) para emitir y distribuir
certificados de mquina a cada sistema
de cliente (recomendado) o genere un
certificado de mquina autofirmado
para su exportacin. Es un requisito
anterior al inicio de sesin. Esta opcin
requiere que configure adems un
perfil de autenticacin para autenticar
al usuario. Consulte Autenticacin en
dos fases.
Para validar que un usuario
pertenece a su organizacin: En este
caso, puede usar un nico certificado
de cliente para todos los agentes, o bien
generar certificados separados para
implementarlos con una configuracin
de cliente en particular. Use el
procedimiento de este paso para emitir
certificados de cliente autofirmados
para tal fin.

20

Para emitir certificados exclusivos para clientes o mquinas


individuales, use su CA de empresa o una CA pblica. Sin embargo,
si quiere usar certificados de cliente para validar que el usuario
pertenece a su organizacin, genere un certificado de cliente
autofirmado como se especifica a continuacin:
1. Cree el certificado de CA raz para la emisin de certificados
autofirmados de los componentes de GlobalProtect.
2.

Seleccione Dispositivo > Gestin de certificados > Certificados >


Certificados de dispositivos y, a continuacin, haga clic en
Generar.

3.

Introduzca un nombre de certificado. El nombre de certificado


no puede puede contener espacios.

4.

En el campo Nombre comn, introduzca un nombre para


identificar este certificado como certificado de agente; por
ejemplo, Clientes_Windows_GP. Dado que este mismo certificado
se implementar a todos los agentes usando la misma
configuracin, no es necesario identificar de forma exclusiva
usuarios finales o sistemas especficos.

5.

(Opcional) En la seccin Atributos del certificado, haga clic en


Aadir y defina los atributos que identifican a los clientes de

Global Protect como pertenecientes a su organizacin si forma


parte de sus requisitos de seguridad.
6.

En el campo Firmado por, seleccione su CA raz.

7.

Haga clic en Aceptar para generar el certificado.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin de la autenticacin de usuario en GlobalProtect

Configuracin de la autenticacin de certificado de cliente (Continuacin)

Paso 2

Instale certificados en el almacn de


certificados personales de los sistemas
cliente.
Si est usando certificados de usuario o
certificados de mquina exclusivos, cada
certificado debe instalarse en el almacn
de certificados personales del sistema
cliente antes de la primera conexin al
portal / puerta de enlace. Instale
certificados de mquina en el almacn de
certificados del equipo local en Windows
y en el llavero del sistema de Mac OS.
Instale certificados de usuario en el almacn
de certificados del usuario actual en
Windows y en el llavero personal de
Mac OS.

Gua del administrador de GlobalProtect

Por ejemplo, para instalar un certificado en un sistema Windows usando


Microsoft Management Console:
1. Desde la lnea de comandos, introduzca mmc para iniciar la consola.
2. Seleccione Archivo > Agregar o quitar complemento.
3. Seleccione Certificados, haga clic en Agregar y, a continuacin,
seleccione una de las siguientes opciones, dependiendo del
certificado que est importando:
Cuenta de equipo: Seleccione esta opcin si est importando
un certificado de mquina.
Mi cuenta de usuario: Seleccione esta opcin si est
importando un certificado de usuario.

4.

Expanda Certificados y seleccione Personal. A continuacin,


en la columna Acciones seleccione Personal > Acciones
adicionales > Todas las tareas > Importar y siga los pasos del
Asistente para importacin de certificados para importar el archivo
PKCS que ha obtenido de la CA.

5.

Desplcese hasta el archivo de certificado .p12 para importar


(seleccione Intercambio de informacin personal como el tipo
de archivo que busca) e introduzca la contrasea que us para
cifrar la clave privada. Seleccione Personal como el almacn de
certificados.

21

Configuracin de la autenticacin de usuario en GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin de la autenticacin de certificado de cliente (Continuacin)

(Continuacin del Paso 2)

6.

Compruebe que se ha aadido el certificado al almacn de


certificados personales:

Paso 3

1.

Descargue el certificado de CA raz usado para emitir los


certificados de clientes (formato Base64).

2.

Importe el certificado de CA raz desde la CA que gener los


certificados de cliente al cortafuegos:

Importe el certificado de CA raz usado


para emitir los certificados de clientes
desde el cortafuegos.
Este paso solo es necesario si los
certificados de clientes fueron emitidos
por una CA externa, como una CA
pblica o una CA PKI de empresa.
Si usa certificados autofirmados, el
portal / puerta de enlace ya confa en
la CA raz.

a. Seleccione Dispositivo > Gestin de certificados >


Certificados > Certificados de dispositivos y haga clic en
Importar.
b. Introduzca un Nombre de certificado que identifique al
certificado como su certificado de CA de cliente.
c. Desplcese hasta el archivo del certificado que descarg
de la CA.
d. Seleccione Certificado codificado en Base64 (PEM) como
Formato de archivo y, a continuacin, haga clic en Aceptar.
e. Seleccione el certificado que acaba de importar en la pestaa
Certificados de dispositivos para abrirlo.
f. Seleccione CA raz de confianza y, a continuacin, haga clic
en Aceptar.
1.

Paso 4

Cree un perfil de certificado de cliente.

Nota

Si est configurando el portal o puerta de


enlace con autenticacin en dos fases, se
usar como nombre de usuario el nombre 2.
de usuario del certificado de cliente
cuando se autentique al usuario en su
servicio de autenticacin externo. De este 3.
modo se garantiza que el usuario que se
est registrando es en realidad el usuario
para el que se emiti el certificado.

Paso 5

22

Guarde la configuracin.

Seleccione Dispositivo > Certificados > Gestin de


certificados > Perfil del certificado, haga clic en Aadir e
introduzca un Nombre de perfil.
Seleccione un valor para el Campo de nombre de usuario para
especificar qu campo en el certificado contendr la
informacin de identidad del usuario.
En el campo Certificados de CA, haga clic en Aadir, seleccione
el certificado de CA raz de confianza que import en el Paso 3
y, a continuacin, haga clic en ACEPTAR.

Haga clic en Confirmar.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin de la autenticacin de usuario en GlobalProtect

Configuracin de la autenticacin en dos fases


Si necesita una autenticacin slida para proteger sus recursos ms importantes o para cumplir con requisitos
normativos, como PCI, SDX o HIPAA, configure GlobalProtect para usar un servicio de autenticacin que use
un esquema de autenticacin en dos fases como contraseas de un solo uso (OTP), tokens, tarjetas inteligentes
o una combinacin de autenticacin externa y autenticacin de certificado de cliente. Un esquema de
autenticacin en dos fases requiere dos elementos: algo que conozca el usuario final (como un PIN o una
contrasea) y algo que el usuario tenga (hardware o de token/OTP, tarjeta inteligente o certificado).
Las siguientes secciones ofrecen ejemplos de cmo configurar una autenticacin en dos fases en GlobalProtect:

Habilitacin de la autenticacin en dos fases

Habilitacin de la autenticacin en dos fases mediante contraseas de un solo uso (OTP)

Habilitacin de autenticacin en dos fases mediante tarjetas inteligentes

Habilitacin de la autenticacin en dos fases


El siguiente flujo de trabajo muestra cmo configurar la autenticacin de clientes de GlobalProtect que requiere
que el usuario se autentique tanto con un perfil de certificado como con un perfil de autenticacin. El usuario
debe autenticarse correctamente usando ambos mtodos para poder conectarse al portal/puerta de enlace. Si
desea informacin ms detallada sobre esta configuracin, consulte VPN de acceso remoto con autenticacin
de dos factores.

Gua del administrador de GlobalProtect

23

Configuracin de la autenticacin de usuario en GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Habilitacin de la autenticacin en dos fases

Paso 1

1.

Seleccione Dispositivo > Perfiles de servidor y seleccione el


tipo de perfil (LDAP, Kerberos o RADIUS).

2.

Haga clic en Aadir e introduzca un Nombre para el perfil,


como Aut-Usuarios-GP.

3.

(Solo LDAP) Seleccione el Tipo de servidor LDAP al que se


est conectando.

4.
Si est usando LDAP para conectarse a
Active Directory (AD), debe crear un perfil
de servidor LDAP diferente para cada
dominio de AD.
5.

Haga clic en Aadir en la seccin Servidores e introduzca la


informacin requerida para el servicio de autenticacin,
incluido el Nombre, Direccin IP (o FQDN) y Puerto del
servidor.

Cree un perfil de servidor.


El perfil de servidor indica al cortafuegos
cmo conectar con un servicio de
autenticacin externo y acceder a las
credenciales de autenticacin de los
usuarios.

Nota

(Solo RADIUS y LDAP) Especifique la configuracin para


habilitar la autenticacin del cortafuegos en el servicio de
autenticacin del siguiente modo:
RADIUS: Introduzca el Secreto compartido al aadir la
entrada del servidor.
LDAP: Introduzca el valor de Enlazar DN y Enlazar
contrasea.

6.

(Solo LDAP y Kerberos) Especifique dnde buscar a los


usuarios en el servicio del directorio:
LDAP: DN de Base especifica el punto en el rbol del
LDAP donde empezar a buscar usuarios y grupos. Este
campo debera cumplimentarse automticamente al
introducir el puerto y la direccin del servidor. De no ser
as, compruebe la ruta del servicio al servidor LDAP.
Kerberos: Introduzca el nombre del Dominio de Kerberos.

Paso 2

Cree un perfil de autenticacin.


El perfil de autenticacin especifica
qu perfil de servidor se usa para la
autenticacin de usuarios. Puede
adjuntar un perfil de autenticacin a
una configuracin de portal o puerta
de enlace.

7.

Especifique el nombre del Dominio (sin puntos, por


ejemploacme, no acme.com). Este valor se aadir al nombre
de usuario en la direccin IP para las asignaciones de usuarios
a los ID de usuario.

8.

Haga clic en Aceptar para guardar el perfil de servidor.

1.

Seleccione Dispositivo > Perfil de autenticacin y haga clic


en Aadir un nuevo perfil.

2.

Introduzca un Nombre para el perfil y, a continuacin,


seleccione el tipo de Autenticacin (LDAP, Kerberos o
RADIUS).

3.

Seleccione el Perfil de servidor que cre en el Paso 1.

4.

(LDAP AD) Introduzca sAMAccountName como Atributo


de inicio de sesin.

5.

24

Haga clic en ACEPTAR.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin de la autenticacin de usuario en GlobalProtect

(Continuacin) Habilitacin de la autenticacin en dos fases

1.

Paso 3

Cree un perfil de certificado de cliente.

Nota

Si est configurando el portal o puerta de


enlace con autenticacin en dos fases, si el
cliente contiene un campo de nombre de 2.
usuario, el valor del nombre de usuario se
usar como nombre de usuario cuando se
autentique al usuario en su servicio de
autenticacin externo. De este modo se
garantiza que el usuario que se est
registrando es en realidad el usuario para el
que se emiti el certificado.

3.

Paso 4

(Opcional) Emita certificados de cliente


1.
para mquinas/usuarios de GlobalProtect.
2.

Paso 5

Seleccione Dispositivo > Certificados > Gestin de


certificados > Perfil del certificado, haga clic en Aadir e
introduzca un Nombre de perfil.
Seleccione un valor para el Campo de nombre de usuario:
Si est implementando un certificado de cliente desde el
portal, deje este campo definido como Ninguno.
Si est configurando un perfil de certificado para usarlo
antes del inicio de sesin, deje este campo definido como
Ninguno.
Si est usando el certificado de cliente para la autenticacin
de usuarios individuales (incluyendo usuarios de tarjetas
inteligentes), seleccione el campo del certificado que
contendr la informacin de identidad del usuario.
En el campo Certificados de CA, haga clic en Aadir,
seleccione el certificado de CA raz de confianza que import
en el Paso 3 y, a continuacin, haga clic en ACEPTAR.
Utilice su PKI empresarial o CA pblica para emitir un
certificado de cliente nico para cada usuario de
GlobalProtect.
Instale certificados en el almacn de certificados personales de
los sistemas cliente.

Guarde la configuracin de GlobalProtect. Haga clic en Confirmar.

Habilitacin de la autenticacin en dos fases mediante contraseas de un solo uso (OTP)


En el cortafuegos, el proceso de configuracin del acceso al servicio de autenticacin en dos fases es parecido
al de configuracin de cualquier otro tipo de autenticacin: cree un perfil de servidor (normalmente en un
servidor RADIUS), aada el perfil de servidor a un perfil de autenticacin y, a continuacin, haga referencia a
ese perfil de autenticacin en la configuracin del dispositivo que llevar a cabo la autenticacin: en este caso,
el portal o la puerta de enlace de GlobalProtect.
Por defecto, el agente proporcionar las mismas credenciales usadas para el inicio de sesin en el portal y la
puerta de enlace. En el caso de la autenticacin OTP, este comportamiento har que la autenticacin falle
inicialmente en la puerta de enlace y, debido al retraso que esto ocasiona en la solicitud de inicio de sesin al
usuario, la OTP del usuario puede caducar. Para evitar esto, el portal permite la modificacin de este
comportamiento mediante una configuracin para cada cliente, ya sea permitiendo al portal la autenticacin
usando una cookie cifrada o evitando que el agente use con la puerta de enlace las mismas credenciales que us
para el portal. Ambas opciones resuelven el problema habilitando a la puerta de enlace para que pueda solicitar
las credenciales apropiadas inmediatamente.

Gua del administrador de GlobalProtect

25

Configuracin de la autenticacin de usuario en GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Habilitacin de la compatibilidad con OTP

Paso 1

Configure su servidor RADIUS para que Puede consultar instrucciones especficas en su servidor RADIUS.
En la mayora de los casos, necesitar configurar un agente de
interaccione con el cortafuegos.
autenticacin y una configuracin de cliente en el servidor RADIUS
Este procedimiento da por hecho que
para habilitar la comunicacin entre el cortafuegos y el servidor
su servicio RADIUS ya est configurado
RADIUS. Tambin deber definir el secreto compartido usado para
para OTP o token y que los usuarios ya
cifrar las sesiones entre el cortafuegos y el servidor RADIUS.
han implementado los dispositivos
necesarios (como tokens de hardware).

Paso 2

En el cortafuegos que actuar como su


puerta de enlace o portal, cree un perfil
de servidor RADIUS.

1.

Seleccione Dispositivo > Perfiles de servidor > RADIUS, haga


clic en Aadir e introduzca un Nombre para el perfil.

2.

Introduzca el nombre del Dominio de RADIUS.

Recomendacin:

3.

Para aadir una entrada de servidor RADIUS, haga clic en


Aadir en la seccin Servidores y, a continuacin, introduzca la

Cuando cree el perfil de servidor


RADIUS, introduzca siempre un nombre
de dominio, ya que este valor servir de
dominio predeterminado para la
asignacin de ID de usuario si los usuarios
no proporcionan uno al iniciar sesin.

siguiente informacin:
Un nombre descriptivo para identificar este Servidor
RADIUS
La Direccin IP del servidor RADIUS
El Secreto compartido usado para cifrar sesiones entre el
cortafuegos y el servidor RADIUS
El nmero de Puerto desde el que el servidor RADIUS
escuchar las solicitudes de autenticacin (por defecto, 1812)

Paso 3

Cree un perfil de autenticacin.

4.

Haga clic en Aceptar para guardar el perfil.

1.

Seleccione Dispositivo > Perfiles de autenticacin, haga clic en


Aadir e introduzca un Nombre para el perfil. El nombre del
perfil de autenticacin no puede contener espacios.

Paso 4

Asigne el perfil de autenticacin


a la puerta de enlace o portal de
GlobalProtect.

2.

Seleccione RADIUS en el men desplegable Autenticacin.

3.

Seleccione el Perfil de servidor que ha creado para acceder a su


servidor RADIUS.

4.

Haga clic en ACEPTAR para guardar el perfil de autenticacin.

1.

Seleccione Red > GlobalProtect > Puertas de enlace o


Portales y seleccione la configuracin (o aada una).

2.

En la pestaa General (en la puerta de enlace) o Configuracin


portal (en el portal), seleccione el Perfil de autenticacin que

Esta seccin solo describe cmo


aadir el perfil de autenticacin a la
puerta de enlace o perfil de configuracin. 3.
Para obtener informacin sobre la
configuracin de estos componentes,
consulte Configuracin de las puertas de 4.
enlace de GlobalProtect y Configuracin
del portal de GlobalProtect.

26

acaba de crear.
Introduzca un Mensaje de autenticacin para guiar a los
usuarios en cuanto a las credenciales de autenticacin que
deben usar.
Haga clic en ACEPTAR para guardar la configuracin.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin de la autenticacin de usuario en GlobalProtect

Habilitacin de la compatibilidad con OTP (Continuacin)

Paso 5

(Opcional) Modifique el comportamiento 1.


de autenticacin predeterminada en el
portal.
2.
Esta seccin solo describe cmo
modificar el comportamiento de
autenticacin del portal. Si desea
informacin ms detallada, consulte
Definicin de las configuraciones de
clientes.

3.

Seleccione Red > GlobalProtect > Puertas de enlace o


Portales y seleccione la configuracin (o aada una).
Seleccione la pestaa Configuracin clientes y, a continuacin,
seleccione o aada una configuracin de cliente.
En la pestaa General, seleccione uno de los siguientes valores
del campo Modificador de autenticacin:
Autenticacin de cookies para actualizacin de
configuracin: Permite al portal usar una cookie cifrada para
la autenticacin de usuarios, de modo que no tengan que
introducir mltiples OTP o credenciales.
Contrasea diferente para puerta de enlace externa:
Evita que el agente reenve a la puerta de enlace las
credenciales de usuario que us para la autenticacin en el
portal con el fin de evitar fallos de autenticacin OTP.

4.

Haga clic en ACEPTAR dos veces para guardar la configuracin.

Paso 6

Guarde la configuracin.

Haga clic en Confirmar.

Paso 7

Verifique la configuracin.

Desde un sistema cliente que ejecute el agente de GlobalProtect, trate de


conectarse a una puerta de enlace o portal en el que haya habilitado la
autenticacin. Debera ver dos mensajes parecidos a estos:

En este paso se da por hecho que ya tiene


configurada la puerta de enlace y el portal.
El primero le solicitar un PIN (ya sea generado por el usuario o por el
Para obtener informacin sobre la
sistema):
configuracin de estos componentes,
consulte Configuracin de las puertas de
enlace de GlobalProtect y Configuracin
del portal de GlobalProtect.

El segundo le solicitar un token u OTP:

Gua del administrador de GlobalProtect

27

Configuracin de la autenticacin de usuario en GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Habilitacin de autenticacin en dos fases mediante tarjetas inteligentes


Si quiere habilitar a sus usuarios finales para que se autentiquen usando una tarjeta inteligente o una tarjeta de
acceso comn (CAC), debe importar desde el portal o la puerta de enlace el certificado de CA raz que emiti
los certificados contenidos en las tarjetas inteligentes / CAC del usuario final. Puede crear un perfil de
certificado que incluya esa CA raz y la aplique a sus configuraciones de portal o puerta de enlace para habilitar
el uso de tarjetas inteligentes en el proceso de autenticacin.
Habilitacin de autenticacin con tarjetas inteligentes

Paso 1

Configure su infraestructura para tarjetas


inteligentes
Este procedimiento da por hecho que ha
facilitado tarjetas inteligentes y lectores de
tarjetas inteligentes a sus usuarios finales.

Paso 2

Importe el certificado de la CA raz que


emiti los certificados contenidos en las
tarjetas inteligentes de los usuarios finales.

Puede consultar instrucciones especficas en la documentacin del


software del proveedor de autenticacin de usuarios. En la mayora de
los casos, la configuracin de la infraestructura para tarjetas inteligentes
requiere la generacin de certificados para los usuarios finales y los
servidores que participan en el sistema, que en este caso son los portales
o puertas de enlace de GlobalProtect. Todos los certificados para
usuarios finales y el portal o la puerta de enlace deben haber sido
emitidos por la misma CA raz.
Asegrese de que se puede acceder a los archivos de clave y certificado
desde su sistema de gestin y de que tiene la frase de contrasea para
descifrar la clave privada. A continuacin, siga estos pasos:
1. Seleccione Configuracin > Gestin de certificados >
Certificados > Certificados de dispositivos.
2.

Haga clic en Importar e introduzca un nombre de certificado.

3.

Introduzca la ruta y el nombre en el Archivo de certificado que


recibi de la CA o seleccione Examinar para buscar el archivo.

4.

Seleccione Clave privada cifrada y certificado (PKCS12) como


Formato de archivo.

5.

Seleccione la casilla de verificacin Importar clave privada.

6.

Introduzca la ruta y el nombre en el archivo PKCS#12, en el campo


Archivo de clave o seleccione Examinar para encontrarla.

7.

Paso 3

Cree el perfil de certificado.

Nota

Consulte la ayuda en lnea para obtener


detalles de otros campos de perfil de
certificado, como si debe usar CRL
u OCSP.

Vuelva a introducir la frase de contrasea que se us para cifrar


la clave privada y despus haga clic en ACEPTAR para importar el
certificado y la clave.

Cree el perfil de certificado en cada portal o puerta de enlace en la que


pretenda usar autenticacin con tarjetas inteligentes o CAC:
1. Seleccione Dispositivo > Certificados > Gestin de
certificados > Perfil del certificado, haga clic en Aadir e
introduzca un Nombre de perfil.
2.

Asegrese de definir el Campo de nombre de usuario como


Ninguno.

28

3.

En el campo Certificados de CA, haga clic en Aadir, seleccione


el certificado de CA raz de confianza que import en el Paso 2 y,
a continuacin, haga clic en ACEPTAR.

4.

Haga clic en ACEPTAR para guardar el perfil del certificado.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin de la autenticacin de usuario en GlobalProtect

Habilitacin de autenticacin con tarjetas inteligentes (Continuacin)

Paso 4

Asigne el perfil del certificado a la puerta de 1.


enlace o portal de GlobalProtect.
Esta seccin solo describe cmo aadir el
perfil del certificado a la puerta de enlace 2.
o perfil de configuracin. Para obtener
informacin sobre la configuracin
de estos componentes, consulte
3.
Configuracin de las puertas de enlace de
GlobalProtect y Configuracin del portal 4.
de GlobalProtect.

Seleccione Red > GlobalProtect > Puertas de enlace o


Portales y seleccione la configuracin (o haga clic en Aadir
para aadir una).
En la pestaa General (en la puerta de enlace) o Configuracin
portal (en el portal), seleccione el Perfil del certificado que
acaba de crear.
Introduzca un Mensaje de autenticacin para guiar a los usuarios
en cuanto a las credenciales de autenticacin que deben usar.
Haga clic en ACEPTAR para guardar la configuracin.

Paso 5

Guarde la configuracin.

Haga clic en Confirmar.

Paso 6

Verifique la configuracin.

Desde un sistema cliente que ejecute el agente de GlobalProtect, trate de


conectarse a una puerta de enlace o portal en el que haya configurado la
autenticacin con tarjetas inteligentes. Cuando se le indique, inserte su
tarjeta inteligente y compruebe que puede autenticarse correctamente en
GlobalProtect.

Gua del administrador de GlobalProtect

29

Habilitacin de la asignacin de grupo

Configuracin de la infraestructura de GlobalProtect

Habilitacin de la asignacin de grupo


Dado que el agente o la aplicacin que se ejecuta en los sistemas de sus usuarios finales requieren la autenticacin
correcta del usuario antes de tener acceso a GlobalProtect, se conoce la identidad de cada usuario de GlobalProtect.
Sin embargo, si quiere tener la capacidad de definir configuraciones de GlobalProtect o polticas de seguridad basadas
en la pertenencia a grupos, el cortafuegos debe recuperar la lista de grupos y la correspondiente lista de miembros de
su servidor de directorios. Esto recibe el nombre de asignacin de grupos.
Para habilitar esta funcin, debe crear un perfil de servidor LDAP que indique al cortafuegos cmo conectarse al
servidor de directorios y autenticarlo, as como el modo de buscar en el directorio la informacin de usuarios y grupos.
Cuando el cortafuegos se haya conectado correctamente al servidor LDAP y haya recuperado las asignaciones de
grupos, ser capaz de seleccionar grupos al definir las configuraciones de clientes y las polticas de seguridad. El
cortafuegos admite una variedad de servidores de directorio LDAP, incluidos Microsoft Active Directory (AD),
Novell eDirectory y Sun ONE Directory Server.
Utilice el siguiente procedimiento para conectarse a su directorio LDAP y as permitir que el cortafuegos recupere
informacin de asignacin de usuario a grupo:

30

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Habilitacin de la asignacin de grupo

Asignacin de usuarios a grupos

Paso 1

Cree un perfil de servidor LDAP que especifique cmo conectarse a los servidores de directorio a los que
debera conectarse el cortafuegos para obtener informacin de asignacin de grupos:
1. Seleccione Dispositivo > Perfiles de servidor > LDAP.
2. Haga clic en Aadir y, a continuacin, introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el men desplegable Ubicacin.
4. Haga clic en Aadir para aadir una nueva entrada de servidor LDAP y, a continuacin, introduzca un
nombre de Servidor para identificar al servidor (de 1 a 31 caracteres) y el nmero de Direccin IP y Puerto
que debera utilizar el cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP;
636 para LDAP sobre SSL). Puede aadir hasta cuatro servidores LDAP al perfil; sin embargo, todos los
servidores que aada a un perfil debern ser del mismo tipo. Para la redundancia, debera aadir como mnimo
dos servidores.
5. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor
que introduzca aqu depender de su implementacin:
Si est utilizando Active Directory, deber introducir el nombre de dominio NetBIOS; NO el FQDN
(por ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios
dominios, deber crear perfiles de servidor separados para cada dominio. Aunque el nombre de dominio
se puede determinar automticamente, la prctica recomendada es introducir el nombre de dominio
siempre que sea posible.
Si est utilizando un servidor de catlogo global, deje este campo en blanco.
6. Seleccione el Tipo de servidor LDAP al que se est conectando. Los valores de asignacin de grupos se
cumplimentarn automticamente segn su seleccin. Sin embargo, si ha personalizado su esquema, puede
que tenga que modificar los ajustes predeterminados.
7. En el campo Base, especifique el punto donde desee que el cortafuegos comience su bsqueda de
informacin de usuarios y grupos dentro del rbol de LDAP.
8. Introduzca las credenciales de autenticacin para el enlace con el rbol de LDAP en los campos Enlazar DN,
Enlazar contrasea y Confirmar contrasea de enlace. El valor de Enlazar DN puede tener el formato
Nombre principal del usuario (UPN)
(p. ej., administrador@acme.local) o puede ser un nombre de LDAP completo
(p. ej., cn=administrador,cn=usuarios,dc=acme,dc=local).
9. Si desea que el cortafuegos se comunique con los servidores LDAP a travs de una conexin segura,
seleccione la casilla de verificacin SSL. Si habilita SSL, asegrese de que tambin ha especificado el nmero
de puerto adecuado.

Gua del administrador de GlobalProtect

31

Habilitacin de la asignacin de grupo

Configuracin de la infraestructura de GlobalProtect

Asignacin de usuarios a grupos (Continuacin)

Paso 2

Aada el perfil de servidor LDAP a la configuracin de asignacin de grupos de User-ID.


1. Seleccione Dispositivo > Identificacin de
usuarios > Configuracin de asignacin de
grupo y haga clic en Aadir.

2. Introduzca un Nombre para la configuracin.


3. Seleccione el Perfil de servidor que cre en el
Paso 1.
4. Asegrese de que la casilla de verificacin
Habilitado est seleccionada.
5. (Opcional) Si desea limitar los grupos que se
muestran en la poltica de seguridad,
seleccione la pestaa Lista de inclusin de
grupos y, a continuacin, examine el rbol de
LDAP para localizar los grupos que desea
poder utilizar en la poltica. En el caso de cada
grupo que desee incluir, seleccinelo en la lista
Grupos disponibles y haga clic en el icono de adicin para moverlo a la lista Grupos incluidos. Repita este
paso para cada grupo que desee poder utilizar en sus polticas.
6. Haga clic en ACEPTAR para guardar la configuracin.
Paso 3

32

Guarde la configuracin.

Haga clic en Confirmar.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin de las puertas de enlace de GlobalProtect

Configuracin de las puertas de enlace de GlobalProtect


Puesto que la configuracin de GlobalProtect que el portal entrega a los agentes incluye la lista de puertas de
enlace a las que puede conectarse el cliente, es recomendable configurar las puertas de enlace antes de configurar
el portal.
La puerta de enlace se puede configurar para que ofrezca dos funciones principales:

Aplicar polticas de seguridad para los agentes y aplicaciones de GlobalProtect que se conectan e ella.
Tambin puede habilitar la recopilacin HIP en la puerta de enlace para mejorar la granularidad de la poltica
de seguridad. Para obtener ms informacin sobre la habilitacin de comprobaciones HIP, consulte Uso de
informacin del host en la aplicacin de polticas.

Ofrece acceso a su red interna a travs de una red privada virtual (VPN). El acceso VPN se proporciona a
travs de tnel SSL o IPSec entre el cliente y una interfaz de tnel en el cortafuegos de la puerta de enlace.

Tareas previamente necesarias


Antes de poder configurar la puerta de enlace de GlobalProtect, debe haber realizado las tareas siguientes:

Crear las interfaces (y zonas) para la interfaz donde pretende configurar cada puerta de enlace. Para las
puertas de enlace que requieren conexiones de tnel, debe configurar tanto la interfaz fsica como la
interfaz de tnel virtual. Consulte Creacin de interfaces y zonas para GlobalProtect.

Configurar los certificados de servidor de puerta de enlace requeridos por el agente de GlobalProtect para
establecer una conexin SSL con la puerta de enlace. Consulte Habilitacin de SSL entre componentes de
GlobalProtect.

Definir los perfiles de autenticacin o perfiles del certificado que servirn para la autenticacin de usuarios
de GlobalProtect. Consulte Configuracin de la autenticacin de usuario en GlobalProtect.

Configuracin de una puerta de enlace


Una vez completadas las tareas previas, configure cada puerta de enlace de GlobalProtect del siguiente modo:
Configuracin de las puertas de enlace

Paso 1

Aada una plantilla.

Gua del administrador de GlobalProtect

1.

Seleccione Red > GlobalProtect > Puertas de enlace y haga clic


en Aadir.

2.

En la pestaa General, introduzca un Nombre para la puerta de


enlace. El nombre de la puerta de enlace no puede contener
espacios y se recomienda que incluya la ubicacin u otra
informacin descriptiva que ayude a los usuarios y a otros
administradores a identificar la puerta de enlace.

3.

(Opcional) Seleccione el sistema virtual al que pertenece esta


puerta de enlace en el campo Ubicacin.

33

Configuracin de las puertas de enlace de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin de las puertas de enlace (Continuacin)

Paso 2

Especifique la informacin de red que


permita a los agentes conectarse a la
puerta de enlace.

1.

Seleccione la Interfaz que usarn los agentes para acceder a la


puerta de enlace.

Especifique cmo se autenticarn los


usuarios finales en la puerta de enlace.

Para autenticar a los usuarios mediante una base de datos de


usuarios local o un servicio de autenticacin externo, como LDAP,
Kerberos o RADIUS (incluyendo OTP), seleccione el Perfil de
autenticacin correspondiente.

2. Seleccione la Direccin IP para el servicio web de la puerta de


enlace.
Si an no ha creado la interfaz de red
para la puerta de enlace, consulte las
3. Seleccione el Certificado de servidor para la puerta de enlace en
instrucciones de Creacin de interfaces y
el men desplegable.
zonas para GlobalProtect. Si an no ha
Nota El campo de nombre comn (CN) y, si es aplicable, de
creado un certificado de servidor
nombre alternativo del asunto (SAN) del certificado deben
para la puerta de enlace, consulte
coincidir con la direccin IP o con el nombre de dominio
Implementacin de certificados de
completo (FQDN) de la interfaz donde configure la puerta
servidores en los componentes de
de enlace.
GlobalProtect.
Paso 3

Si no ha configurado an los perfiles


de autenticacin o del certificado,
consulte las instrucciones de
Configuracin de la autenticacin de
usuario en GlobalProtect.

Para proporcionar ayuda a los usuarios en lo que respecta a las


credenciales que deben facilitar, introduzca un Mensaje de
autenticacin.
Para autenticar a los usuarios basndose en un certificado de
cliente o una tarjeta inteligente, seleccione el Perfil del certificado
correspondiente.
Para usar la autenticacin en dos fases, seleccione tanto el perfil de
autenticacin como el perfil del certificado. Tenga en cuenta que el
usuario debe autenticarse correctamente en los dos mtodos para
poder acceder.

Paso 4

Nota

34

Configure los parmetros del tnel y habilite 1.


la tunelizacin.

En el cuadro de dilogo Puerta de enlace de GlobalProtect,


seleccione Configuracin clientes > Ajustes de tnel.

Los parmetros del tnel son necesarios si 2.


configura una puerta de enlace externa. Las
puertas de enlace internas se configuran de 3.
forma optativa.

Seleccione la casilla de verificacin Modo de tnel para habilitar la


tunelizacin.
Seleccione la Interfaz de tnel que defini en el Paso 2 en
Creacin de interfaces y zonas para GlobalProtect.

4. (Opcional) Seleccione Habilitar compatibilidad con X-Auth si


Si quiere forzar el uso del modo de tnel
tiene clientes finales que necesitan conectarse a la puerta de enlace
SSL-VPN, anule la seleccin de la casilla de
mediante un cliente VPN externo, como un cliente VPNC
verificacin Habilitar IPSec. Por defecto,
ejecutndose en Linux. Si habilita X-Auth, tambin debe facilitar
SSL-VPN solo se usar si el cliente no puede
el nombre del Grupo y la Contrasea de grupo si el cliente lo
establecer un tnel IPSec. La autenticacin
requiere.
extendida (X-Auth) solo es compatible con
tneles IPSec.
Nota Pese a que el acceso a X-Auth es compatible con dispositivos
iOS y Android, ofrece una funcionalidad limitada de
GlobalProtect. En su lugar, use la aplicacin de GlobalProtect
para un acceso simplificado a todo el conjunto de funciones de
seguridad que proporciona GlobalProtect en dispositivos iOS
y Android. La aplicacin de GlobalProtect para iOS puede
encontrarse en el AppStore y la aplicacin de GlobalProtect
para Android se encuentra en Google Play.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin de las puertas de enlace de GlobalProtect

Configuracin de las puertas de enlace (Continuacin)

Paso 5

Nota

1.
(Solo Modo de tnel) Configure los
ajustes de red para asignar el adaptador de
red virtual de los clientes cuando un
2.
agente establece un tnel con la puerta de
enlace.
Los ajustes de red no son necesarios en las
configuraciones de puerta de enlace
interna en modo de no tnel porque, en
este caso, los agentes usan los ajustes de
red asignados por el adaptador de red
fsico.

En el cuadro de dilogo Puerta de enlace de GlobalProtect,


seleccione Configuracin clientes > Configuracin de red.
Especifique los ajustes de la configuracin de red para clientes
siguiendo uno de estos modos:
Puede asignar manualmente el sufijo y los servidores DNS,
as como los servidores WINS completando los campos
correspondientes.
Si el cortafuegos tiene una interfaz configurada como cliente
DHCP, puede definir el Origen de herencia en esa interfaz y
el agente de GlobalProtect recibir los mismos ajustes que
haya recibido el cliente DHCP.

3.

Para especificar el Grupo de IP y usarlo para asignar direcciones


IP de clientes, haga clic en Aadir y, a continuacin, especifique
los intervalos de IP que se usarn. Es recomendable usar un
intervalo de direcciones IP diferente al asignado a los clientes
que estn conectados fsicamente a su LAN para garantizar el
enrutamiento adecuado de retorno a la puerta de enlace.

4.

Para definir a qu subredes de destino enrutar a travs del tnel,


haga clic en Aadir en el rea de Acceder a ruta y, a
continuacin, introduzca las rutas del siguiente modo:
Para enrutar todo el trfico a travs de GlobalProtect
(tunelizacin completa), introduzca 0.0.0.0/0 como la ruta de
acceso. A continuacin, necesitar usar una poltica de
seguridad para definir a qu zonas puede acceder el cliente
(incluyendo las zonas no fiables). La ventaja de la
tunelizacin completa es que le ofrece visibilidad completa
del trfico del cliente y puede garantizar la seguridad de los
clientes de acuerdo con su poltica, incluso aunque no estn
conectados fsicamente a la red LAN.
Para enrutar solo parte del trfico (trfico probablemente
destinado a su LAN) a GlobalProtect (tunelizacin dividida),
especifique las subredes de destino que debern tunelizarse.
En este caso, el trfico que no est destinado a una ruta de
acceso especfica se enrutar a travs del adaptador fsico del
cliente en lugar de hacerlo a travs del adaptador virtual (el
tnel). Tenga en cuenta que si especifica acceso a subredes
discontinuas, el adaptador virtual se asignar a un enrutador
predeterminado de 0.0.0.0/0.

Gua del administrador de GlobalProtect

35

Configuracin de las puertas de enlace de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin de las puertas de enlace (Continuacin)

Paso 6

1.
(Opcional) Defina los mensajes de
notificacin que vern los usuarios finales
cuando se aplique una regla de seguridad
2.
con un perfil de informacin de host (HIP).

En la pestaa Configuracin clientes > Notificacin HIP, haga


clic en Aadir.
Seleccione el Perfil HIP al que se aplica este mensaje en el men
desplegable.

Este paso solo se aplica si ha creado perfiles 3.


de informacin de host y los ha aadido a
sus polticas de seguridad. Para obtener
informacin sobre cmo configurar la
funcin HIP e informacin ms detallada
acerca de la creacin de mensajes de
notificacin de HIP, consulte Uso de
4.
informacin del host en la aplicacin de
polticas.

Seleccione Coincidir mensaje o Mensaje no coincidente, en


funcin de si desea mostrar el mensaje cuando se cumpla el perfil
HIP correspondiente en la poltica o no. En algunos casos, puede
que quiera crear mensajes tanto para coincidencia como para no
coincidencia, dependiendo de los objetos que compare y sus
objetivos para la poltica.

5.

Introduzca el texto de su mensaje en el cuadro de texto Plantilla y,


a continuacin, haga clic en ACEPTAR.

6.

Repita estos pasos para cada mensaje que quiera definir.

Seleccione la casilla de verificacin Habilitar y seleccione si quiere


mostrar el mensaje como Mensaje emergente o como Icono en
la barra de tareas.

Paso 7

Guarde la configuracin de puerta de


enlace.

Paso 8

(Opcional) Configure el acceso al gestor de 1.


seguridad mvil
2.

Seleccione Red > GlobalProtect > MDM y haga clic en Aadir.

Este paso es necesario si est usando el


gestor de seguridad mvil de GlobalProtect
para gestionar los dispositivos de usuario
final y est usando una aplicacin de
polticas HIP. Esta configuracin permite a
las puertas de enlace comunicarse con el
gestor de seguridad mvil para recuperar
informes HIP de los dispositivos mviles
gestionados. Si desea informacin ms
detallada, consulte Configuracin del
acceso de puerta de enlace al gestor de
seguridad mvil.

3.

(Opcional) Seleccione el sistema virtual al que pertenece este gestor


de seguridad mvil en el campo Ubicacin.

4.

Introduzca la direccin IP o FQDN de la interfaz del servidor del


gestor de seguridad mvil donde la puerta de enlace se conectar
para recuperar informes HIP.

5.

(Opcional) Defina el Puerto de conexin en el que el gestor de


seguridad mvil escuchar las solicitudes de recuperacin HIP. Este
valor debe coincidir con el valor definido en el gestor de seguridad
mvil. De manera predeterminada, este puerto es 5008, en el que
escucha el gestor de seguridad mvil de GlobalProtect.

6.

Si el gestor de seguridad mvil requiere que la puerta de enlace


presente un certificado para establecer una conexin HTTPS,
seleccione el Certificado de cliente que se usar.

7.

Si la puerta de enlace no confa en el certificado del gestor de


seguridad mvil para la interfaz a la que se conectar, haga clic en
Aadir en la seccin CA raz de confianza y seleccione o importe
el Certificado de CA raz que se us para emitir el certificado del
servidor del gestor de seguridad mvil.

8.

Haga clic en ACEPTAR para guardar los ajustes del gestor de


seguridad mvil.

Paso 9

36

Guarde la configuracin.

Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro de


dilogo de la puerta de enlace de GlobalProtect.
Introduzca un nombre para el gestor de seguridad mvil.

Compile sus cambios.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin del portal de GlobalProtect

Configuracin del portal de GlobalProtect


El portal GlobalProtect proporciona las funciones de gestin para su infraestructura de GlobalProtect. Todos
los sistemas clientes que participan en la red de GlobalProtect reciben informacin de configuracin desde el
portal, incluida informacin sobre las puertas de enlace disponibles, as como certificados cliente que pueden
ser necesarios para conectarse a las puertas de enlace. Adems, el portal controla el comportamiento y la
distribucin del software del agente de GlobalProtect para los porttiles con Mac y Windows.
El portal no distribuye la aplicacin de GlobalProtect para su uso en dispositivos mviles.
Para obtener la aplicacin de GlobalProtect para iOS, los usuarios finales deben descargarla de
App Store. Para obtener la aplicacin de GlobalProtect para Android, los usuarios finales deben
descargarla de Google Play. No obstante, las configuraciones de cliente que se implementan en
las aplicaciones mviles de los usuarios controlan las puertas de enlace a las que tienen acceso
los dispositivos mviles y si es necesario que el dispositivo mvil se inscriba en el gestor de
seguridad mvil de GlobalProtect.

Las siguientes secciones describen los procedimientos para configurar el portal:

Tareas previamente necesarias

Configuracin del acceso al portal

Definicin de las configuraciones de clientes

Personalizacin del agente de GlobalProtect

Personalizacin de las pginas de inicio de sesin de portal, bienvenida y ayuda

Tareas previamente necesarias


Antes de poder configurar el portal de GlobalProtect, debe haber realizado las tareas siguientes:

Crear las interfaces (y zonas) para la interfaz del cortafuegos donde pretende configurar cada portal.
Consulte Creacin de interfaces y zonas para GlobalProtect.

Configurar el certificado del servidor del portal, el certificado del servidor de la puerta de enlace y,
opcionalmente, cualquier certificado de cliente que se vaya a implementar a los usuarios finales para
habilitar las conexiones mutuas SSL a los servicios de GlobalProtect. Consulte Habilitacin de SSL entre
componentes de GlobalProtect.

Definir los perfiles de autenticacin o perfiles del certificado que servirn para la autenticacin de usuarios
de GlobalProtect. Consulte Configuracin de la autenticacin de usuario en GlobalProtect.

Configurar las puertas de enlace de GlobalProtect Consulte Configuracin de las puertas de enlace de
GlobalProtect.

Gua del administrador de GlobalProtect

37

Configuracin del portal de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin del acceso al portal


Una vez completadas las tareas previas, configure el portal de GlobalProtect del siguiente modo:
Configuracin del acceso al portal

Paso 1

Paso 2

Aada el portal.

Especifique la informacin de red que


permita a los agentes conectarse al portal.

1.

Seleccione Red > GlobalProtect > Portales y haga clic en Aadir.

2.

En la pestaa Configuracin portal, introduzca un Nombre para


el portal. El nombre del portal no debe contener espacios.

3.

(Opcional) Seleccione el sistema virtual al que pertenece este portal


en el campo Ubicacin.

1.

Seleccione la Interfaz que usarn los agentes para acceder al portal.

2.

Seleccione la Direccin IP para el servicio web del portal.

Si an no ha creado la interfaz de red para el 3. Seleccione el Certificado de servidor para el portal en el men
portal, consulte las instrucciones de
desplegable.
Creacin de interfaces y zonas para
Nota El campo de nombre comn (CN) y, si es aplicable, de
GlobalProtect. Si an no ha creado un
nombre alternativo del asunto (SAN) del certificado deben
certificado de servidor para la puerta de
coincidir exactamente con la direccin IP o con el nombre de
enlace ni emitido certificados de puerta de
dominio completo (FQDN) de la interfaz donde configure el
enlace, consulte Implementacin de
portal. De lo contrario, fallarn las conexiones HTTPS al
certificados de servidores en los
portal.
componentes de GlobalProtect.
Paso 3

Especifique cmo se autenticarn los


usuarios finales en el portal.
Si no ha configurado an los perfiles de
autenticacin o del certificado, consulte las
instrucciones de Configuracin de la
autenticacin de usuario en
GlobalProtect.

Para autenticar a los usuarios mediante una base de datos de usuarios


local o un servicio de autenticacin externo (incluyendo autenticacin
OTP), seleccione el Perfil de autenticacin correspondiente.
Introduzca un Mensaje de autenticacin para guiar a los usuarios en
cuanto a las credenciales de autenticacin que deben usar.
Para autenticar a los usuarios basndose en un certificado de cliente o
una tarjeta inteligente / CAC, seleccione el Perfil del certificado
correspondiente.
Para usar la autenticacin en dos fases, seleccione tanto el perfil de
autenticacin como el perfil del certificado. Tenga en cuenta que el
usuario debe autenticarse correctamente en los dos mtodos para
poder acceder.

Paso 4

38

Guarde la configuracin del portal.

1.

Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro


de dilogo de la puerta de enlace de GlobalProtect.

2.

Compile sus cambios.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin del portal de GlobalProtect

Definicin de las configuraciones de clientes


Cuando un agente o una aplicacin de GlobalProtect se conecta y se autentica correctamente en el portal de
GlobalProtect, el portal enva la configuracin de cliente de GlobalProtect al agente / aplicacin basada en la
configuracin que haya definido. Si tiene clases de usuarios distintas que necesitan distintas configuraciones,
puede crear una configuracin cliente distinta para cada uno. El portal utilizar entonces el nombre de
usuario/nombre de grupo o el sistema operativo del cliente para determinar qu configuracin cliente
implementar. Como con la evaluacin de reglas de seguridad, el portal busca una coincidencia empezando por
la parte superior de la lista. Cuando encuentra una coincidencia, proporciona la configuracin correspondiente
al agente/aplicacin.
La configuracin puede incluir lo siguiente:

Una lista de puertas de enlace a las que se puede conectar el agente o la aplicacin, que define adems si el
usuario puede establecer conexiones manuales con esas puertas de enlace.

El certificado de CA raz requerido para habilitar el agente o la aplicacin para establecer una conexin SSL
con las puertas de enlace de GlobalProtect o el gestor de seguridad mvil.

El certificado de cliente que el agente debera presentar a la puerta de enlace al conectarse. Esto solo es
necesario si se requiere autenticacin mutua entre el agente y la puerta de enlace.

La configuracin que usa el agente para determinar si est conectado a la red local y a una red externa.

Los ajustes de la configuracin del agente, como las visualizaciones del agente que los usuarios pueden ver,
si los usuarios pueden guardar sus contraseas de GlobalProtect, y si se indicar a los usuarios que actualicen
el software del agente.

Utilice el siguiente procedimiento para crear la configuracin del cliente.

Gua del administrador de GlobalProtect

39

Configuracin del portal de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Creacin de una configuracin de cliente de GlobalProtect

Paso 1

Aada el certificado de CA raz requerido 1.


para que el agente o la aplicacin
establezcan una conexin SSL con las
puertas de enlace de GlobalProtect o el
gestor de seguridad mvil. Este paso solo
es necesario si no est usando certificados
emitidos por una CA de confianza en sus 2.
puertas de enlace o gestor de seguridad
mvil. El portal implementar los
certificados de CA que aada aqu a todos
los agentes como parte de la configuracin
3.
del cliente, de modo que puedan establecer
una conexin SSL con las puertas de enlace
o el gestor de seguridad mvil.

Si sigue en el cuadro de dilogo de la puerta de enlace de


GlobalProtect, seleccione la pestaa Configuracin clientes.
Si no, seleccione Red > GlobalProtect > Portales y seleccione la
configuracin del portal en la que desea agregar una configuracin
de cliente. A continuacin, seleccione la pestaa Configuracin
clientes.
En el campo CA raz de confianza, haga clic en Aadir y, a
continuacin, seleccione el certificado de CA que se us para emitir
los certificados de servidor de la puerta de enlace. Se recomienda
usar el mismo emisor para todas las puertas de enlace.
(Opcional) Si el certificado del servidor de su gestor de seguridad
mvil no lo ha emitido una CA de confianza (es decir, no es de
confianza para los dispositivos y necesitarn conectarse para
inscribirse), haga clic en Aadir en el campo CA raz de confianza
y, a continuacin, seleccione el certificado de CA que se us para
emitir el certificado del servidor de gestor de seguridad mvil.

Nota

Paso 2

Aada una configuracin de cliente.

Si el certificado de CA raz usado para emitir los certificados


del servidor de su puerta de enlace o gestor de seguridad mvil
no est en el portal, puede importarlo ahora. Consulte
recomendaciones sobre SSL en Habilitacin de SSL entre
componentes de GlobalProtect.

En la seccin Configuracin clientes, haga clic en Aadir e introduzca


un nombre para la configuracin.

La configuracin de cliente especifica los


ajustes de configuracin de GlobalProtect Si pretende crear mltiples configuraciones, asegrese de que el nombre
que defina para cada una sea suficientemente descriptivo para
que se implementarn a los agentes o
aplicaciones que se conecten. Debe definir distinguirlas.
al menos una configuracin de cliente.
Paso 3

40

1.
Si no es necesario que el agente de
GlobalProtect establezca conexiones de
2.
tnel cuando est en la red interna, habilite
la deteccin del host interno.
3.

Seleccione la casilla de verificacin Deteccin de host interno.


Introduzca la Direccin IP de un host al que solo se tenga acceso
desde la red interna.
Introduzca el nombre de host de DNS que se corresponda con las
direcciones IP que ha introducido. Los agentes de GlobalProtect
intentarn realizar una bsqueda de DNS inversa en las direcciones
especificadas; si la bsqueda no funciona, el agente determinar que
se encuentra en la red externa e intentar establecer conexiones de
tnel con las puertas de enlace externas de su lista.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin del portal de GlobalProtect

Creacin de una configuracin de cliente de GlobalProtect (Continuacin)

Paso 4

Especifique el modo en que el agente se


conectar a GlobalProtect.

1.

a peticin: Los usuarios tendrn que iniciar el agente


manualmente para conectarse a GlobalProtect. Use este
mtodo de conexin solo para puertas de enlace externas.

Recomendaciones:
Use la opcin a peticin solo si est
usando GlobalProtect para acceder a
puertas de enlace externas a travs de
una VPN.
No use la opcin a peticin si pretende
ejecutar el agente de GlobalProtect en el
modo oculto. Consulte Personalizacin
del agente de GlobalProtect.
Para acelerar sus tiempos de conexin,
use la deteccin de host interno en las
configuraciones donde tenga SSO
habilitado.

Paso 5

Seleccione un Mtodo de conexin:

inicio de sesin de usuario: GlobalProtect se conectar


automticamente en cuanto el usuario inicie sesin en el
equipo (o dominio). Cuando se use junto con SSO (solo para
usuarios de Windows), el inicio de sesin de GlobalProtect
ser transparente para el usuario final.
anterior al inicio de sesin: Autentica al usuario final y
establece el tnel de VPN en la puerta de enlace de
GlobalProtect utilizado un certificado de mquina instalado
previamente antes de que el usuario inicie sesin en la
mquina. Esta opcin requiere que implemente certificados
de mquina en cada sistema de usuario final mediante una
solucin PKI externa. Consulte VPN de acceso remoto con
funcin anterior al inicio de sesin para obtener detalles
sobre cmo configurar esta opcin.
2.

(Configuraciones exclusivas para usuarios de Windows)


Seleccione Utilizar registro nico para que GlobalProtect
pueda usar las credenciales de inicio de sesin de Windows y as
poder autenticar automticamente al usuario cuando inicie
sesin en Active Directory.

Configure el acceso al gestor de seguridad 1.


mvil.

Introduzca la direccin IP o FQDN de la interfaz de


comprobacin de dispositivos del gestor de seguridad mvil.
El valor que introduzca aqu deber coincidir exactamente con
el valor del campo CN en el certificado del servidor del gestor
de seguridad mvil asociado a la interfaz de comprobacin de
dispositivos.

Este paso es necesario si el gestor de


seguridad mvil de GlobalProtect va a
gestionar los dispositivos mviles que usan
esta configuracin. Todos los dispositivos
se conectarn inicialmente al portal y, si el 2.
gestor de seguridad mvil est configurado
en la configuracin del cliente del portal
correspondiente, se redirigir el dispositivo
a la misma para su inscripcin. Para
obtener ms informacin, consulte
Configuracin del gestor de seguridad
mvil de GlobalProtect.

Gua del administrador de GlobalProtect

Especifique el Puerto de inscripcin en el que el gestor de


seguridad mvil escuchar las solicitudes de inscripcin. Este
valor debe coincidir con el valor definido en el gestor de
seguridad mvil (por defecto, 443). Si desea informacin ms
detallada, consulte Configuracin del gestor de seguridad mvil
para la gestin de dispositivos.

41

Configuracin del portal de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Creacin de una configuracin de cliente de GlobalProtect (Continuacin)

Paso 6

Especifique a qu usuarios desea


implementar esta configuracin. Hay dos
formas de especificar quin recibir la
configuracin: por nombre de grupo /
usuario o por el sistema operativo en el
que se ejecuta el agente.

Seleccione la pestaa Usuario/grupo de usuarios y, a continuacin,


especifique el usuario / grupos de usuarioso los sistemas operativos a los
que se aplicar esta configuracin:

Para restringir esta configuracin a un usuarios grupo especficos,


haga clic en Aadir en la seccin Usuario/grupo de usuarios de la
ventana y despus seleccione el usuario o grupo que desea que reciba
esta configuracin en la lista desplegable. Repita este paso para cada
El portal usa la configuracin
usuario/grupo que desee aadir.
Usuario/grupo de usuarios que especifique
para determinar qu configuracin se
Para restringir la configuracin a los usuarios que an no han iniciado
distribuir a los agentes de GlobalProtect
sesin en sus sistemas, seleccione anterior al inicio de sesin en el
que se conecten. Por lo tanto, si tiene
men desplegable Usuario/grupo de usuarios.
mltiples configuraciones, debe asegurarse
de ordenarlas correctamente. En cuanto el Para distribuir esta configuracin a agentes o aplicaciones que se
ejecuten en sistemas operativos especficos, haga clic en Aadir en la
portal encuentre una coincidencia,
seccin SO de la ventana y, a continuacin, seleccione el sistema
distribuir la configuracin. As, las
operativo (Android, iOS, Mac o Windows) a la que se aplicar esta
configuraciones ms especficas debern
configuracin.
preceder a las ms generales. Consulte en
Paso 11 las instrucciones sobre cmo
ordenar la lista de configuraciones de
cliente.
Nota

Antes de poder restringir la configuracin a


grupos especficos, debe asignar a los
usuarios a grupos, como se describe en
Habilitacin de la asignacin de grupo.

Paso 7

Personalice el comportamiento del agente


de GlobalProtect para los usuarios de esta
configuracin.

42

Seleccione la pestaa Agente y, a continuacin, modifique la


configuracin del agente como desee. Para obtener ms informacin
acerca de cada opcin, consulte Personalizacin del agente de
GlobalProtect.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin del portal de GlobalProtect

Creacin de una configuracin de cliente de GlobalProtect (Continuacin)

Paso 8

Especifique las puertas de enlace a las que


se podrn conectar los usuarios con esta
configuracin.

1.

En la pestaa Puertas de enlace, haga clic en Aadir en la seccin


Puertas de enlace internas o Puertas de enlace externas, en funcin
del tipo de puerta de enlace que est aadiendo.

Recomendaciones:

2.

Introduzca un Nombre descriptivo para la puerta de enlace.


El nombre que introduzca debe coincidir con el nombre que
defini al configurar la puerta de enlace y debe ser lo
suficientemente descriptivo para que los usuarios conozcan la
ubicacin de la puerta de enlace a la que estn conectados.

Si est aadiendo puertas de enlace tanto


internas como externas a la misma
configuracin, asegrese de habilitar la
deteccin de host interno. Consulte el
3.
Paso 3 en Definicin de las
configuraciones de clientes para
obtener instrucciones.
Asegrese de no usar a peticin como
mtodo de conexin si su configuracin
4.
incluye puertas de enlace internas.

Introduzca el FQDN o la direccin IP de la interfaz donde est


configurada la puerta de enlace en el campo Direccin. La
direccin que especifique debe coincidir exactamente con el
nombre comn (CN) en el certificado del servidor de la puerta
de enlace.
(Solo puertas de enlace externas) Consulte la Prioridad de la puerta
de enlace haciendo clic en el campo y seleccionando un valor:
Si solo tiene una puerta de enlace externa, puede dejar este valor
fijado en El ms alto (valor predeterminado).
Si tiene varias puertas de enlace externas, puede modificar los
valores de prioridad (desde El ms alto hasta Ms bajo) para
indicar la preferencia para este grupo de usuarios especfico al
que se aplica la configuracin. Por ejemplo, si prefiere que el
grupo de usuarios se conecte a una puerta de enlace local, debera
configurar la prioridad con un valor ms alto que el de las puertas
de enlace geogrficamente distantes. El valor de prioridad se usa
entonces para valorar el algoritmo de seleccin de la puerta de
enlace del agente.
Si no quiere que los agentes establezcan automticamente
conexiones de tnel con la puerta de enlace, seleccione Manual
nicamente. Esta configuracin es til en entornos de prueba.

5.

Paso 9

(Solo puertas de enlace externas) Seleccione la casilla de verificacin


Manual si quiere que los usuarios puedan cambiar manualmente la
puerta de enlace.

Seleccione Recopilacin de datos > Comprobaciones


(Opcional) Defina cualquier dato del
perfil de informacin de host (HIP) que
personalizadas y, a continuacin, defina los datos personalizados
quiere que el agente recopile o categoras
que quiere recopilar de los hosts que ejecutan esta configuracin de
HIP que quiere que excluya.
cliente. Si desea informacin ms detallada, consulte el Paso 2 de
Configuracin de la aplicacin de polticas basadas en HIP.
Siga este paso solamente si pretende usar
la funcin HIP y hay informacin que no Seleccione Recopilacin de datos > Excluir categoras y, a
continuacin, haga clic en Aadir para excluir categoras o
se puede recopilar mediante los objetos
proveedores especficos, aplicaciones o versiones dentro de una
HIP estndar o si hay informacin HIP
categora. Si desea informacin ms detallada, consulte el Paso 3 de
que no le interesa recopilar. Consulte Uso
Configuracin de la aplicacin de polticas basadas en HIP.
de informacin del host en la aplicacin
de polticas para obtener informacin
detallada acerca del uso de la funcin
HIP.

Gua del administrador de GlobalProtect

43

Configuracin del portal de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Creacin de una configuracin de cliente de GlobalProtect (Continuacin)

Paso 10 Guarde la configuracin del cliente.

1.

Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro


de dilogo Configuraciones.

2.

Si quiere aadir otra configuracin de cliente, repita el proceso


desde el Paso 2 hasta el Paso 10.

Paso 11 Prepare las configuraciones de cliente para Para subir una configuracin de cliente en la lista de configuraciones,
seleccinela y haga clic en Mover hacia arriba.
que la configuracin correcta se implemente
en cada agente.
Para bajar una configuracin de cliente en la lista de configuraciones,
seleccinela y haga clic en Mover hacia abajo.
Cuando se conecta un agente, el portal
comparar la informacin de origen en el
paquete con las configuraciones de cliente
que haya definido. Como con la evaluacin
de reglas de seguridad, el portal busca una
coincidencia empezando por la parte
superior de la lista. Cuando encuentra una
coincidencia, proporciona la configuracin
correspondiente al agente o aplicacin.
Paso 12 Guarde la configuracin del portal.

44

1.

Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro


de dilogo Portal de GlobalProtect.

2.

Compile sus cambios.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin del portal de GlobalProtect

Personalizacin del agente de GlobalProtect


La configuracin del cliente del portal le permite personalizar el modo en que interaccionan los usuarios finales con
los agentes de GlobalProtect instalados en sus sistemas o la aplicacin de GlobalProtect instalada en sus dispositivos
mviles. Puede definir configuraciones de agente diferentes para las distintas configuraciones cliente de GlobalProtect
que cree. Puede personalizar:

A qu mens y vistas pueden acceder los usuarios.

Si lo usuarios pueden o no guardar sus contraseas en el agente.

Si los usuarios pueden deshabilitar el agente (vlido solo para el mtodo de conexin de inicio de sesin del
usuario).

Si desea mostrar una pgina de bienvenida cuando el inicio de sesin se realice correctamente. Tambin puede
crear pginas de bienvenida y pginas de ayuda personalizadas que indiquen a sus usuarios cmo usar
GlobalProtect dentro de su entorno. Consulte Personalizacin de las pginas de inicio de sesin de portal,
bienvenida y ayuda.

Si las actualizaciones del agente se realizarn automticamente o si se les pedir a los usuarios que actualicen.
Tambin puede definir la configuracin del agente desde el registro de Windows o el archivo plist
global de Mac. Para los clientes de Windows, tambin puede definir la configuracin del agente
directamente desde el instalador de Windows (MSIEXEC). Los ajustes definidos en las
configuraciones del cliente del portal en la interfaz web siempre anulan a los ajustes definidos en
el registro de Windows/MSIEXEC o archivo plist de Mac. Si desea informacin ms detallada,
consulte Implementacin de la configuracin del agente de forma transparente.

Personalizacin del agente

Paso 1

Vaya a la ficha Agente en la


configuracin del cliente que desea
personalizar.

1.

2.

3.
Paso 2

Defina lo que pueden hacer los usuarios


finales con esta configuracin desde el
agente.

Gua del administrador de GlobalProtect

Seleccione Red > GlobalProtect > Portales y seleccione


la configuracin del portal para la que desea agrega una
configuracin de cliente (o haga clic en Aadir para aadir
una nueva configuracin).
Seleccione la pestaa Configuracin clientes y seleccione la
configuracin del cliente que desea modificar (o haga clic en
Aadir para aadir una nueva configuracin).
Seleccione la pestaa Agente.

De forma predeterminada, las funciones del agente se habilitan


completamente (lo que significa que se seleccionan todas las casillas de
verificacin). Para quitar funciones, desactive la casilla de verificacin
correspondiente para alguna o todas las opciones siguientes:
1. Si quiere que los usuarios solo puedan ver informacin bsica de
estado desde la aplicacin, desactive la casilla de verificacin
Habilitar vista avanzada. De forma predeterminada, se habilita la
vista avanzada, lo que permite a los usuarios finales ver informacin
estadstica, de host y de solucin de problemas y realizar tareas
como cambiar sus contraseas.

45

Configuracin del portal de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Personalizacin del agente (Continuacin)

Nota

Nota

La configuracin de la ficha Agente


tambin se puede configurar en el
cliente final mediante la poltica de
grupo aadiendo ajustes al registro de
Windows/archivo plist de Mac. En
sistemas Windows, tambin puede
establecerlos usando la utilidad msiexec
desde la lnea de comandos durante la
instalacin del agente. Sin embargo, la
configuracin definida en la interfaz
web o CLI anular a la configuracin
del registro/archivo plist. Consulte
Implementacin de la configuracin del
agente de forma transparente para
obtener informacin detallada.

Si desea ocultar el agente de GlobalProtect en los sistemas de


usuario final, desactive la casilla de verificacin Mostrar icono
GlobalProtect. Cuando est oculto, los usuarios no pueden
realizar otras tareas, como cambiar las contraseas, redescubrir la
red, reenviar informacin de host, ver informacin de solucin de
problemas o realizar una conexin a demanda. Sin embargo, los
mensajes de notificacin HIP, los mensajes de inicio de sesin y los
cuadros de dilogo de certificados seguirn mostrndose como
necesarios para interactuar con el usuario final.
Desactive la casilla de verificacin Permitir al usuario cambiar la
direccin del portal para deshabilitar el campo Portal en la ficha
Configuracin en el agente GlobalProtect. Como el usuario no podr
entonces especificar un portal al que conectarse, debe proporcionar la
direccin predeterminada del portal en el registro de Windows:
(HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto

Hay otra opcin disponible para especificar


Networks\GlobalProtect\PanSetup con la clave Portal) o
si el agente debe pedir al usuario final las
el archivo plist de Mac (/Library/Preferences/com.
credenciales en caso de que la SSO de
paloaltonetworks.GlobalProtect.pansetup.plist con la
Windows falle: hacerlo mediante el la lnea
clave Portal en el diccionario PanSetup). Para obtener ms
de comandos de Windows (MSIEXEC) o el
informacin, consulte Implementacin de la configuracin del
registro de Windows solo. De forma
agente de forma transparente.
predeterminada, este ajuste del registro
Si no desea que los usuarios guarden sus contraseas en el agente
(can-prompt-user-credential) se
(es decir, forzarlos a proporcionar la contrasea, ya sea de forma
establece en yes. Para modificar este
transparente mediante el cliente o introduciendo una manualmente,
comportamiento, debe cambiar el valor en el
cada vez que se conecten), desactive la casilla de verificacin Permitir
registro o, durante la instalacin del agente,
que el usuario guarde la contrasea.
mediante MSIEXEC: msiexec.exe /i
Para evitar que los usuarios realicen un redescubrimiento de red,
GlobalProtect.msi
desactive la casilla de verificacin Activar opcin para volver a
CANPROMPTUSERCREDENTIAL="no"
detectar la red.
Para obtener ms informacin, consulte
Implementacin de la configuracin del Para evitar que los usuarios reenven manualmente los datos HIP a la
puerta de enlace, desactive la casilla de verificacin Activar opcin
agente de forma transparente.
para volver a enviar perfil de host. Esta opcin est activada de
forma predeterminada y es til en aquellos casos en los que la poltica
de seguridad basada en HIP evita que los usuarios accedan a los
recursos, ya que permite al usuario arreglar los problemas de
cumplimiento en el ordenador y, a continuacin, reenviar el HIP.
Si no quiere que el agente establezca conexin con el portal en caso de
que el certificado del portal no sea vlido, desactive la casilla de
verificacin Permitir que el usuario contine si el certificado del
portal no es vlido. Tenga en cuenta que el portal solo proporciona
la configuracin del agente; no proporciona acceso de red y, por lo
tanto, la seguridad del portal es menos crtica que la seguridad a la
puerta de enlace. Sin embargo, si ha implementado un certificado de
servidor de confianza para el portal, anular la seleccin de esta opcin
puede evitar ataques de tipo Man in the middle (MITM).

46

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin del portal de GlobalProtect

Personalizacin del agente (Continuacin)

Paso 3

Especifique si desea que los usuarios


puedan desconectarse de GlobalProtect.

Para evitar que los usuarios en modo de inicio de sesin de usuario


se desconecten, seleccione deshabilitado en el men desplegable
Cancelacin del agente por el usuario.

Esto solo se aplica a configuraciones


cliente que tengan el mtodo de conexin Para permitir que los usuarios se desconecten si proporcionan un
cdigo de acceso, seleccione con cdigo de acceso en el men
(en la pestaa General) establecido en
desplegable Cancelacin del agente por el usuario y, a
user-logon. En modo de inicio de sesin
continuacin, introduzca (y confirme) el cdigo de acceso que
de usuario (user-logon), el agente se
deben proporcionar los usuarios finales.
conecta a GlobalProtect tan pronto como
el usuario inicia sesin en el sistema. Este Para permitir a los usuarios desconectarse si proporcionan un vale,
modo suele denominarse a veces siempre
seleccione con vale en el men desplegable Cancelacin del
activado, que es la razn por la cual el
agente por el usuario. En este caso, la accin de desconexin
usuario debe anular este comportamiento
activa el agente para generar un nmero de solicitud. El usuario
para poder desconectarse.
final debe comunicar en ese momento el nmero de solicitud al
administrador. Entonces, el administrador hace clic en Generar
De forma predeterminada, a los usuarios
vale en la pgina Red > GlobalProtect > Portales e introduce el
del modo de inicio de sesin de usuario se
nmero de solicitud desde el usuario final para general el vale.
les pedir que proporcionen un
A continuacin, el administrador proporciona el vale para el
comentario para poder desconectarse
usuario final, que lo introduce en el cuadro de dilogo Deshabilitar
(Cancelacin del agente por el usuario
GlobalProtect para permitir la desconexin del agente.
establecido en con comentario).
Nota

Si el icono del agente no aparece, los


usuarios no podrn desconectarse.
Consulte Paso 2 para obtener ms
detalles.

Para restringir la duracin de la desconexin del usuario,


introduzca un valor (en minutos) en el campo Tiempo de espera
a la cancelacin del agente por el usuario. Un valor de 0
(predeterminado) indica que no hay restricciones sobre la duracin
que el usuario puede permanecer desconectado.
Para limitar el nmero de veces que el usuario puede
desconectarse, introduzca un valor en el campo Cancelacin del
agente por el usuario. El valor 0 (predeterminado) indica que la
desconexin del usuario no tiene limitacin.

Gua del administrador de GlobalProtect

47

Configuracin del portal de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Personalizacin del agente (Continuacin)

Paso 4

Especifique cmo se producirn las


actualizaciones del agente de
GlobalProtect.

De forma predeterminada, el campo Actualizacin de agente se


establece para que solicite actualizar al usuario final. Para modificar
este comportamiento, seleccione una de las siguientes opciones:

Si desea controlar el momento en el que los Si quiere que las actualizaciones se produzcan sin ninguna
interaccin con el usuario, seleccione transparente.
usuarios pueden actualizarse, por ejemplo, si
desea probar una versin con un pequeo Para impedir las actualizaciones del agente, seleccione
grupo de usuarios antes de implementarla en
deshabilitar.
toda la base de usuarios, puede personalizar
el comportamiento de la actualizacin del Para permitir a los usuarios finales iniciar las actualizaciones del
agente, seleccione manual. En este caso, el usuario seleccionar la
agente por configuracin. En este caso,
opcin
Comprobar versin en el agente para determinar si hay
podra crear una configuracin que se
una
nueva
versin del agente y, a continuacin, actualizar si lo
aplique a los usuarios de su grupo de TI solo
desea.
Observe
que esta opcin no funcionar si el agente
para permitirles actualizar y probar y
GlobalProtect
est
oculto para el usuario. Consulte el Paso 2 para
deshabilitar la actualizacin en el resto
obtener
ms
detalles.
de configuraciones de usuario/grupo.
A continuacin, despus de haber probado
exhaustivamente la nueva versin, podra
modificar las configuraciones del agente
para el resto de usuarios, con el fin de
permitirles actualizar.
De forma predeterminada, la nica indicacin de que el agente se ha
conectado correctamente a GlobalProtect es un mensaje de globo
que aparece en la bandeja del sistema/barra de mens. Tambin
puede optar por mostrar una pgina de bienvenida en el navegador
Una pgina de bienvenida puede ser til
del cliente cuando el inicio de sesin se realice, de la siguiente forma:
para dirigir a los usuarios a los recursos
1. Seleccione la casilla de verificacin Mostrar pgina de
internos a los que solo pueden acceder
bienvenida.
cuando estn conectados a GlobalProtect,
2. Seleccione la pgina de bienvenida para mostrar el men
como su Intranet u otros servidores
desplegable. De forma predeterminada, hay una pgina de
internos.
bienvenida denominada predeterminada de fbrica. Sin
embargo, puede definir una o ms pginas de bienvenida
personalizadas con informacin especfica para usuarios o para
un grupo de usuarios concreto (basada en la configuracin de
portal que se implemente). Para ver informacin sobre cmo se
crean las pginas personalizadas, consulte Personalizacin de las
pginas de inicio de sesin de portal, bienvenida y ayuda.

Paso 5

Especifique si desea mostrar una pgina


de bienvenida cuando el inicio de sesin
se realice correctamente.

Paso 6

Guarde la configuracin del agente.

1.

Si ha terminado de crear la configuracin del cliente, haga clic en


ACEPTAR para cerrar el cuadro de dilogo Configuraciones.

De lo contrario, para obtener instrucciones sobre cmo


completar la configuracin del cliente, vuelva a Definicin de las
configuraciones de clientes.

48

2.

Si ha terminado de configurar el portal, haga clic en ACEPTAR


para cerrar el cuadro de dilogo Portal GlobalProtect.

3.

Cuando termine la configuracin del portal, compile los


cambios.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Configuracin del portal de GlobalProtect

Personalizacin de las pginas de inicio de sesin de portal, bienvenida y ayuda


GlobalProtect proporciona pginas de inicio de sesin, bienvenida y ayuda predeterminadas. Sin embargo,
puede crear sus propias pginas de personalizacin con su marca corporativa, polticas de uso aceptable y
enlaces a sus recursos internos de la siguiente forma:
Personalizacin de la pgina de inicio de sesin de portal

Paso 1

Paso 2

Exporte la pgina de inicio de sesin del


portal predeterminada.

Edite la pgina exportada.

1.

Seleccione Dispositivo > Pginas de respuesta.

2.

Seleccione el enlace Pgina de inicio de sesin de portal de


GlobalProtect.

3.

Seleccione la pgina predefinida Valor predeterminado y haga


clic en Exportar.

1.

Con el editor de textos de HTML que prefiera, edite la pgina.

2.

Si desea editar la imagen del logotipo que aparece, aloje la nueva


imagen del logotipo en un servidor web que sea accesible desde
los clientes de GlobalProtect remotos. Por ejemplo, edite la
siguiente lnea del HTML para indicar la nueva imagen del
logotipo:
<img src="http://cdn.slidesharecdn.com/
Acme-logo-96x96.jpg?1382722588"/>

Paso 3

Paso 4

Importe la nueva pgina de inicio de


sesin.

Configure el portal para utilizar la nueva


pgina de inicio de sesin.

Gua del administrador de GlobalProtect

3.

Guarde la imagen editada con un nuevo nombre de archivo.


Asegrese de que la pgina conserva su codificacin UTF-8.

1.

Seleccione Dispositivo > Pginas de respuesta.

2.

Seleccione el enlace Pgina de inicio de sesin de portal de


GlobalProtect.

3.

Haga clic en Importar y, a continuacin, introduzca la ruta y el


nombre de archivo en el campo Importar archivo o examine
para encontrar el archivo.

4.

(Optativo) Seleccione el sistema virtual en el que se utilizar esta


pgina de inicio de sesin desde el men desplegable Destino o
seleccione la opcin Compartido para que est disponible para
todos los sistemas virtuales.

5.

Haga clic en ACEPTAR para importar el archivo.

1.

Seleccione Red > GlobalProtect > Portales y, a continuacin,


seleccione el portal al que desea agregar la pgina de inicio de
sesin.

2.

En la pestaa Configuracin de portal, seleccione la nueva


pgina en el men desplegable de la pgina de inicio de sesin
personalizada.

3.

Haga clic en ACEPTAR para guardar la configuracin de portal.

4.

Compile sus cambios.

49

Configuracin del portal de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Personalizacin de la pgina de inicio de sesin de portal (Continuacin)

Paso 5

Compruebe que aparece la nueva pgina


de inicio de sesin.

En un navegador, vaya a la URL de su portal (no aada el


nmero de puerto :4443 al final de la URL o se le redirigir a
la interfaz web para el cortafuegos). Por ejemplo, introduzca
https://myportal en lugar de https://myportal:4443.
Aparecer la pgina de inicio de sesin del portal.

50

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Implementacin del software cliente de GlobalProtect

Implementacin del software cliente de GlobalProtect


Para poder conectar a GlobalProtect, un host final debe ejecutar el software cliente de GlobalProtect. El mtodo
de implementacin del software depende del tipo de cliente de la siguiente forma:

Hosts de Mac OS y Microsoft Windows hosts: necesitan el software del agente de GlobalProtect,
distribuido por el portal de GlobalProtect. Para habilitar el software para su distribucin, debe descargar la
versin que desea que utilicen los hosts de su red en el cortafuegos que aloja su portal de GlobalProtect y, a
continuacin, activar el software para su descarga. Para obtener instrucciones sobre cmo descargar y activar
el software del agente en el cortafuegos, consulte Implementacin del software del agente de GlobalProtect.

Dispositivos iOS y Android: necesitan la aplicacin de GlobalProtect. Como con otras aplicaciones para
dispositivos mviles, el usuario final debe descargar la aplicacin de GlobalProtect desde la AppStore de
Apple (dispositivos iOS) o desde Google Play (dispositivos Android). Descarga e instalacin de la aplicacin
mvil de GlobalProtect.

Si desea ms informacin, consulte Qu clientes son compatibles?

Implementacin del software del agente de GlobalProtect


Hay varias formas de implementar el software del agente de GlobalProtect:

Directamente desde el portal: descargue el software del agente en el cortafuegos que aloja el portal y
actvelo para que los usuarios finales puedan instalar las actualizaciones cuando se conecten al portal. Esta
opcin proporciona una flexibilidad que le permitir controlar el modo y el momento en el que los usuarios
finales recibirn actualizaciones basadas en la configuracin del cliente definida para cada usuario, grupo o
sistema operativo. Sin embargo, si dispone de un gran nmero de agentes que necesitan actualizaciones,
puede que aumente la carga de su portal. Consulte Alojamiento de actualizaciones de agente en el portal para
obtener instrucciones.

Desde un servidor web: si tiene un gran nmero de hosts que necesiten actualizar el agente de forma
simultnea, considere alojar las actualizaciones del agente en un servidor web para reducir la carga del
cortafuegos. Consulte Alojamiento de actualizaciones de agente en un servidor web para obtener
instrucciones.

De forma transparente desde la lnea de comandos: para los clientes de Windows, puede implementar
la configuracin del agente automticamente en el Windows Installer (MSIEXEC). Sin embargo, para
actualizar a una versin del agente posterior utilizando MSIEXEC, primero debe desinstalar el agente
existente. Adems, MSIEXEC permite la implementacin de la configuracin del agente directamente en los
sistemas cliente estableciendo valores en el registro de Windows o el archivo plist de Mac. Consulte
Implementacin de la configuracin del agente de forma transparente.

Con reglas de polticas de grupo: en entornos Active Directory, el agente de GlobalProtect tambin se
puede distribuir a usuarios finales, utilizando polticas de grupo de directorios activas. Las polticas de grupos
de AD permiten la modificacin automtica de la configuracin de ordenadores host de Windows y de
software. Consulte el artculo http://support.microsoft.com/kb/816102 para obtener ms informacin
sobre cmo utilizar la poltica de grupo para distribuir automticamente programas para alojar ordenadores
o usuarios.

Gua del administrador de GlobalProtect

51

Implementacin del software cliente de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Alojamiento de actualizaciones de agente en el portal


La manera ms sencilla de implementar el software del agente de GlobalProtect es descargar el paquete de
instalacin del nuevo agente en el cortafuegos que aloja su portal y, a continuacin, activar el software para
descargar los agentes que se conectan al portal. Para hacerlo de forma automtica, el cortafuegos debe tener una
ruta de servicio que le permita acceder a Actualizar servidor de Palo Alto Networks. Si el cortafuegos no tiene
acceso a Internet, puede descargar manualmente el paquete de software del agente desde el sitio de asistencia
de actualizaciones de software de Palo Alto Networks a travs de un ordenador conectado a Internet y cargarlo
manualmente en el cortafuegos.
Usted define el modo en que las actualizaciones del software del agente se implementan en las configuraciones
de cliente que define en el portal: si se producen automticamente cuando un agente se conecta a un portal, si
se indica al usuario que actualice el agente o si el usuario final puede comprobar y descargar de forma manual
una nueva versin del agente. Para obtener informacin acerca de la configuracin de cliente, consulte
Definicin de las configuraciones de clientes.
Alojamiento del agente de GlobalProtect en el portal

Paso 1

Seleccione Dispositivo > Cliente de GlobalProtect.


Inicie la interfaz web en el cortafuegos
donde se aloja el portal de GlobalProtect
y vaya a la pgina Cliente de
GlobalProtect.

Paso 2

Compruebe si hay nuevas imgenes de


software del agente.

Si el cortafuegos tiene acceso a Actualizar servidor, haga clic en


Comprobar ahora para comprobar si hay actualizaciones recientes. Si
el valor de la columna Accin es Descargar, significa que hay una
actualizacin disponible.
Si el cortafuegos no tiene acceso a Actualizar servidor, vaya al sitio de
asistencia de actualizaciones de software de Palo Alto Networks y
Descargue el archivo en su ordenador. A continuacin, regrese al
cortafuegos para Cargar manualmente el archivo.

Paso 3

Descargue la imagen de software.

Nota

Si su cortafuegos no tiene acceso a


Internet desde el puerto de gestin,
puede descargar la actualizacin del
Nota
agente desde el sitio de asistencia tcnica
de Palo Alto Networks
(https://support.paloaltonetworks.com).
Luego puede Cargar la actualizacin en
su cortafuegos y activarla haciendo clic en
Activar desde archivo.

52

Busque la versin del agente que quiere y haga clic en Descargar.


Cuando se complete la descarga del agente, el valor en la columna
Accin cambia a Activar.
Si ha cargado manualmente el software del agente como se
describe en el Paso 2, la columna Accin no se actualizar.
Vaya al siguiente paso para obtener instrucciones de cmo
activar una imagen que se ha cargado de forma manual.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Implementacin del software cliente de GlobalProtect

Alojamiento del agente de GlobalProtect en el portal (Continuacin)

Paso 4

Active la imagen de software del agente


para que los usuarios finales puedan
descargarla desde el portal.

Nota

Solo se puede activar una imagen del


software del agente a la vez. Si activa una
nueva versin, pero tiene algunos agentes
que requieren una versin previamente
activada, tendr que activar la versin
requerida de nuevo para habilitar la
descarga.

Si ha activado la imagen automticamente desde Actualizar


servidor, haga clic en Activar.
Si ha cargado la imagen en el cortafuegos de forma manual, haga
clic en Activar desde archivo y, a continuacin, seleccione el
Archivo de cliente de GlobalProtect que carg desde el men
desplegable. Haga clic en ACEPTAR para activar la imagen
seleccionada. Puede que tenga que actualizar la pantalla para que en
la versin se muestre Activado actualmente.

Alojamiento de actualizaciones de agente en un servidor web


Si tiene un gran nmero de sistemas cliente en los que necesitar instalar o actualizar el software del agente de
GlobalProtect, tal vez deba alojar las imgenes del software del agente de GlobalProtect en un servidor web
externo. As se reducir la carga en el cortafuegos cuando los usuarios se conecten para descargar el agente. Para
usar esta funcin, el cortafuegos donde se aloja el portal debe utilizar PAN-OS 4.1.7 o una versin posterior.
Alojamiento de imgenes de un agente de GlobalProtect en un servidor web

Paso 1

Descargue en el cortafuegos la versin


Siga los pasos para descargar y activar el software del agente en el
del agente de GlobalProtect que pretende cortafuegos, tal y como se describe en Alojamiento del agente de
alojar en el servidor web y actvela.
GlobalProtect en el portal.

Paso 2

Descargue la imagen del agente de


GlobalProtect que quiere alojar en su
servidor web.

Desde un navegador, vaya al sitio de actualizaciones de software de


Palo Alto Networks y descargue el archivo en su ordenador.

Debera descargar la misma imagen que


ha activado en el portal.
Paso 3

Publique los archivos en su servidor web. Cargue los archivos de imagen en su servidor web.

Paso 4

Redirija a los usuarios finales al servidor


web.

En el cortafuegos donde se aloja el portal, inicie sesin en la CLI e


introduzca los siguientes comandos del modo de operacin:
> set global-protect redirect on
> set global-protect redirect location <ruta>

donde <ruta> es la ruta a la carpeta donde se aloja la imagen, por


ejemplo https://acme/GP.
Paso 5

Compruebe la redireccin.

1.

Inicie su navegador web y vaya a la siguiente URL:


https://<portal address or name>

Por ejemplo, https://gp.acme.com.


2.

Gua del administrador de GlobalProtect

En la pgina de inicio de sesin del portal, introduzca su


nombre y contrasea de usuario y, a continuacin, haga clic en
Inicio de sesin. Tras iniciar sesin correctamente, el portal
debera redirigirle a la descarga.

53

Implementacin del software cliente de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Comprobacin de la instalacin del agente


Utilice el siguiente procedimiento para probar la instalacin del agente.
Comprobacin de la instalacin del agente

Paso 1
Nota

Paso 2

Se recomienda empezar a crear una configuracin de cliente limitada


a un grupo reducido de usuarios como, por ejemplo, administradores
del departamento de TI responsables de la administracin del
Cuando instale inicialmente el software
del agente de GlobalProtect en el sistema cortafuegos:
1. Seleccione Red > GlobalProtect > Portales y seleccione la
del cliente, el usuario final debe haber
configuracin del portal que se debe editar.
iniciado la sesin usando una cuenta con
privilegios administrativos. Las siguientes 2. Seleccione la pestaa Configuracin clientes y elija una
actualizaciones de software del agente no
configuracin existente o haga clic en Aadir para aadir una
necesitan privilegios administrativos.
nueva configuracin que se implementar en usuarios/grupo de
prueba.
Cree una configuracin de cliente para
comprobar la instalacin del agente.

Inicie sesin en el portal GlobalProtect.

3.

En la pestaa Usuario/grupo de usuarios, haga clic en Aadir


en la seccin Usuario/grupo de usuarios y, a continuacin,
seleccione el usuario o grupo que probar el agente.

4.

En la pestaa Agente, asegrese de que Actualizacin de


agente se establece en smbolo y, a continuacin, haga clic en
Aceptar para guardar la configuracin.

5.

(Opcional) Seleccione la configuracin de cliente que acaba de


crear/modificar y haga clic en Mover hacia arriba para que
quede por encima de cualquier configuracin ms genrica que
acabe de crear.

6.

Compile los cambios.

1.

Inicie su navegador web y vaya a la siguiente URL:


https://<portal address or name>

Por ejemplo, https://gp.acme.com.


2.

En la pgina de inicio de sesin del portal, introduzca su


nombre y contrasea de usuario y, a continuacin, haga clic
en Inicio de sesin.

Paso 3

Descargue el agente.

1.
2.

Haga clic en el enlace que corresponda con el sistema operativo


que est ejecutando en su ordenador para iniciar la descarga.
Cuando se le solicite ejecutar o guardar el software, haga clic en
Ejecutar.

3.

Cuando se le solicite, haga clic en Ejecutar para iniciar el


Asistente de configuracin de GlobalProtect.

Nota

54

Cuando instale inicialmente el software del agente de


GlobalProtect en el sistema del cliente, el usuario final debe
haber iniciado la sesin usando una cuenta con privilegios
administrativos. Las siguientes actualizaciones de software
del agente no necesitan privilegios administrativos.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Implementacin del software cliente de GlobalProtect

Comprobacin de la instalacin del agente (Continuacin)

Paso 4

Paso 5

Complete la configuracin del agente de


GlobalProtect.

Inicie sesin en GlobalProtect.

1.

En el Asistente de configuracin de GlobalProtect, haga


clic en Siguiente.

2.

Haga clic en Siguiente para aceptar la carpeta de


instalacin predeterminada
(C:\Program Files\Palo Alto Networks\GlobalProtect)
o en Examinar para seleccionar una nueva ubicacin y, a
continuacin, haga clic en Siguiente dos veces.

3.

Despus de que la instalacin se realice correctamente, haga clic


en Cerrar. El agente de GlobalProtect se iniciar
automticamente.

Cuando se le solicite, introduzca su nombre de usuario y


contrasea y, a continuacin, haga clic en Aplicar. Si la
autenticacin es correcta, el agente se conectar a GlobalProtect.
Utilice el agente para acceder a los recursos de la red corporativa, as
como a recursos externos, segn se define en las polticas de
seguridad correspondientes.
Para implementar el agente en los usuarios finales, cree
configuraciones de cliente para los grupos de usuarios para los
que desee habilitar el acceso y establezca correctamente la
configuracin de Actualizacin de agente y, a continuacin,
comunique la direccin del portal. Consulte Definicin de las
configuraciones de clientes para obtener detalles sobre cmo
establecer la configuracin del cliente.

Implementacin de la configuracin del agente de forma transparente


Como alternativa a la implementacin de los ajustes del agente desde la configuracin del portal, puede
definirlos directamente desde el registro de Windows, archivo plist global de MAC o (solo en clientes de
Windows) en el instalador MSIEXEC. La ventaja es que permite la implementacin de la configuracin del
agente de GlobalProtect en los sistemas cliente antes de su primera conexin al portal de GlobalProtect.
Los ajustes definidos en la configuracin del portal siempre anulan a los ajustes definidos en el
registro de Windows o archivo plist de Mac. Esto significa que si define ajustes en el registro o
plist, pero la configuracin del portal especifica otros ajustes, los ajustes que recibe el agente del
portal sobrescribirn los definidos por el cliente. Esto incluye ajustes relacionados con el inicio
de sesin como la conexin segn demanda, la utilizacin de SSO o la conexin del cliente en
caso de que el certificado del portal no sea vlido. Por lo tanto, no debe definir ajustes que estn
en conflicto. Adems, la configuracin del portal se almacena en la cach del sistema del cliente.
Esta configuracin en cach se utilizar si el agente de GlobalProtect o la mquina se reinician.

Las siguientes secciones describen cmo implementar los recopiladores de logs:

Establecimiento del nombre del portal

Ajustes personalizables del agente

Implementacin de configuracin del agente desde MSIEXEC

Implementacin de configuracin del agente en el registro de Windows o archivo plist de Mac

Gua del administrador de GlobalProtect

55

Implementacin del software cliente de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Establecimiento del nombre del portal


Si no quiere que el usuario introduzca manualmente la direccin del portal ni siquiera en la primera conexin, puede
implementar previamente la direccin del portal mediante el registro de Windows: (HKEY_LOCAL_MACHINE\
SOFTWARE\Palo Alto Networks\GlobalProtect\PanSetup con la clavePortal) o con el archivo plist de Mac
(/Library/Preferences/com. paloaltonetworks.GlobalProtect.settings.plist y la clave de configuracin
Portal en el diccionario PanSetup):

Ajustes personalizables del agente


Adems de implementar previamente la direccin del portal, tambin puede definir los ajustes de configuracin del
agente. La Tabla: Ajustes personalizables del agente describe todos los ajustes personalizables del agente. Los ajustes
definidos en la configuracin del cliente del portal de GlobalProtect siempre anulan a los ajustes definidos en el
registro de Windows o archivo plist de Mac. Sin embargo, un ajuste (can-prompt-user-credential) no est
disponible en la configuracin del cliente del portal y se debe establecer mediante el registro de Windows (aplicable
solo a clientes de Windows). Este ajuste se utiliza junto con el inicio de sesin nico e indica si se deben pedir o no al
usuario las credenciales en caso de que falle la SSO.
Tabla: Ajustes personalizables del agente
Configuracin del cliente de
portal

Registro de Windows/archivo
plist de Mac

Parmetro MSIEXEC

Valor
predeterminado

Habilitar vista avanzada

enable-advanced-view yes | no

ENABLEADVANCEDVIEW=yes|no

yes

Mostrar icono GlobalProtect

show-agent-icon yes | no

SHOWAGENTICON=yes|no

yes

Permitir al usuario cambiar la


direccin del portal

can-change-portal yes | no

CANCHANGEPORTAL=yes|no

yes

Permitir que el usuario guarde


la contrasea

can-save-password yes | no

CANSAVEPASSWORD=yes|no

yes

Habilitar opcin de
redescubrimiento de red

rediscover-network yes | no

REDISCOVERNETWORK=yes|no

yes

56

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Implementacin del software cliente de GlobalProtect

Configuracin del cliente de


portal

Registro de Windows/archivo
plist de Mac

Parmetro MSIEXEC

Valor
predeterminado

Activar opcin para volver a


enviar perfil de host

resubmit-host-info yes | no

RESUBMITHOSTINFO=yes|no

yes

Permitir que el usuario


contine si el certificado de
servidor del portal no es vlido

can-continue-if-portal-certinvalid yes | no

CANCONTINUEIFPORTALCERTINVAL
ID=yes|no

yes

Utilizar registro nico

use-sso yes | no

USESSO=yes|no

yes

Intervalo de actualizacin de
configuracin (horas)

refresh-config-interval <hours> REFRESHCONFIGINTERVAL=<hour


s>

24

Mtodo de conexin

connect-method on-demand |
pre-logon | user-logon

CONNECTMETHOD=on-demand |
pre-logon | user-logon

user-logon

Solo Windows/no en portal

can-prompt-user-credential yes
| no

CANPROMPTUSERCREDENTIAL=yes
| no

yes

Implementacin de configuracin del agente desde MSIEXEC


En los clientes de Windows tiene la opcin de implementar automticamente tanto el agente como la
configuracin desde Windows Installer (MSIEXEC) usando la siguiente sintaxis:
msiexec.exe /i GlobalProtect.msi <SETTING>="<value>"

Por ejemplo, para evitar que los usuarios se conecten al portal si el certificado no es vlido, puede cambiar la
configuracin de la siguiente forma:
msiexec.exe /i GlobalProtect.msi CANCONTINUEIFPORTALCERTINVALID="no"

Para obtener una lista de ajustes y de los correspondientes valores predeterminados, consulte Tabla: Ajustes
personalizables del agente.

Implementacin de configuracin del agente en el registro de Windows o archivo plist de Mac


Puede establecer la configuracin personalizada del agente de GlobalProtect en el registro de Windows
(HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\GlobalProtect\Settings\) o en el archivo plist global de
Mac (/Library/Preferences/com.paloaltonetworks.GlobalProtect.settings.plist). Esto permite la
implementacin de la configuracin del agente de GlobalProtect en los sistemas cliente antes de su primera
conexin al portal de GlobalProtect. Para ver una lista de comandos y valores, consulte la Tabla: Ajustes
personalizables del agente.

Gua del administrador de GlobalProtect

57

Implementacin del software cliente de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Descarga e instalacin de la aplicacin mvil de GlobalProtect


La aplicacin de GlobalProtect proporciona una forma sencilla de ampliar las polticas de seguridad de empresa a los
dispositivos mviles. Como con otros hosts remotos que ejecutan el agente de GlobalProtect, la aplicacin mvil
proporciona acceso seguro a su red corporativa en el tnel de IPSec o SSL VPN. La aplicacin se conectar
automticamente a la puerta de enlace ms cercana a la ubicacin actual del usuario final. Adems, el trfico hasta y
desde el dispositivo mvil quedar sujeto automticamente a la aplicacin de la misma poltica de seguridad de los
otros hosts de la red corporativa. Como el agente de GlobalProtect, la aplicacin recoge informacin sobre la
configuracin del host, que puede utilizar para aplicar una poltica de seguridad basada en HIP.
Para conseguir una solucin de seguridad de dispositivo mvil ms completa, tambin puede utilizar el gestor de
seguridad mvil de GlobalProtect. Este servicio permite el aprovisionamiento automatizado de configuraciones de
dispositivos mviles, la aplicacin del cumplimiento de seguridad de dispositivos y visibilidad y gestin centralizadas
sobre los dispositivos mviles que acceden a la red. Adems, el gestor de seguridad mvil de GlobalProtect se integra
uniformemente con los otros servicios de GlobalProtect de su red, permitiendo el acceso seguro a sus recursos de red
desde cualquier ubicacin y la aplicacin de poltica granular basada en perfiles HIP. Para obtener ms informacin,
consulte Configuracin del gestor de seguridad mvil de GlobalProtect.
Utilice el siguiente procedimiento para instalar la aplicacin mvil de GlobalProtect.
Comprobacin de la instalacin de la aplicacin

Paso 1

Paso 2

58

Cree una configuracin de cliente para


Se recomienda empezar a crear una configuracin de cliente limitada
comprobar la instalacin de la aplicacin. a un grupo reducido de usuarios como, por ejemplo, administradores
del departamento de TI responsables de la administracin del
cortafuegos:
1. Seleccione Red > GlobalProtect > Portales y seleccione la
configuracin del portal que se debe editar.

Desde el dispositivo mvil, siga las


indicaciones para descargar e instalar
la aplicacin.

2.

Seleccione la pestaa Configuracin clientes y elija una


configuracin existente o haga clic en Aadir para aadir una
nueva configuracin que se implementar en usuarios/grupo
de prueba.

3.

En la pestaa Usuario/grupo de usuarios, haga clic en Aadir


en la seccin Usuario/grupo de usuarios y, a continuacin,
seleccione el usuario o grupo que probar el agente.

4.

En la seccin de SO, seleccione la aplicacin que est probando


(iOS o Android).

5.

(Opcional) Seleccione la configuracin de cliente que acaba


de crear/modificar y haga clic en Mover hacia arriba para
que quede por encima de cualquier configuracin ms genrica
que acabe de crear.

6.

Compile los cambios.

En dispositivos Android, busque la aplicacin en Google Play.


En dispositivos iOS, busque la aplicacin en App Store.

Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Implementacin del software cliente de GlobalProtect

Comprobacin de la instalacin de la aplicacin (Continuacin)

Paso 3

Inicie la aplicacin.

Cuando se haya instalado correctamente, el icono de la aplicacin de


GlobalProtect aparecer en la pantalla de inicio del dispositivo. Para
iniciar la aplicacin, toque el icono. Cuando se le solicite habilitar las
funciones de VPN de GlobalProtect, toque ACEPTAR.

Paso 4

Conecte con el portal.

1.

Cuando se le solicite, introduzca el nombre o direccin del


portal, el nombre de usuario y la contrasea. El nombre del
portal debe ser un nombre de dominio completo (FQDN) y no
incluir https:// al principio.

2.

Toque Conectar y compruebe que la aplicacin establece


correctamente una conexin de VPN a GlobalProtect.
Si el gestor de seguridad mvil de GlobalProtect est
configurado, la aplicacin le pedir que se inscriba. Consulte
Verificacin de la configuracin del gestor de seguridad mvil
para obtener ms informacin comprobar esa configuracin.

Gua del administrador de GlobalProtect

59

Implementacin del software cliente de GlobalProtect

60

Configuracin de la infraestructura de GlobalProtect

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect
Los dispositivos mviles son cada vez ms potentes, por lo que los usuarios finales confan ms en ellos para
realizar sus tareas comerciales. Sin embargo, los mismos dispositivos que acceden a sus redes de la empresa estn
conectando tambin a Internet sin proteccin contra amenazas y vulnerabilidades. El gestor de seguridad mvil
de GlobalProtect ofrece los mecanismos para configurar los ajustes de dispositivos y las cuentas y realizar
acciones con los dispositivos, como bloquear o borrar los dispositivos mviles robados o que se hayan perdido.
El gestor de seguridad mvil tambin publica el estado del dispositivo en las puertas de enlace de GlobalProtect
(en informes HIP) para que pueda crear polticas de acceso granular, por ejemplo permitindole denegar el
acceso a dispositivos que estn liberados o con el root desbloqueado.
Los siguientes temas describen el servicio de gestor de seguridad mvil de GlobalProtect y le muestran los pasos
bsicos para configurar la gestin de los dispositivos.

Recomendaciones de implementacin del gestor de seguridad mvil

Configuracin del acceso de gestin al gestor de seguridad mvil

Registro, licencia y actualizacin del gestor de seguridad mvil

Configuracin del gestor de seguridad mvil para la gestin de dispositivos

Configuracin del acceso de puerta de enlace al gestor de seguridad mvil

Definicin de polticas de implementacin

Verificacin de la configuracin del gestor de seguridad mvil

Configuracin del acceso administrativo en el gestor de seguridad mvil

Gua del administrador de GlobalProtect

61

Recomendaciones de implementacin del gestor de seguridad mvil

Configuracin del gestor de seguridad


mvil de GlobalProtect

Recomendaciones de implementacin del gestor de


seguridad mvil
El gestor de seguridad mvil de GlobalProtect colabora con el resto de infraestructura de GlobalProtect para
garantizar una solucin de seguridad mvil completa. Una implementacin de gestor de seguridad mvil requiere
conectividad entre los siguientes componentes:

Actualizaciones de Palo Alto: El gestor de seguridad mvil recupera actualizaciones de firmas de WildFire que
le permiten detectar malware en dispositivos gestionados de Android. Por defecto, el gestor de seguridad mvil
recupera las actualizaciones de WildFire desde el servidor de actualizaciones de Palo Alto Networks en su interfaz
de gestin. Sin embargo, si su red de gestin no proporciona acceso a Internet, podr modificar la ruta de servicios
para el servicio de actualizaciones de Palo Alto para usar la interfaz ethernet1.

Puertas de enlace de GlobalProtect: Para activar la poltica de seguridad basada en HIP para los dispositivos
gestionados, las puertas de enlace de GlobalProtect recuperan los informes HIP del dispositivo mvil desde el
gestor de seguridad mvil. La mejor implementacin es activar el servicio de gestin de puertas de enlace de
GlobalProtect en la interfaz ethernet1.

Servicios de notificaciones Push: Como el gestor de seguridad mvil no puede conectarse directamente con
los dispositivos mviles que gestiona, debe enviar notificaciones de envo a travs del servicio de notificaciones
Push de Apple (APNs) o los servicios de mensajera en la nube de Google (GCM) siempre que necesite interactuar
con un dispositivo, por ejemplo para enviar una solicitud de registro o realizar una accin como el envo de un
mensaje o una nueva poltica. Se recomienda configurar la ruta del servicio de notificaciones Push para que use la
interfaz ethernet1.

Dispositivos mviles: Los dispositivos mviles se conectan inicialmente desde la red externa para su inscripcin
y despus para registrarse y recibir la poltica de implementacin. Se recomienda usar ethernet1 para la inscripcin
y registro de dispositivo, pero usar puertos de escucha distintos. Para evitar que el usuario final vea advertencias
de certificados, use el puerto 443 (predeterminado) para la inscripcin y otro puerto diferente (configurable a 7443
o 8443) para el registro. Advertencia: Como el puerto de registro de dispositivos se enva al dispositivo durante
la inscripcin, si lo cambia tras la configuracin inicial los dispositivos debern volver a inscribirse con gestor de
seguridad mvil.

La siguiente ilustracin muestra la topologa de implementacin recomendada para el gestor de seguridad mvil:

62

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del acceso de gestin al gestor de seguridad mvil

Configuracin del acceso de gestin al gestor de


seguridad mvil
Por defecto, el puerto de gestin (MGT) del dispositivo GP-100 (tambin llamado el gestor de seguridad mvil) tiene
la direccin IP 192.168.1.1 y el nombre de usuario y contrasea admin/admin. Por motivos de seguridad, debe
cambiar estos ajustes antes de continuar con otras tareas de configuracin del gestor de seguridad mvil. Esta
configuracin inicial puede realizarse con una conexin fsica directa con el dispositivo (conexin serie al puerto
de consola o conexin RJ-45 a la interfaz de gestin). Durante la configuracin inicial asignar los ajustes de red
que le permiten conectar con la interfaz web del dispositivo para las tareas de configuracin siguientes.
Configuracin del acceso de red al dispositivo GP-100

Paso 1

Monte en rack el dispositivo GP-100.

Consulte la Gua de referencia de hardware del dispositivo GP-100 para


obtener instrucciones.

Paso 2

Obtenga la configuracin de red necesaria Direccin IP para el puerto MGT


para la interfaz de gestin.
Mscara de red
Puerta de enlace predeterminada
Direccin de servidor DNS

Paso 3

Conecte su ordenador al dispositivo


GP-100.

Conctese al dispositivo de uno de estos modos:


Conecte un cable serie desde su ordenador al puerto de la consola
y conecte con el dispositivo usando el software de emulacin de
terminal (9600-8-N-1). Espere unos minutos a que se complete la
secuencia de inicio; cuando el dispositivo est listo aparecer el
mensaje de inicio de sesin.
Conecte un cable Ethernet RJ-45 a su ordenador y al puerto
de gestin del dispositivo. Use un navegador para ir a
https://192.168.1.1. Tenga en cuenta que tal vez deba cambiar
la direccin IP de su ordenador a una direccin de la red
192.168.1.0/24, como 192.168.1.2, para acceder a esta URL.

Paso 4

Cuando se le indique, inicie sesin en el


dispositivo.

Paso 5

Defina los ajustes y servicios de red para 1.


permitirlos en la interfaz de gestin.

Gua del administrador de GlobalProtect

Inicie sesin usando el nombre de usuario y contrasea


predeterminados (admin/admin). El dispositivo comenzar a
inicializarse.
Seleccione Configuracin > Ajustes y, a continuacin, haga clic
en el icono Editar
de la seccin Configuracin de interfaz de
gestin de la pantalla. Introduzca la Direccin IP, Mscara de
red y Puerta de enlace predeterminada para activar el acceso
a la red en la interfaz de gestin.

2.

Asegrese de que Velocidad se define como negociacin


automtica.

3.

Seleccione los servicios de gestin que permitir en la interfaz.


Como mnimo, seleccione HTTPS, SSH y Ping.

4.

(Opcional) Para restringir el acceso del gestor de seguridad


mvil a direcciones IP especficas, introduzca las Direcciones IP
permitidas.

5.

Haga clic en ACEPTAR.

63

Configuracin del acceso de gestin al gestor de seguridad mvil

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del acceso de red al dispositivo GP-100 (Continuacin)

Paso 6

Paso 7

Paso 8
Nota

Paso 9
Nota

(Opcional) Configure los ajustes


generales del dispositivo.

Configure DNS y, si lo desea, defina el


acceso a un servidor NTP.

Seleccione Configuracin > Ajustes > Gestin y haga clic en el


icono Editar
de la seccin Configuracin general de la
pantalla.

2.

Introduzca un nombre de host para el dispositivo y el nombre


de dominio de su red. El nombre de dominio tan solo es una
etiqueta, no se usar para unirse al dominio.

3.

Introduzca cualquier texto de carcter informativo que desee


que aparezca a los administradores al iniciar sesin en el campo
Titular de inicio de sesin.

4.

Seleccione la Zona horaria y, si no est pensando en usar NTP,


introduzca la Fecha y Hora.

5.

Haga clic en ACEPTAR.

1.

Seleccione Configuracin > Ajustes > Servicios y haga clic en


el icono Editar
de la seccin Servicios de la pantalla.

2.

Introduzca la direccin IP de su Servidor DNS principal y, de


manera opcional, de su Servidor DNS secundario.

3.

Para usar el clster virtual de servidores horarios de Internet,


introduzca el nombre de host ntp.pool.org como servidor
NTP principal o aada la direccin IP de su servidor NTP
principal y, de manera opcional, su servidor NTP secundario.

4.

Haga clic en ACEPTAR.

Establezca una contrasea segura para la 1.


cuenta de administrador.
2.
Para obtener instrucciones sobre cmo 3.
aadir cuentas administrativas
adicionales, consulte Configuracin del
4.
acceso administrativo en el gestor de
seguridad mvil.

Seleccione Dispositivo > Administradores.


Seleccione la funcin admin.
Introduzca la contrasea predeterminada actual y la nueva
contrasea.
Haga clic en ACEPTAR para guardar la configuracin.

Haga clic en Compilar. El dispositivo puede tardar hasta 90


segundos
en guardar sus cambios.
Al guardar los cambios de configuracin,
perder la conexin con la interfaz web,
ya que la direccin IP habr cambiado.
Compile los cambios.

Paso 10 Conecte el cortafuegos a su red.

64

1.

1.

Desconecte el dispositivo de su ordenador.

2.

Conecte el puerto de gestin a un puerto de conmutador en su


red de gestin usando un cable Ethernet RJ-45. Asegrese de
que el puerto de conmutacin que conecta al dispositivo
mediante un cable est configurado para negociacin
automtica.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del acceso de gestin al gestor de seguridad mvil

Configuracin del acceso de red al dispositivo GP-100 (Continuacin)

Paso 11 Abra una sesin de gestin SSH en el


dispositivo GP-100.

Use un software de emulacin de terminal, como PuTTY, para


iniciar una sesin SSH en el cortafuegos usando la nueva direccin
IP que le ha asignado.
1. Introduzca la direccin IP que ha asignado al puerto de gestin
del cliente SSH.
2.

Utilice el puerto 22.

3.

Introduzca las credenciales de acceso administrativo cuando se


le soliciten. Despus de iniciar la sesin correctamente, aparece
el mensaje de la CLI en modo operativo. Por ejemplo:
admin@GP-100>

Paso 12 Verifique el acceso a la red para los


servicios externos requeridos para la
gestin del cortafuegos, como el servidor
de actualizaciones de Palo Alto Networks:

Compruebe que tiene acceso al y desde el dispositivo mediante la


utilidad de ping de la CLI. Asegrese de que tiene conexin a la
puerta de enlace predeterminada, servidor DNS y el servidor de
actualizacin de Palo Alto Networks como se muestra en el siguiente
ejemplo:
admin@GP-100> ping al host updates.paloaltonetworks.com
Haciendo ping a updates.paloaltonetworks.com (67.192.236.252) con
56(84) bytes de datos.
64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=40.5 ms
64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=53.6 ms
64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=79.5 ms

Nota
Paso 13 Inicie sesin en la interfaz web del gestor 1.
de seguridad mvil.
Nota

Para obtener instrucciones sobre cmo


aadir cuentas administrativas
adicionales, consulte Configuracin del
acceso administrativo en el gestor de
seguridad mvil.

Cuando haya comprobado la conectividad, pulse Ctrl+C


para detener los pings.

Abra una ventana del navegador y desplcese a la siguiente URL:


https://<Direccion_IP>

donde <Direcin_IP> es la direccin que acaba de asignar a la


interfaz de gestin.
Nota

Si activa una comprobacin de dispositivos en la interfaz de


gestin, deber incluir el nmero de puerto 4443 en la URL
para poder acceder a la interfaz web como sigue:
https://<Direccion_IP>:4433

2.

Gua del administrador de GlobalProtect

Inicie sesin con la nueva contrasea que ha asignado a la cuenta


de administracin.

65

Registro, licencia y actualizacin del gestor de seguridad mvil

Configuracin del gestor de seguridad


mvil de GlobalProtect

Registro, licencia y actualizacin del gestor de seguridad mvil


Antes de poder empezar a usar el gestor de seguridad mvil para gestionar los dispositivos mviles, deber
registrar el dispositivo GP-100 y recuperar las licencias. Si planea gestionar ms de 500 dispositivos mviles
deber adquirir una licencia nica e indefinida del gestor de seguridad mvil de GlobalProtect segn el nmero
de dispositivos mviles que hay que gestionar. Adems, el dispositivo incluye 90 das de asistencia gratuita. Sin
embargo, cuando ese periodo de 90 das acabe, deber adquirir una licencia de asistencia para activar el gestor
de seguridad mvil para recuperar las actualizaciones de software y las actualizaciones de contenido dinmico.
Las siguientes secciones describen los procesos de registro, licencia y actualizacin:

Registro del dispositivo GP-100

Activacin/recuperacin de licencias

Instalacin de las actualizaciones de contenido y software de Panorama

Registro del dispositivo GP-100


Para gestionar todos los activos adquiridos en Palo Alto Networks, debe crear una cuenta y registrar los nmeros
de serie con la cuenta como se indica a continuacin.
Registro del dispositivo GP-100

Paso 1

Inicie sesin en la interfaz web del gestor Use una conexin segura (https) de un navegador web, inicie sesin
de seguridad mvil.
con la direccin IP y contrasea asignadas durante la configuracin
inicial (https://<Direccin IP> o https://<Direccin IP>:4443 si la
comprobacin de dispositivos est activada en la interfaz).

Paso 2

Busque el nmero de serie y cpielo en el El nmero de serie del dispositivo GP-100 aparece en el Panel;
portapapeles.
encuentre el Nmero de serie en la seccin Informacin general de
la pantalla.

Paso 3

Vaya al sitio de asistencia de Palo Alto


Networks.

Seleccione Configuracin > Asistencia tcnica > Vnculos y haga clic


en el vnculo hacia Pgina de inicio de asistencia.
Nota

Paso 4

Si su dispositivo no tiene conexin a Internet desde la interfaz


de gestin, en una nueva pestaa o ventana del navegador vaya
a https://support.paloaltonetworks.com.

Registre el dispositivo GP-100. El proceso Si es el primer dispositivo de Palo Alto Networks que registra y an no
tiene un inicio de sesin, haga clic en Registrar en el lado derecho de
de registro depender de que tenga o no un
inicio de sesin en el sitio de asistencia
la pgina. Para registrarse, debe proporcionar su direccin de correo
tcnica.
electrnico y el nmero de serie del gestor de seguridad mvil (que
puede pegar desde el portapapeles). Cuando se le solicite, establezca
un nombre de usuario y una contrasea para acceder a la comunidad
de asistencia tcnica de Palo Alto Networks.
Si ya dispone de una cuenta de asistencia tcnica, inicie sesin y haga
clic en Mis dispositivos. Desplcese hasta la seccin Registrar
dispositivo, en la parte inferior de la pantalla, e introduzca el nmero
de serie del gestor de seguridad mvil (que puede pegar desde el
portapapeles), su ciudad y su cdigo postal, y haga clic en Registrar
dispositivo.

66

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Registro, licencia y actualizacin del gestor de seguridad mvil

Activacin/recuperacin de licencias
El gestor de seguridad mvil necesita una licencia de asistencia vlida que le permita recuperar las actualizaciones
de software y las actualizaciones de contenido dinmico. El dispositivo incluye 90 das de asistencia gratuita; sin
embargo, debe adquirir una licencia de asistencia para seguir recibiendo actualizaciones tras este periodo
introductorio. Si planea gestionar ms de 500 dispositivos mviles, necesitar una licencia del gestor de
seguridad mvil GlobalProtect. Esta licencia nica y perenne permite gestionar hasta 1000, 2000, 5000, 10 000,
25 000, 50 000 o 100 000 dispositivos mviles.
Puede adquirir una suscripcin a WildFire para el gestor de seguridad mvil para habilitar las actualizaciones
dinmicas que contienen firmas de malware creadas como resultado del anlisis realizado por la nube de
WildFire. Si mantiene al da las actualizaciones de malware, podr evitar que los dispositivos Android
gestionados que contienen aplicaciones infectadas con malware se conecten a sus recursos de red. Debe adquirir
una suscripcin a WildFire que admita el mismo nmero de dispositivos que admite su licencia del gestor de
seguridad mvil. Por ejemplo, si tiene una licencia perenne del gestor de seguridad mvil para 10 000
dispositivos y desea activar la asistencia para detectar el malware ms reciente, deber adquirir una suscripcin
a WildFire para 10 000 dispositivos.
Para adquirir licencias, pngase en contacto con su ingeniero de sistemas de Palo Alto Networks o distribuidor.
Despus de obtener una licencia, desplcese hasta Configuracin > Licencias para realizar las siguientes tareas
dependiendo de cmo recibe las licencias:

Recuperar claves de licencia del servidor de licencias: Utilice esta opcin si la licencia se ha activado
en el portal de asistencia tcnica.

Activar caracterstica mediante cdigo de autorizacin: Utilice el cdigo de autorizacin para activar
una licencia que no se ha activado anteriormente en el portal de asistencia tcnica.

Carga manual de la clave de licencia: Utilice esta opcin si la interfaz de gestin del GP-100 no tiene
conectividad con el servidor de actualizacin de Palo Alto Networks. En este caso, en primer lugar debe
descargar un archivo de clave de licencia del sitio de asistencia tcnica a travs de un ordenador conectado
a Internet y despus cargarlo en el dispositivo.

Activacin de las licencias

Paso 1

Encuentre los cdigos de activacin del


producto/suscripcin que ha adquirido.

Gua del administrador de GlobalProtect

Encuentre el correo electrnico de la asistencia al cliente de Palo Alto


Networks que muestra el cdigo de autorizacin asociado con la licencia
que ha adquirido. Si no encuentra este correo electrnico, pngase en
contacto con atencin al cliente para recibir sus cdigos antes de
continuar.

67

Registro, licencia y actualizacin del gestor de seguridad mvil

Configuracin del gestor de seguridad


mvil de GlobalProtect

Activacin de las licencias (Continuacin)

Paso 2

Active las licencias.


Si el gestor de seguridad mvil va a
gestionar ms de 500 dispositivos
mviles, necesitar una licencia perenne
del gestor de seguridad mvil
GlobalProtect.

Nota

1.

Para activar su suscripcin de asistencia (obligatoria tras 90


das), seleccione Configuracin > Asistencia tcnica.

2.

Seleccione Activar caracterstica mediante cdigo de


autorizacin. Introduzca el Cdigo de autorizacin y, a
continuacin, haga clic en ACEPTAR.

3.

Compruebe que la suscripcin se haya activado correctamente.

Si el puerto de gestin del gestor de


seguridad mvil no tiene acceso a
Internet, descargue manualmente los
archivos de licencia desde el sitio de
asistencia tcnica y crguelos en el gestor
4.
de seguridad mvil usando la opcin
Clave de licencia de carga manual.
5.
6.

Paso 3

En la pestaa Configuracin > Licencias, seleccione Activar


caracterstica mediante cdigo de autorizacin.
Cuando se le solicite, introduzca Cdigo de autorizacin para
usar el gestor de seguridad mvil y haga clic en ACEPTAR.
Compruebe que la licencia se ha activado correctamente y que
indica asistencia tcnica para el nmero correcto de dispositivos.

(No es necesario si ha completado el


Utilice la opcin Recuperar claves de licencia del servidor de
paso 2) Recupere las claves de licencia del licencias si ha activado las claves de licencia en el portal de asistencia
servidor de licencias.
tcnica.
Seleccione Configuracin > Asistencia tcnica y seleccione
Recuperar claves de licencia del servidor de licencias.

Instalacin de las actualizaciones de contenido y software de Panorama


Use el siguiente procedimiento para descargar las actualizaciones de malware de Android Package (APK) ms
recientes o actualizar el software del gestor de seguridad mvil. Si mantiene al da las actualizaciones de APK,
podr evitar que los dispositivos Android gestionados que contienen aplicaciones infectadas con malware se
conecten con sus recursos de red.
Recepcin de las actualizaciones de software y contenido

Paso 1

Inicie la interfaz web del gestor de


seguridad mvil y vaya a la pgina de
actualizaciones dinmicas.

1.

Antes de actualizar el software, instale las


ltimas actualizaciones de contenido
2.
admitidas en esta versin.

68

Use una conexin segura (https) de un navegador web,


inicie sesin con la direccin IP y contrasea asignadas
durante la configuracin inicial (https://<Direccin IP> o
https://<Direccin IP>:4443 si la comprobacin de
dispositivos est activada en la interfaz).
Seleccione Configuracin > Actualizaciones dinmicas.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Registro, licencia y actualizacin del gestor de seguridad mvil

Recepcin de las actualizaciones de software y contenido (Continuacin)

Paso 2

Busque, descargue e instale la ltima


actualizacin de contenido del gestor de
seguridad mvil.

1.

2.
Las actualizaciones de contenido del
gestor de seguridad mvil incluyen todas 3.
las firmas de malware del paquete de
aplicaciones Android (APK), incluido el
nuevo malware que detecte WildFire.
Paso 3

Compruebe las actualizaciones de


software.

Paso 4

Descargar la actualizacin.

Nota

Si el gestor de seguridad mvil no tiene


acceso a Internet desde el puerto de
gestin, puede descargar la actualizacin
de software desde el sitio de asistencia
tcnica de Palo Alto Networks. Despus
podr cargarla manualmente en el gestor
de seguridad mvil.

Paso 5

Instale la actualizacin.

Haga clic en Comprobar ahora para comprobar las


actualizaciones ms recientes. Si el valor de la columna Accin
es Descargar significa que hay una actualizacin disponible.
Haga clic en Descargar para obtener la versin deseada.
Haga clic en el enlace Instalar de la columna Accin. Cuando se
complete la instalacin, aparecer una marca de verificacin en
la columna Instalado actualmente.

1.

Seleccione Configuracin > Software.

2.

Haga clic en Comprobar ahora para comprobar las


actualizaciones ms recientes. Si el valor de la columna Accin
es Descargar significa que hay una actualizacin disponible.

Encuentre la versin a la que desea actualizar y haga clic en


Descargar. Cuando se complete la descarga, el valor en la columna
Accin cambia a Instalar.

1.

Haga clic en Instalar.

2.

Reinicie el dispositivo:
Si se le pide que reinicie, haga clic en S.
Si no se le pide que reinicie, seleccione Configuracin >
Ajustes > Operaciones y haga clic en Reiniciar dispositivo
en la seccin Operaciones de dispositivo de la pantalla.

Gua del administrador de GlobalProtect

69

Configuracin del gestor de seguridad mvil para la gestin de dispositivos

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del gestor de seguridad mvil para la gestin


de dispositivos
Antes de poder empezar a usar el gestor de seguridad mvil para gestionar los dispositivos mviles, deber
configurar la infraestructura de gestin de dispositivos. Esto incluye la configuracin de una interfaz para el
registro de dispositivos, la obtencin de certificados necesarios para que el gestor de seguridad mvil enve las
notificaciones push a otros dispositivos mediante OTA (Over the Air) y la definicin de cmo autenticar
usuarios/dispositivos antes de la suscripcin y cmo emitir certificados a identidad a cada dispositivo.

Configuracin del gestor de seguridad mvil para el registro de dispositivos

Configuracin del gestor de seguridad mvil para la inscripcin

Configuracin del gestor de seguridad mvil para el registro de dispositivos


Cada hora (de forma predeterminada), el gestor de seguridad mvil enva un mensaje de notificacin a los
dispositivos que gestiona solicitando que se registren. Para enviar esos mensajes, llamados notificaciones push, el
gestor de seguridad mvil debe conectarse con los dispositivos mediante OTA (over-the-air). Para enviar
notificaciones push a dispositivos iOS, el gestor de seguridad mvil debe usar el servicio de notificacin Push
de Apple (APNs); para los dispositivos Android debe usar el servicio de Mensajera de Google Cloud (GCM).
Lo mejor es configurar la interfaz ethernet1 en el gestor de seguridad mvil como interfaz de orientacin externa
para acceder a la puerta de enlace y el dispositivo mvil. As, para configurar el gestor de seguridad mvil para
el registro de dispositivos debe configurar la interfaz ethernet1 y activarla para el registro de dispositivos.
Adems, debe configurar el gestor de seguridad mvil para enviar notificaciones de envo mediante
APNs/GCM. El siguiente procedimiento detalla cmo configurar esta configuracin recomendada:
Configuracin del gestor de seguridad mvil para el registro de dispositivos

1.

Paso 1

Configure la interfaz de registro de


dispositivos.

Nota

Aunque puede usar la interfaz de gestin 2.


para registrar dispositivos, si configura
una interfaz distinta podr separar el
trfico de gestin del de datos. Si est
3.
usando la interfaz de gestin para el
registro de dispositivos, omita el Paso 4.

70

Seleccione Configuracin > Red > ethernet1 para abrir el


cuadro de dilogo de ajuste Interfaz de red.
Defina los ajustes de acceso a la red de la interfaz, incluidas la
Direccin IP, Mscara de red y Puerta de enlace
predeterminada.

Habilite los servicios que desea permitir en esta interfaz


seleccionando las casillas de verificacin que correspondan.
Como mnimo, seleccione Registro de dispositivos mviles.
Puede que desee seleccionar tambin Ping para contribuir a la
conectividad de prueba.

4.

Para guardar la configuracin de la interfaz, haga clic en


ACEPTAR.

5.

Conecte el puerto ethernet1 (con la etiqueta 1 en el panel frontal


del dispositivo) a su red con un cable de Ethernet RJ-45.
Asegrese de que el puerto de conmutacin al que conecta la
interfaz est configurado para la negociacin automtica.

6.

(Opcional) Aada un registro A DNS a su servidor DNS para


asociar la direccin IP de esta interfaz con un nombre de host.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del gestor de seguridad mvil para la gestin de dispositivos

Configuracin del gestor de seguridad mvil para el registro de dispositivos (Continuacin)

Paso 2

(Opcional) Modifique la configuracin de 1.


registro del dispositivo.
Por defecto, el gestor de seguridad mvil
est a la espera en el puerto 443 tanto para 2.
las solicitudes de inscripcin como para
las de registro. Se recomienda configurar
el puerto de inscripcin a 443 y usar un
nmero de puerto distinto para el registro
de dispositivos. El proceso de registro de
dispositivos requiere un certificado
3.
cliente para establecer la sesin SSL,
mientras que el de inscripcin no. Si
ambos servicios se ejecutan en el mismo
puerto, el dispositivo mvil mostrar por
error mensajes emergentes de certificados 4.
durante el proceso de inscripcin, lo que
puede confundir a los usuarios finales.

Paso 3

(Opcional) Si el puerto de gestin del


gestor de seguridad mvil no tiene acceso
a Internet, configure los enrutadores de
servicio para permitir el acceso desde la
interfaz de registro de dispositivos a los
recursos externos necesarios, como el
servicio de notificaciones push de Apple
(APNs) y el servicio de Mensajera de
Google Cloud (GCM) para el envo de
notificaciones push.

Gua del administrador de GlobalProtect

Seleccione Configuracin > Ajustes > Servidor y, a


continuacin, haga clic en el icono Editar de la seccin
Configuracin de registro de dispositivos.
Seleccione el Puerto de registro en el que el gestor de seguridad
mvil escuchar las solicitudes de registro de dispositivos.
De forma predeterminada, este puerto se configura como 443.
Sin embargo, debe cambiar el puerto de registro de dispositivos
de 7443 a 8443 y la inscripcin para evitar que se pida a los
usuarios un certificado de cliente cuando se inscriban.
Por defecto, el gestor de seguridad mvil enviar notificaciones
push a los dispositivos que gestiona cada 60 minutos para
solicitar el registro. Para cambiar este intervalo, introduzca un
nuevo Intervalo de notificacin de registro del dispositivo
(rango: 30 minutos a 1440 minutos).
Haga clic en ACEPTAR para guardar la configuracin.

1.

Seleccione Configuracin > Ajustes > Servicios >


Configuracin de ruta de servicios.

2.

Haga clic en el botn de opcin Seleccionar.

3.

Haga clic en la columna Interfaz que corresponde con el


servicio cuya ruta de servicio desee cambiar y seleccione la
interfaz ethernet1.

4.

Repita estos pasos en cada servicio que desee modificar.


Para configurar la interfaz ethernet1 para el registro de
dispositivos deber cambiar la ruta del servicio de
Notificaciones push. Si no tiene acceso a Internet desde la
interfaz de gestin, deber cambiar todas las rutas de servicio a
esta interfaz.

5.

Haga clic en ACEPTAR para guardar la configuracin.

71

Configuracin del gestor de seguridad mvil para la gestin de dispositivos

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del gestor de seguridad mvil para el registro de dispositivos (Continuacin)

Paso 4

Importe un certificado de servidor para la Para importar un certificado y una clave privada, descargue el
certificado y el archivo de clave de la CA y asegrese de que son
interfaz de registro de dispositivos del
accesibles desde el sistema de gestin y que tiene la frase de
gestor de seguridad mvil.
contrasea para descifrar la clave privada. Despus complete los
El campo de nombre comn (CN) y, si es
siguientes pasos en el gestor de seguridad mvil:
aplicable, de nombre alternativo del
1. Seleccione Configuracin > Gestin de certificados >
asunto (SAN) del certificado del gestor de
Certificados > Certificados de dispositivos.
seguridad mvil deben coincidir
exactamente con la direccin IP o con el 2.
nombre de dominio completo (FQDN) 3.
de la interfaz de registro de dispositivos
(se admiten certificados de comodn).
4.
Aunque puede generar un certificado de
servidor autofirmado para la interfaz de 5.
registro de dispositivos del gestor de
6.
seguridad mvil (Configuracin >
Gestin de certificados > Certificados >
Generar), se recomienda usar un

7.
certificado de una CA pblica como
VeriSign o Go Daddy para garantizar que
los dispositivos finales puedan conectarse
para inscribirse. Si no usa un certificado 8.
en el que confen los dispositivos, deber
aadir el certificado de CA raz a la
configuracin del gestor de seguridad
mvil y la configuracin correspondiente
de clientes del portal para que el portal
pueda implementar el certificado en los
dispositivos tal y como se describe en
Definicin de las configuraciones de
clientes.

Haga clic en Importar e introduzca un nombre de certificado.

Introduzca la ruta y el nombre en el Archivo de certificado que


recibi de la CA o seleccione Examinar para buscar el archivo.
Seleccione Clave privada cifrada y certificado (PKCS12) como
Formato de archivo.
Seleccione la casilla de verificacin Importar clave privada.
Introduzca la ruta y el nombre en el archivo PKCS#12 en el
campo Archivo de clave o seleccione Examinar para
encontrarla.
Vuelva a introducir la Frase de contrasea que se us para
cifrar la clave privada y despus haga clic en ACEPTAR para
importar el certificado y la clave.
Para configurar el gestor de seguridad mvil para usar este
certificado para el registro de dispositivos:
a. Seleccione Configuracin > Ajustes > Servidor y, a
continuacin, haga clic en el icono Editar de la seccin
Configuracin de servidor SSL.
b. Seleccione el certificado que acaba de importar desde la lista
desplegable Certificado de servidor MDM.
c. (Opcional) Si el certificado no lo emiti una CA conocida,
seleccione el certificado de CA raz del remitente en el cuadro
desplegable Autoridad de certificado u opte por Importar
ahora.
d. Haga clic en ACEPTAR para guardar la configuracin.

72

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del gestor de seguridad mvil para la gestin de dispositivos

Configuracin del gestor de seguridad mvil para el registro de dispositivos (Continuacin)

Paso 5

Obtenga un certificado para el servicio de 1.


notificaciones push de Apple (APNs).
El certificado de APNs es necesario para
que el gestor de seguridad mvil pueda
enviar notificaciones push a los
dispositivos iOS que gestiona. Para
obtener el certificado debe crear una
solicitud de firma de certificado (CSR) en
el gestor de seguridad mvil, enviarla al
servidor de firmas de Palo Alto Networks
para que lo firme y enviarla a Apple.

Recomendacin:

Para crear la CSR, seleccione Configuracin > Gestin de


certificados > Certificados y haga clic en Generar.

2.

Introduzca un nombre de certificado y un nombre comn que


identifique su organizacin.

3.

En el campo Nmero de bits, seleccione 2048.

4.

En el campo Firmado por, seleccione Autoridad externa


(CSR).

5.

En Resumen, seleccione sha1 y haga clic en Generar.

6.

Seleccione la CSR en la lista de certificados y haga clic en


Exportar.

7.

En el cuadro de dilogo Exportar CSR, seleccione Firmar CSR


para el Servicio de notificaciones Push de Apple en la lista
desplegable Formato de archivo y haga clic en ACEPTAR.
El gestor de seguridad mvil enviar automticamente la CSR al
servidor de firma de Palo Alto Networks, lo que devolver una
CSR (.csr) firmada que deber guardar en su disco local.

8.

Abra una nueva ventana de navegador y desplcese al portal de


certificados push de Apple en la siguiente URL:
https://identity.apple.com/pushcert

9.
Cree un ID de Apple compartido para su
organizacin para asegurarse de que tenga
siempre acceso a sus certificados.
10.

Inicie sesin con su ID de Apple y contrasea y haga clic en


Crear un certificado. Si este es su primer inicio de sesin, debe
Aceptar las Condiciones de uso antes de crear un certificado.

Haga clic en Seleccionar archivo para buscar la ubicacin de la


CSR que ha generado y despus haga clic en Cargar. Cuando el
certificado se haya generado con xito aparecer una
confirmacin.

11. Haga clic en Descargar para guardar el certificado en su


equipo local.
12. En el gestor de seguridad mvil, seleccione Configuracin >
Gestin de certificados > Certificados > Certificados de
dispositivo y haga clic en Importar.

13. En el campo Nombre de certificado, introduzca el mismo


nombre que us al crear la CSR.
14. En el campo Archivo de certificado, escriba la ruta y el nombre
al certificado (.pem) que descarg de Apple o seleccione
Examinar para buscar el archivo.
15. Seleccione Certificado codificado en Base64 (PEM) como
Formato de archivo y, a continuacin, haga clic en ACEPTAR.
La entrada de la CSR en la lista de certificados cambia a un
certificado con la Autoridad de certificacin de integracin de
la aplicacin Apple del remitente y el Estado vlido.

Gua del administrador de GlobalProtect

73

Configuracin del gestor de seguridad mvil para la gestin de dispositivos

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del gestor de seguridad mvil para el registro de dispositivos (Continuacin)

Paso 6

Obtenga una clave e ID de remitente del 1.


servicio de Mensajera de Google Cloud
(GCM).
La clave GCM e ID de remitente son
obligatorios para que el gestor de
seguridad mvil pueda enviar
notificaciones push a los dispositivos
Android que gestiona.

Abra una nueva ventana de navegador y desplcese a la consola


API de Google en la siguiente URL:
https://cloud.google.com/console

2.

Haga clic en CREAR PROYECTO. Aparecer la pgina Nuevo


proyecto.

3.

Introduzca un Nombre de proyecto y un ID de proyecto y haga


clic en Crear. Si este es su primer proyecto, debe Aceptar las
Condiciones de uso antes de crear el proyecto.

4.

Seleccione APIs y autorizacin en el men desplegable de la


parte izquierda de la pgina.

5.

En la pgina de las API, desplcese hasta Mensajera de Google


Cloud para Android y cambie el ajuste a Activado.

6.

Seleccione Credenciales en el men de API y autenticacin de


la izquierda.

7.

En la seccin Acceso a la API pblica de la pgina, haga clic en


CREAR NUEVA CLAVE.

8.

En el cuadro de dilogo Crear nueva clave, haga clic en Clave de


servidor.

9.

En el cuadro de texto Aceptar solicitudes desde estas


direcciones IP de servidor, introduzca la direccin IP de la
interfaz de registro del dispositivo del gestor de seguridad mvil
y despus haga clic en Crear. La nueva clave de API se
mostrar. Esta es la clave que identifica su aplicacin de gestor
de seguridad mvil. Necesitar esta clave para configurar las
notificaciones push del gestor de seguridad mvil.

10. Para obtener su ID de remitente, seleccione Descripcin


general en el men de la izquierda de la pantalla. El ID de
remitente tambin se muestra como el Nmero de proyecto.
Necesitar este ID para configurar las notificaciones push del
gestor de seguridad mvil.

74

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del gestor de seguridad mvil para la gestin de dispositivos

Configuracin del gestor de seguridad mvil para el registro de dispositivos (Continuacin)

Paso 7

Paso 8

Configure los ajustes de notificacin push 1.


en el gestor de seguridad mvil.

Guarde la configuracin.

Seleccione Configuracin > Ajustes > Servidor y, a


continuacin, haga clic en el icono Editar
de la seccin
Configuracin de notificaciones push.

2.

Para habilitar las notificaciones push para los dispositivos iOS,


seleccione el Certificado de APNs iOS que gener en el Paso 5.

3.

Para habilitar las notificaciones push de GCM, seleccione la


casilla de verificacin Mensajera de Google Cloud y despus
escriba la Clave de API GCM para Android y el ID del remitente
GCM para Android que consigui en el Paso 6

4.

Haga clic en ACEPTAR para guardar la configuracin.

Haga clic en Compilar.

Configuracin del gestor de seguridad mvil para la inscripcin


Para que el gestor de seguridad mvil pueda gestionar un dispositivo mvil, este debe estar inscrito en el servicio.
La inscripcin se compone de dos fases:

Autenticacin: Para poder inscribir un dispositivo mvil, el usuario del mismo debe autenticarse en el gestor de
seguridad mvil para que pueda determinar la identidad del usuario y garantizar que forma parte de la organizacin.
El gestor de seguridad mvil admite los mismos mtodos de autenticacin que se admiten en los otros
componentes de GlobalProtect: autenticacin local, autenticacin externa en un servicio LDAP, Kerberos o
RADIUS externo (incluida la asistencia de una autenticacin OTP de dos factores). Si desea informacin detallada
sobre estos mtodos consulte Acerca de la autenticacin de usuarios de GlobalProtect.

Generacin de certificados de identidad: Cuando haya autenticado con xito al usuario final, el gestor de
seguridad mvil emitir un certificado de identidad para el dispositivo. Para permitir que el gestor de seguridad
mvil emita certificados de identidad, genere un certificado de CA autofirmado que podr usar para la firma.
Adems, si tiene un servidor de protocolo de inscripcin de certificados simple (SCEP) de empresa como el
servidor Microsoft SCEP, puede el gestor de seguridad mvil para usar el servidor SCEP para que emita
certificados para los dispositivos iOS. Tras la inscripcin, el gestor de seguridad mvil usar el certificado de
identidad para autenticar el dispositivo mvil cuando se registre.

Siga el procedimiento que se indica a continuacin para configurar la infraestructura de inscripcin en el gestor de
seguridad mvil:

Gua del administrador de GlobalProtect

75

Configuracin del gestor de seguridad mvil para la gestin de dispositivos

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del gestor de seguridad mvil para la inscripcin

Paso 1

1.
Cree un perfil de autenticacin para
autenticar los usuarios de dispositivos de
autenticacin cuando se conecten al
gestor de seguridad mvil para la
inscripcin.
Se recomienda usar el mismo servicio de
autenticacin que se usa para autenticar a
los usuarios finales para acceder a los
recursos de la empresa, como el correo
electrnico o la red Wi-Fi. Esto permite al
gestor de seguridad mvil capturar las
credenciales para usarlas en los perfiles de
configuracin que implementa en los
servicios. Por ejemplo, el gestor de
seguridad mvil puede implementar
2.
automticamente configuraciones que
incluyan las credenciales necesarias para
acceder a los recursos de la empresa,
como el correo electrnico y el Wi-Fi, del
dispositivo.

Paso 2

76

Configure el gestor de seguridad mvil


1.
para usar este perfil de autenticacin para
la inscripcin de de dispositivos.

Configure el gestor de seguridad mvil para conectarse al


servicio de autenticacin que tiene intencin de utilizar para que
pueda acceder a las credenciales de autenticacin.
Si tiene la intencin de autenticar mediante LDAP, Kerberos
o RADIUS, deber crear un perfil de servidor que indique al
gestor de seguridad mvil cmo conectarse al servidor y
acceder a las credenciales de autenticacin de sus usuarios.
Seleccione Configuracin > Perfiles de servidor y aada un
nuevo perfil para el servicio especfico al que acceder.
Si tiene la intencin de utilizar una autenticacin de base de
datos local, primero deber crear la base de datos local.
Seleccione Configuracin > Base de datos de usuario >
Usuarios locales y aada los usuarios que deben
autenticarse.
Cree un perfil de autenticacin que haga referencia al perfil de
servidor o base de datos de usuario local que acaba de crear.
Seleccione Configuracin > Perfil de autenticacin y aada un
nuevo perfil. El nombre del perfil de autenticacin no puede
contener espacios.
Seleccione Configuracin > Ajustes > Servidor y, a
continuacin, haga clic en el icono Editar
de la seccin
Configuracin de autenticacin.

2.

Seleccione el Perfil de autenticacin en la lista desplegable.

3.

(Opcional) Si desea que el gestor de seguridad mvil guarde la


contrasea que introduce el usuario del dispositivo mvil
durante la autenticacin, asegrese de que la casilla Guardar
contrasea de usuario en servidor est seleccionada. Si opta
por guardar la contrasea, el gestor de seguridad mvil podr
configurar automticamente las credenciales de usuario en los
ajustes de configuracin que enva al dispositivo. Por ejemplo,
puede usar las credenciales guardadas (el nombre de usuario
siempre se guardan en el servidor) para que configure
automticamente el perfil de correo electrnico que se enva al
dispositivo, de modo que el usuario final no tenga que definirlas
manualmente.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del gestor de seguridad mvil para la gestin de dispositivos

Configuracin del gestor de seguridad mvil para la inscripcin (Continuacin)

Paso 3
Nota

Defina qu certificado raz de CA debe usar el gestor de seguridad


mvil para emitir certificados de identidad a los dispositivos Android
y, si no usa SCEP, a dispositivos iOS. Si est usando una CA de
Aunque el gestor de seguridad mvil
puede emitir certificados de identidad a empresa, importe el certificado CA raz y la clave privada asociada
(Configuracin > Gestin de certificados > Certificados >
todos los dispositivos mviles
Importar
). De lo contrario, genere un certificado de CA raz
autenticados, puede optar por aprovechar
autofirmado:
un servidor SCEP existente para emitir
1. Para crear un certificado de CA raz autofirmado, seleccione
certificados de identidad para sus
Dispositivo > Gestin de certificados > Certificados >
dispositivos iOS como se describe en el
Certificados de dispositivos y, a continuacin, haga clic en
siguiente paso. Los dispositivos Android
Generar.
no pueden usar SCEP y por ello debe
configure el gestor de seguridad mvil
2. Introduzca un nombre de certificado, como CA_movilidad.
para emitir certificados de entidad para
El nombre de certificado no puede puede contener espacios.
todos los dispositivos Android.
3. No seleccione ningn valor en el campo Firmado por (esto es
Configure el gestor de seguridad mvil
para emitir certificados de identidad.

lo que indica que est autofirmado).

Paso 4

Nota

(Opcional) Configure el gestor de


seguridad mvil para que se integre con
un servidor SCEP de empresa existente
para emitir certificados de identidad a
dispositivos iOS.

4.

Seleccione la casilla de verificacin Autoridad del certificado y,


a continuacin, haga clic en Aceptar para generar el certificado.
El gestor de seguridad mvil usar automticamente este
certificado de forma para emitir certificados de identidad a los
dispositivos durante la inscripcin.

1.

Configure el gestor de seguridad mvil para acceder al servidor


SCEP y definir las propiedades de certificado que se deben usar
al emitir certificados de identidad como se describen en
Definicin de una configuracin SCEP.

2.

Habilite SCEP en el gestor de seguridad mvil:

La ventaja del SCEP es que la clave


privada nunca sale del dispositivo mvil.

a. Seleccione Configuracin > Ajustes > Servidor y haga clic en


el icono Editar
en la seccin Configuracin de SCEP.

Si planea usar el SCEP para emitir


certificados de identidad, asegrese de
que los dispositivos iOS que se inscribirn
tienen los certificados raz de CA
adecuados para establecer una conexin
con su servidor SCEP.

b. Seleccione la casilla de verificacin SCEP para activarlo.


c. Seleccione la configuracin de SCEP que cre en la lista
desplegable Inscripcin.
d. (Opcional) Si desea que el gestor de seguridad mvil verifique
el certificado cliente que el servidor SCEP emiti al
dispositivo antes de completar el proceso de inscripcin,
debe importar el certificado de CA raz del servidor SCEP y
crear un Perfil de certificado correspondiente.
e. Haga clic en ACEPTAR para guardar la configuracin.

Gua del administrador de GlobalProtect

77

Configuracin del gestor de seguridad mvil para la gestin de dispositivos

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del gestor de seguridad mvil para la inscripcin (Continuacin)

Paso 5

Paso 6

Configure la configuracin de inscripcin. 1.

Seleccione Configuracin > Ajustes > Servidor y haga clic en el


icono Editar
en la seccin Configuracin de inscripcin.

2.

Introduzca el nombre de host de la interfaz de registro del


dispositivo (FQDN o direccin IP; debe coincidir con el
contenido del campo de nombre comn del certificado del
gestor de seguridad mvil asociado con la interfaz de registro del
dispositivo).

3.

(Opcional) Seleccione el Puerto de inscripcin en el que el


gestor de seguridad mvil escuchar las solicitudes de
inscripcin. Est definido por defecto en 443, y se recomienda
que lo deje con este valor y use un nmero de puerto distinto
para el puerto de registro de dispositivos.

4.

Introduzca el identificador de organizacin y, opcionalmente,


un nombre de organizacin que se mostrar en los perfiles de
configuracin que el gestor de seguridad mvil enva a los
dispositivos.

5.

(Opcional) Introduzca un Mensaje de consentimiento que


informa a los usuarios de que se estn inscribiendo en su
servicio de gestin de dispositivos. Tenga en cuenta que este
mensaje no se mostrar a dispositivos que ejecuten iOS 5.1.

6.

Seleccione el certificado de CA que el gestor de seguridad mvil


debe usar para emitir los certificados desde el men desplegable
Autoridad de certificacin y, si lo desea, modifique el valor de
Vencimiento del certificado de identidad (por defecto 365
das; en un rango de 60 a 3650 das).

7.

Haga clic en ACEPTAR para guardar la configuracin.

Para obligar a los usuarios de dispositivos mviles a que se vuelvan a


(Opcional) Obligue a los usuarios del
dispositivo a que se vuelvan a inscribir al inscribir cuando caduque el certificado:
caducar el certificado de identidad.
1. Seleccione Configuracin > Ajustes > Servidor y haga clic en el
icono Editar
en la seccin Configuracin de renovacin de
Por defecto, no se requiere a los usuarios
inscripcin.
de dispositivos mviles que se vuelvan a
inscribir cuando caduca el certificado de 2. Seleccione la casilla de verificacin Exigir reinscripcin.
identidad; el gestor de seguridad mvil
3. (Opcional) Personalice el Mensaje de renovacin que aparecer
volver a emitir certificados de identidad y
en los dispositivos mviles para alertar a los usuarios finales de
volver a inscribir los dispositivos.
que necesitan cancelar la inscripcin y volver a activarla antes de
que el certificado expire para poder continuar con el servicio de
gestin de dispositivos del gestor de seguridad mvil. Cuando se
enva el mensaje al dispositivo, la variable {DAYS} se sustituye
por el nmero real de das que quedan para que caduque el
certificado.
4.

Paso 7

78

Guarde la configuracin.

Haga clic en ACEPTAR para guardar los ajustes de renovacin.

Haga clic en Compilar.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del gestor de seguridad mvil para la gestin de dispositivos

Configuracin del gestor de seguridad mvil para la inscripcin (Continuacin)

Paso 8

Realice los siguientes pasos en el cortafuegos que aloja su portal de


Configure el portal GlobalProtect para
redirigir los dispositivos mviles al gestor GlobalProtect:
de seguridad mvil para su inscripcin.
1. Seleccione Red > GlobalProtect > Portales y seleccione la
configuracin de portal que desea modificar.
Si desea informacin ms detallada,
consulte Configuracin del portal de
GlobalProtect.

Gua del administrador de GlobalProtect

2.

Seleccione la pestaa Configuracin clientes y seleccione la


configuracin de clientes para habilitar la gestin de seguridad
mvil.

3.

En la pestaa General, escriba la direccin IP o FQDN de la


interfaz de comprobacin del dispositivo en el gestor de
seguridad mvil GlobalProtect MDM.

4.

(Opcional) Defina el Puerto de inscripcin de GlobalProtect


MDM en el que el gestor de seguridad mvil escuchar las
solicitudes de inscripcin. Este valor debe coincidir con el valor
definido en el gestor de seguridad mvil.

5.

Haga clic en Aceptar dos veces para guardar la configuracin


del portal.

6.

Compile los cambios.

79

Configuracin del acceso de puerta de enlace al gestor de seguridad mvil

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del acceso de puerta de enlace al gestor de


seguridad mvil
Si est usando la aplicacin de polticas HIP en sus cortafuegos, puede configurar las puertas de enlace de
GlobalProtect para recuperar los informes HIP para los dispositivos mviles gestionados por el gestor de
seguridad mvil.
Para habilitar la puerta de enlace para que recupere los informes HIP del gestor de seguridad mvil deber activar una
interfaz de acceso a la puerta de enlace y despus configurar las puertas de enlace para conectarlas como se indica a
continuacin:
Habilitacin del acceso de puerta de enlace al gestor de seguridad mvil

Paso 1

Decida qu interfaz del gestor de seguridad (Recomendado) Para usar la interfaz ethernet1 para acceder a la puerta
de enlace, seleccione Configuracin > Red > ethernet1. Seleccione
mvil se debe usar para recuperar el HIP y
habilitar el servicio de puerta de enlace en la
la casilla de verificacin Habilitar identificacin de usuarios y, a
interfaz.
continuacin, haga clic en ACEPTAR.
Para usar la interfaz de gestin para acceder a la puerta de enlace,
Aunque puede configurar las puertas de
seleccione Configuracin > Ajustes > Gestin y, a continuacin,
enlace para que se conecten con la interfaz
haga clic en el icono Editar
de la seccin Configuracin de
de gestin o ethernet1, se recomienda usar
interfaz de gestin de la pantalla. Seleccione la casilla de verificacin
la interfaz ethernet1 para asegurarse de que
Puertas de enlace de GlobalProtect y, a continuacin, haga clic en
sus puertas de enlace remotas tienen acceso
ACEPTAR.
al dispositivo.
Nota

Paso 2

(Opcional) Importe un certificado de


servidor de la interfaz de gestin del gestor
de seguridad mvil para habilitar las puertas
de enlace de GlobalProtect para que se
conecten con esta interfaz. Este certificado
solo es necesario si las puertas de enlace van
a conectarse con la interfaz de gestin en
lugar de con la de ethernet1 para recuperar
el HIP.
El campo de nombre comn (CN) y, si es
aplicable, de nombre alternativo del asunto
(SAN) del certificado del gestor de
seguridad mvil deben coincidir
exactamente con la direccin IP o con el
nombre de dominio completo (FQDN) de
la interfaz (se admiten certificados de
comodn).

Se recomienda usar el mismo certificado de CA que se usa para emitir


certificados autofirmados a los dems componentes de GlobalProtect.
Consulte Implementacin de certificados de servidores en los
componentes de GlobalProtect si desea informacin detallada sobre el
flujo de trabajo recomendado.
Cuando haya generado un certificado de servidor para el gestor de
seguridad mvil, imprtelo como se indica:
1. Seleccione Configuracin > Gestin de certificados
Certificados > Certificados de dispositivos y haga clic en
Importar.
2.

Introduzca un nombre de certificado.

3.

Introduzca la ruta y el nombre en Archivo de certificado o


seleccione Examinar para buscar el archivo.

4.

Seleccione Clave privada cifrada y certificado (PKCS12) como


Formato de archivo.

5.

Introduzca la ruta y nombre en el archivo PKCS#12 en el campo


Archivo de clave o seleccione Examinar para encontrarla.

6.

80

Si esta interfaz no se ha configurado an, debe suministrar los


ajustes de red (direccin IP, mscara de red y puerta de enlace
predeterminada) y conectar fsicamente el puerto Ethernet a su
red. Consulte Configuracin del gestor de seguridad mvil
para el registro de dispositivos para obtener informacin
detallada.

Vuelva a introducir la Frase de contrasea que se us para cifrar


la clave privada y despus haga clic en ACEPTAR para importar el
certificado y la clave.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del acceso de puerta de enlace al gestor de seguridad mvil

Habilitacin del acceso de puerta de enlace al gestor de seguridad mvil (Continuacin)

Paso 3

Paso 4

Especifique qu certificado de servidor debe 1.


usar el gestor de seguridad mvil para
permitir que la puerta de enlace establezca
una conexin HTTPS para recuperar el
2.
HIP.

Seleccione Configuracin > Ajustes > Servidor y haga clic en el


icono Editar
en la seccin Configuracin de la puerta de enlace
de GlobalProtect.

3.

Seleccione el certificado que acaba de importar desde la lista


desplegable Certificado de servidor MDM y haga clic en Aceptar.

(Opcional) Cree un perfil de certificado


en el gestor de seguridad mvil para
permitir que las puertas de enlace
establezcan una conexin SSL mutua con
el gestor de seguridad mvil para
recuperar el informe HIP.

Seleccione la casilla de verificacin Recuperacin del informe


HIP para habilitar el acceso de la puerta de enlace al gestor de
seguridad mvil.

Para permitir una autenticacin mutua entre la puerta de enlace y el


gestor de seguridad mvil, cree un certificado cliente para la puerta
de enlace e importe la CA raz que emiti el certificado de cliente al
gestor de seguridad mvil. Siga el procedimiento siguiente para
importar el certificado de cliente en el gestor de seguridad mvil y
definir un perfil de certificado:
1. Descargue el certificado de CA que se us para generar los
certificados de puerta de enlace (en el flujo de trabajo
recomendado, el certificado de CA se encuentra en el portal).
a. Seleccione Configuracin > Gestin de certificados >
Certificados > Certificados de dispositivos.
b. Seleccione el certificado de CA y haga clic en Exportar.
c. Seleccione Certificado codificado en Base64 (PEM) en la
lista desplegable Formato de archivo y haga clic en
ACEPTAR para descargar el certificado. (No necesita exportar
la clave privada.)
2.

En el gestor de seguridad mvil, importe el certificado


seleccionando Dispositivo > Gestin de certificados >
Certificados > Certificados de dispositivo, haciendo clic en
Importar y desplazndose hasta el certificado que acaba de
descargar. Haga clic en ACEPTAR para importar el certificado.

3.

Seleccione Dispositivo > Certificados > Gestin de


certificados > Perfil de certificados, haga clic en Aadir e
introduzca un Nombre para identificar de forma exclusiva el
perfil, por ejemplo puertasEnlaceGP.

4.

En el campo Certificados de CA, haga clic en Aadir, seleccione


el certificado de CA que acaba de importar y, a continuacin,
haga clic en ACEPTAR.

5.

Haga clic en ACEPTAR para guardar el perfil.

6.

Configure el gestor de seguridad mvil para usar este perfil de


certificado para establecer una conexin HTTPS con las puertas
de enlace:
a. Seleccione Configuracin > Ajustes > Servidor y haga clic en
el icono Editar en la seccin Configuracin de la puerta de
enlace de GlobalProtect.
b. Seleccione el perfil de certificado que acaba de crear en la lista
desplegable Perfil de certificado.
c. Haga clic en ACEPTAR para guardar la configuracin.

7.
Gua del administrador de GlobalProtect

Compile los cambios en el gestor de seguridad mvil.


81

Configuracin del acceso de puerta de enlace al gestor de seguridad mvil

Configuracin del gestor de seguridad


mvil de GlobalProtect

Habilitacin del acceso de puerta de enlace al gestor de seguridad mvil (Continuacin)

Paso 5

82

Configure las puertas de enlace para que


accedan al gestor de seguridad mvil.

En cada cortafuegos que aloje una puerta de enlace de GlobalProtect


realice lo siguiente:
1. Seleccione Red> GlobalProtect > MDM y haga clic en Aadir
para aadir el gestor de seguridad mvil.
2.

Escriba un Nombre para el gestor de seguridad mvil y


especifique el sistema virtual al que pertenece en el campo
Ubicacin (si procede).

3.

Introduzca la direccin IP o FQDN del Servidor de la interfaz en


el gestor de seguridad mvil donde la puerta de enlace se conectar
para recuperar informes HIP. El valor debe coincidir con el campo
CN (y, si corresponde, con el SAN) del certificado del gestor de
seguridad mvil asociado con la interfaz.

4.

(Opcional) Si desea usar la autenticacin mutua entre la puerta de


enlace y el gestor de seguridad mvil, seleccione el Certificado de
cliente que presentar la puerta de enlace cuando establezca una
conexin con el gestor de seguridad mvil.

5.

En el campo CA raz de confianza, haga clic en Aadir y


seleccione el certificado de CA raz que se us para emitir el
certificado del gestor de seguridad mvil para la interfaz a la que se
conectar la puerta de enlace para recuperar los informes HIP.

6.

Haga clic en ACEPTAR o guarde los ajustes y despus Compile los


cambios.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Definicin de polticas de implementacin

Definicin de polticas de implementacin


Cuando un dispositivo mvil se inscribe correctamente con el gestor de seguridad mvil de GlobalProtect, se
registra con el gestor para enviar sus datos de host a intervalos regulares (por defecto, cada hora). El gestor de
seguridad mvil usa las reglas de poltica de implementacin que defina para determinar qu perfiles de configuracin
enviar al dispositivo. Esto le permite tener un control granular de los perfiles de configuracin que se
implementan (si los hay) en el dispositivo o se eliminan de l. Por ejemplo, puede crear distintas configuraciones
para distintos grupos de usuarios que tengan diferentes necesidades de acceso. Tambin puede crear reglas de
polticas que solo permitan que las configuraciones se enven a dispositivos que cumplan con los estndares de
seguridad.
Las siguientes secciones ofrecen informacin sobre cmo planificar su estrategia de gestin de seguridad mvil
e instrucciones para configurar sus polticas y perfiles:

Acerca de la implementacin de la poltica del gestor de seguridad mvil

Recomendaciones sobre las polticas del gestor de seguridad mvil

Integracin del gestor de seguridad mvil con su directorio LDAP

Definicin de objetos y perfiles HIP

Creacin de perfiles de configuracin

Creacin de polticas de implementacin

Acerca de la implementacin de la poltica del gestor de seguridad mvil


Cuando un dispositivo mvil se inscribe correctamente con el gestor de seguridad mvil de GlobalProtect, se
registra con el gestor a intervalos regulares. El proceso de registro consta de cuatro pasos:

Autenticacin: Para conectar con el gestor de seguridad mvil para registrarse, el dispositivo mvil presenta
el certificado de identidad que se emiti durante la inscripcin. Si ha habilitado el acceso a su servidor de
LDAP, el gestor de seguridad mvil puede usar el nombre de usuario autenticado para determinar una
comparacin de poltica en funcin de una pertenencia a grupo o usuario. Consulte Integracin del gestor
de seguridad mvil con su directorio LDAP.

Recopilacin de datos de dispositivo: El dispositivo mvil proporciona datos HIP que el gestor de
seguridad mvil procesa para crear un informe HIP completo para el dispositivo. El informe HIP
proporciona informacin de identificacin sobre el estado del dispositivo (como si se ha liberado o tiene el
root desbloqueado, si tiene habilitado el cifrado o si se ha definido un cdigo de acceso) y una lista de todas
las aplicaciones instaladas en el dispositivo. En el caso de los dispositivos Android, el gestor de seguridad
mvil calcula un hash para cada aplicacin y usa estos datos para determinar si se sabe que alguna de las
aplicaciones instaladas tenga malware en funcin de las actualizaciones de contenido de APK ms recientes.
Si desea ms informacin sobre la recopilacin de datos HIP, consulte Recopilacin de datos de dispositivos.

Implementacin de polticas: Cada regla de poltica del gestor de seguridad mvil se compone de dos
partes, criterios de coincidencia y configuraciones. Cuando un dispositivo se registra, el gestor de seguridad mvil
compara la informacin de usuario asociada con el dispositivo y los datos HIP recopilados con el dispositivo
con los criterios de coincidencia. Cuando encuentra la primera regla coincidente, enva las configuraciones
correspondientes al dispositivo.

Gua del administrador de GlobalProtect

83

Definicin de polticas de implementacin

Configuracin del gestor de seguridad


mvil de GlobalProtect

Criterios de coincidencia: El gestor de seguridad mvil usa el nombre de usuario del usuario del
dispositivo y la coincidencia HIP para determinar una coincidencia de polticas. El uso del nombre de
usuario le permite implementar polticas en funcin de la pertenencia de grupos. Consulte Acerca de la
comparacin de usuarios y grupos. Use la coincidencia de HIP para enviar polticas de implementacin
en funcin del cumplimiento de la seguridad del dispositivo y mediante otras caractersticas de
identificacin del dispositivo, como la versin de SO, etiqueta o modelo de dispositivo. Consulte
Acerca de la evaluacin HIP.

Configuraciones: Contiene los ajustes de configuracin, certificados, perfiles de aprovisionamiento


(solo iOS) y restricciones de dispositivo para realizar los envos a los dispositivos que coincidan con la
regla de poltica correspondiente. Como los sistemas operativos iOS y Android admiten distintos
ajustes y usan diferentes sintaxis, deber crear configuraciones diferentes para enviarlas a cada SO;
puede adjuntar tanto una configuracin para iOS como una para Android en la misma regla de poltica
y el gestor de seguridad mvil enviar automticamente la configuracin correcta al dispositivo. Si desea
informacin detallada sobre cmo crear configuraciones, consulte Creacin de perfiles de
configuracin.

Notificacin de incumplimiento: En algunos casos, un dispositivo puede no cumplir ninguna de las reglas
de poltica que ha definido. Por ejemplo, si ha creado un perfil HIP que solo coincide con dispositivos que
cumplan los estndares de seguridad (es decir, que estn cifrados y no estn liberados ni tengan el root
desbloqueado) y lo adjunta a sus reglas de polticas de implementacin. En este caso, las configuraciones solo
se envan a los dispositivos que coincidan con el perfil HIP. Puede definir un mensaje de notificacin HIP
para enviarlo a los dispositivos que no coinciden con el perfil para explicar por qu no reciben ninguna
configuracin. Si desea informacin ms detallada, consulte Acerca de la notificacin HIP.

Recopilacin de datos de dispositivos


El gestor de seguridad mvil recopila la siguiente informacin (segn corresponda) desde un dispositivo mvil
cada vez que se registra:
Categora

Datos recopilados

Informacin de host

Informacin sobre el propio dispositivo, incluyendo el SO y versin del SO, la versin de la


aplicacin GlobalProtect, el nombre y modelo del dispositivo e informacin identificativa
incluyendo el nmero de telfono, el nmero de identificacin internacional de equipos
mviles (IMEI) y el nmero de serie. Adems, si ha asignado etiquetas al dispositivo, esta
informacin tambin se comunica.

Configuracin

Informacin sobre el estado de seguridad del dispositivo, como si est liberado/tiene la raz
desbloqueada, si est cifrado y si el usuario ha definido un cdigo de acceso en el dispositivo.

Aplicaciones

Incluye una lista de todos los paquetes de aplicaciones instalados en el dispositivo, si contiene
aplicaciones conocidas por portar malware (solo dispositivos Android) y, opcionalmente, la
ubicacin GPS del dispositivo.

Ubicacin GPS

Incluye la ubicacin GPS del dispositivo, en caso de que tenga habilitados los servicios de
ubicacin. Sin embargo, por motivos de privacidad puede configurar el gestor de seguridad
mvil para excluir esta informacin de los datos recopilados.

84

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Definicin de polticas de implementacin

Acerca de la comparacin de usuarios y grupos


Para poder definir las polticas de implementacin de dispositivos mviles en funcin de un usuario o grupo, el
gestor de seguridad mvil debe recuperar la lista de grupos y la lista de miembros correspondiente en su servidor
de directorios. Para habilitar esta funcin, debe crear un perfil de servidor LDAP que indique al gestor de
seguridad mvil cmo conectarse al servidor y autenticarlo, as como el modo de buscar en el directorio la
informacin de usuarios y grupos. Cuando el gestor de seguridad mvil est totalmente integrado en el servidor
de directorios, deber poder seleccionar los usuarios o grupos cuando defina las polticas de implementacin de
dispositivos mviles. El gestor de seguridad mvil admite una variedad de servidores de directorios LDAP,
incluidos Microsoft Active Directory (AD), Novell eDirectory y Sun ONE Directory Server. Consulte
Integracin del gestor de seguridad mvil con su directorio LDAP si desea instrucciones sobre la configuracin
de la comparacin de grupos y usuarios.

Acerca de la evaluacin HIP


Cree objetos y perfiles HIP en el gestor de seguridad mvil para definir qu atributos de dispositivos desea
supervisar y usar para la implementacin de polticas:

Objetos HIP: Proporcionan los criterios de evaluacin con los que filtrar la informacin de host que desea
usar para aplicar las polticas. Por ejemplo, si desea identificar los dispositivos que tienen vulnerabilidades,
puede crear objetos HIP para cada estado de dispositivo que considera una vulnerabilidad. Por ejemplo,
puede crear un objeto HIP para los dispositivos que estn liberados/tienen la raz desbloqueada, otro para
los dispositivos que no estn cifrados y un tercero para los dispositivos que contienen malware.

Perfiles HIP: Una coleccin de objetos HIP que se evalan juntos mediante una lgica booleana que evala
los datos HIP con el perfil HIP resultante y determina si coinciden o no. Por ejemplo, si solo desea
implementar perfiles de configuracin en dispositivos que no tengan una vulnerabilidad, puede crear un
perfil HIP para adjuntarlo a su poltica y que solo coincida con dispositivos que no estn liberados, no tengan
la raz desbloqueada, estn cifrados y no contengan malware.

Para obtener instrucciones sobre cmo configurar las evaluaciones HIP, consulte Definicin de objetos y
perfiles HIP.

Acerca de la notificacin HIP


Por defecto, a los usuarios finales no se les informa de las decisiones sobre polticas derivadas de aplicar una
poltica de seguridad tipo HIP. Sin embargo, puede habilitar esta funcionalidad definiendo que se muestren
mensajes de notificacin HIP cuando un perfil HIP concreto coincida o no.
La decisin de cundo mostrar un mensaje (es decir, si aparece cuando el dispositivo coincide con un perfil HIP
de la poltica o cuando no coincide), depende en gran medida de su poltica y de lo que el usuario entiende por
coincidencia (o no coincidencia) de HIP. Es decir, si se produce la coincidencia se enviarn los perfiles de
configuracin correspondientes al dispositivo? O el dispositivo no recibir el perfil de configuracin hasta que
cumpla los requisitos?

Gua del administrador de GlobalProtect

85

Definicin de polticas de implementacin

Configuracin del gestor de seguridad


mvil de GlobalProtect

Por ejemplo, imagnese estas situaciones:

Crea un perfil HIP que evala si la versin de SO del dispositivo es mayor o igual a un nmero de versin
especfico. En este caso, puede que quiera crear un mensaje de notificacin HIP para dispositivos que no coincidan
con el perfil HIP, en el que indica a los usuarios del dispositivo que deben actualizar el SO del dispositivo para
poder recibir los perfiles de configuracin de la empresa.

Crea un perfil HIP que evala si la versin de SO del dispositivo es inferior a un nmero de versin especfico.
En este caso, en su lugar puede crear el mensaje para dispositivos que s coincidan con este perfil.

Las polticas del gestor de seguridad mvil que implemente le permiten asegurarse de que los dispositivos que accedan
a su red cumplan con sus polticas de seguridad y uso aceptable, le proporcionan un mecanismo de envo y simplifican
la implementacin de los ajustes de configuracin, certificados y perfiles de aprovisionamiento necesarios para acceder
a sus recursos de la empresa.
La forma en la que elija gestionar y configurar los dispositivos mviles depender de los requisitos especficos de su
compaa y la sensibilidad de los recursos a los que las configuraciones ofrecen acceso. Si desea informacin sobre
cmo configurar los mensajes de notificacin HIP, consulte Definicin de objetos y perfiles HIP.

Recomendaciones sobre las polticas del gestor de seguridad mvil


Antes de definir los perfiles de configuracin, los perfiles de aprovisionamiento y las restricciones de dispositivo
para enviarlos a los dispositivos gestionados, considere las siguientes recomendaciones:

86

Cree una regla de


poltica
predeterminada
que busque
vulnerabilidades
de dispositivos.
Dada su utilidad, los
dispositivos mviles
(incluso los que son
propiedad de la empresa) se usan con numerosos fines, ms all de los comerciales, lo que puede exponerlos
a vulnerabilidades y robos. Del mismo modo que se asegura de que los ordenadores y porttiles que acceden
a su red se mantienen y aseguran adecuadamente, debe asegurarse de que los dispositivos mviles que
acceden a los sistemas de la empresa estn libres de vulnerabilidades conocidas. Use perfiles HIP que
comprueben si un dispositivo cumple los requisitos que defina para asegurarse de que los perfiles de
configuracin que dan acceso a los recursos de la empresa solo se envan tras valorar si el dispositivo tiene
o no vulnerabilidades conocidas, est liberado/tiene la raz desbloqueada o contiene aplicaciones que se
saben que son portadoras de malware. La mejor forma de hacerlo es crear una regla de poltica
predeterminada que identifique los dispositivos que contienen una vulnerabilidad mediante una evaluacin
HIP. Para los dispositivos que cumplan esa regla, la poltica podra o bien enviar un perfil vaco (es decir, no
adjuntar ningn perfil) o bien enviar un perfil que solo contengan un requisito de contrasea (en caso de que
el dispositivo vulnerable contenga datos de la empresa o tenga acceso a sistemas de la empresa). En este caso
tambin debera crear una notificacin de coincidencia HIP para informar a sus usuarios del motivo por el
que no reciben sus ajustes de cuenta.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Definicin de polticas de implementacin

Exija cdigo de acceso y cifrado de datos complejos.


Los dispositivos mviles son, por naturaleza, fciles de
perder y de robar. Si un dispositivo sin cdigo de acceso
cae en las manos equivocadas cualquier sistema
empresarial al que se tenga acceso desde el dispositivo
estar en peligro. Por ello, siempre exigir un cdigo de acceso en los dispositivos que gestione. Adems,
como los dispositivos Android no cifran automticamente los datos al definir un cdigo de acceso, como s
hacen los dispositivos iOS, deber exigir siempre que los dispositivos Android gestionados tengan habilitado
el cifrado de datos. Aunque hay varias formas de imponer estos requisitos, la ms sencilla es incluir los
requisitos de cdigo de acceso y cifrado en cada perfil de configuracin que enve. Si incluye los requisitos
para el dispositivo en los perfiles de configuracin que permiten acceder a sus recursos de la empresa (como
el correo electrnico, la VPN o la red Wi-Fi), obligar al usuario del dispositivo mvil a definir un cdigo de
acceso que cumpla sus requisitos y a habilitar el cifrado de datos antes de instalar el perfil, lo que evitar que
los usuarios finales accedan a la cuenta correspondiente hasta que el dispositivo cumpla lo estipulado.
Enve un perfil de configuracin de VPN de
GlobalProtect VPN para simplificar la implementacin.
Para simplificar la implementacin de los ajustes del agente
GlobalProtect en los dispositivos iOS que gestiona, cree un
perfil de configuracin iOS y configure los ajustes de VPN de
modo que el dispositivo pueda conectar automticamente con
su VPN de GlobalProtect cuando implemente la poltica
correspondiente.

Cree perfiles de configuracin


distintos para acceder a las distintas
cuentas. Aunque puede crear perfiles
de seguridad que enven ajustes a
mltiples cuentas, puede simplificar la
administracin y mejorar la capacidad de
uso creando perfiles de configuracin
diferentes para cada servicio. Esto
permite a los usuarios eliminar perfiles
de cuentas que no necesitan o quieren.
Del mismo modo, cuando un usuario
necesita un cambio de servicio concreto, basta con cambiar los ajustes de implementacin de polticas para que
el perfil se elimine automticamente de los dispositivos de usuario o se agreguen a ellos como corresponda.
Adems, si segrega las configuraciones de cuenta en archivos separados, podr crear ms fcilmente polticas
adaptadas a las necesidades de acceso de sus grupos de usuarios.

Use los perfiles de aprovisionamiento iOS para simplificar la implementacin de aplicaciones


empresariales. Los perfiles de aprovisionamiento ofrecen un mtodo cmodo y automatizado para distribuir
aplicaciones de empresa desarrolladas internamente a los dispositivos iOS gestionados de su red. Aunque el gestor
de seguridad mvil simplifica la implementacin de perfiles de aprovisionamiento en un gran nmero de
dispositivos mviles, hay algunos factores de seguridad que se deben tener en cuenta. Cuando revoque el acceso
a una aplicacin habilitada a travs de un perfil de aprovisionamiento, la aplicacin seguir ejecutndose en el
dispositivo hasta que lo apague, aunque la poltica del gestor de seguridad mvil elimine el perfil. Adems, como
los perfiles de aprovisionamiento estn sincronizados con iTunes, el perfil puede reinstalarse la siguiente vez que
el usuario final sincronice el dispositivo con iTunes. Considere las siguientes recomendaciones:

Gua del administrador de GlobalProtect

87

Definicin de polticas de implementacin

88

Configuracin del gestor de seguridad


mvil de GlobalProtect

Exija una autenticacin para usar la aplicacin. Esto impide el acceso a aquellos usuarios que no estn
autorizados a usar la aplicacin pero tienen instalado el perfil de aprovisionamiento en sus dispositivos.

Para asegurar que no realicen copias de seguridad de los datos de aplicaciones de la empresa en iCloud o
iTunes, donde podran estar al alcance de usuarios no autorizados, asegrese de que las aplicaciones que
desarrolle internamente usen a carpeta Caches de la aplicacin para almacenar los datos, ya que esta carpeta
se excluye de la copia de seguridad.

Cuando elimine los privilegios de acceso a la aplicacin de un usuario, no confe nicamente en la eliminacin
del perfil de aprovisionamiento de la poltica del gestor de seguridad mvil, debe desactivar tambin la cuenta
del usuario en sus servidores internos.

Asegrese de tener la capacidad de borrar los datos de aplicaciones locales en el dispositivo mvil cuando se
elimina el acceso a la aplicacin.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Definicin de polticas de implementacin

Integracin del gestor de seguridad mvil con su directorio LDAP


Utilice el siguiente procedimiento para conectarse a su directorio LDAP y as habilitar que el gestor de seguridad
mvil recupere informacin de usuario y grupo:
Integracin con el servidor de directorios

Paso 1

Cree un perfil de servidor LDAP que especifique cmo conectarse a los servidores de directorio que desee que utilice
el cortafuegos para obtener informacin de asignacin de grupos.
1. Seleccione Configuracin >
Perfiles de servidor > LDAP.
2. Haga clic en Aadir y, a
continuacin, introduzca un
Nombre para el perfil.
3. Haga clic en Aadir para aadir
una nueva entrada de servidor
LDAP y, a continuacin,
introduzca un nombre de
Servidor para identificar al
servidor (de 1 a 31 caracteres) y
el nmero de Direccin IP y
Puerto que debera utilizar el
cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP; 636 para LDAP sobre
SSL). Puede aadir hasta cuatro servidores LDAP al perfil; sin embargo, todos los servidores que aada a un
perfil debern ser del mismo tipo. Para la redundancia, debera aadir como mnimo dos servidores.
4. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor que
introduzca aqu depender de su implementacin:
Si est utilizando Active Directory, deber introducir el nombre de dominio NetBIOS; NO el FQDN (por
ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios dominios,
deber crear perfiles de servidor separados. Aunque el nombre de dominio se puede determinar
automticamente, la prctica recomendada es introducir el nombre de dominio siempre que sea posible.
Si est utilizando un servidor de catlogo global, deje este campo en blanco.
5. Seleccione el Tipo de servidor LDAP al que se est conectando. Los valores de asignacin de grupos se
cumplimentarn automticamente segn su seleccin. Sin embargo, si ha personalizado su esquema, puede que
tenga que modificar los ajustes predeterminados.
6. En el campo Base, especifique el punto donde desee que el gestor de seguridad mvil comience su bsqueda de
informacin de usuarios y grupos dentro del rbol de LDAP.
7. Introduzca las credenciales de autenticacin para el enlace con el rbol de LDAP en los campos Enlazar DN,
Enlazar contrasea y Confirmar contrasea de enlace. El valor de Enlazar DN puede tener el formato
Nombre principal del usuario (UPN)
(p. ej., administrador@acme.local) o puede ser un nombre de LDAP completo
(p. ej., cn=administrador,cn=usuarios,dc=acme,dc=local).
8. Si desea que el gestor de seguridad mvil se comunique con los servidores LDAP a travs de una conexin segura,
seleccione la casilla de verificacin SSL. Si habilita SSL, asegrese de que tambin ha especificado el nmero de
puerto adecuado.

Gua del administrador de GlobalProtect

89

Definicin de polticas de implementacin

Configuracin del gestor de seguridad


mvil de GlobalProtect

Integracin con el servidor de directorios (Continuacin)

Paso 2

Aada el perfil de servidor LDAP a la configuracin de integracin de directorios.


1. Seleccione Configuracin > Base de datos de
usuario > Integracin de directorios y haga
clic en Aadir.
2. Seleccione el Perfil de servidor que cre en el
Paso 1.
3. Asegrese de que la casilla de verificacin
Habilitado est seleccionada.
4. (Opcional) Si desea limitar los grupos que se
muestran en la poltica de seguridad,
seleccione la pestaa Lista de inclusin de
grupos y, a continuacin, examine el rbol de
LDAP para localizar los grupos que desea
poder utilizar en la poltica. En el caso de cada
grupo que desee incluir, seleccinelo en la lista
Grupos disponibles y haga clic en el icono de
adicin para moverlo a la lista Grupos incluidos. Repita este paso para cada grupo que desee poder utilizar
en sus polticas.
5. Haga clic en ACEPTAR para guardar la configuracin.

Paso 3

Guarde la configuracin.

Haga clic en Compilar.

Definicin de objetos y perfiles HIP


El uso de perfiles HIP en la poltica de gestor de seguridad mvil permite la implementacin de configuraciones
y asegura que los dispositivos mviles cumplen con los requisitos de seguridad de la empresa para recibir los
perfiles de configuracin que permite el acceso a sus recursos de la empresa. Por ejemplo, antes de enviar las
configuraciones que permiten el acceso a sus sistemas de la empresa, puede que desee asegurarse de que los
datos del dispositivo se han cifrado y los dispositivos no estn liberados ni tienen la raz desbloqueada. Para ello,
debe crear un perfil HIP que evale los dispositivos que cumplen estos criterios y adjuntarlos a las reglas de
polticas de implementacin.

90

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Definicin de polticas de implementacin

Creacin de objetos y perfiles HIP

Paso 1

Cree objetos HIP para filtrar los datos de 1.


los que informa el dispositivo.

Seleccione Polticas > Informacin de host > Objetos HIP y


haga clic en Aadir.

Nota

2.
La funcin de pestaa le permite crear
etiquetas personalizadas para los
dispositivos que desee gestionar para
3.
agruparlos fcilmente. Por ejemplo,
puede crear etiquetas para distinguir
dispositivos personales de dispositivos de
la empresa. A continuacin, puede crear
objetos HIP que coincidan con etiquetas
especficas, lo cual ofrece posibilidades
infinitas de agrupar los dispositivos
gestionados para la implementacin de la
configuracin. Si desea ms informacin
sobre la creacin de etiquetas, consulte
Agrupacin de dispositivos por etiqueta
para simplificar la administracin de
dispositivos.

En la pestaa General, introduzca un Nombre y, si lo desea, una


Descripcin para el objeto.

Nota

Si desea obtener informacin detallada


sobre un campo de objeto HIP especfico,
consulte la ayuda en lnea.

Nota

La coincidencia HIP se produce cuando el


dispositivo tiene instalada alguna de las
aplicaciones de la lista.

Defina los criterios de evaluacin del objeto HIP como se


indica:
Para evaluar las caractersticas de identificacin del
dispositivo mvil, como SO, versin de aplicacin
GlobalProtect o nmero de telfono seleccione la casilla de
verificacin Informacin de host y defina los valores que
desea evaluar. En cada elemento que desea evaluar,
seleccione un operador en la lista desplegable que indique si
el valor especificado Es, No es o Contiene el valor que ha
introducido o seleccionado. Por ejemplo, si usa este objeto
para crear un perfil para usarlo en polticas que se
implementarn en los dispositivos iOS, seleccione Es e iOS
en las listas desplegables del campo SO.
Para evaluar el estado del dispositivo, por ejemplo si est
liberado/tiene la raz desbloqueada o tiene un cdigo de
acceso, seleccione la pestaa Ajustes y seleccione S o No
para determinar cmo comparar el ajuste. Por ejemplo, si
desea que el objeto evale dispositivos que no tienen un
cdigo de acceso definido, seleccione No en el campo Cdigo
de acceso.
Para evaluar segn las aplicaciones especficas instaladas en el
dispositivo, seleccione Aplicaciones > Incluir y haga clic en
Aadir para especificar uno o ms paquetes de aplicaciones
que evaluar. La lista de aplicaciones que defina puede ser una
lista negra o una lista segura, en funcin de cmo configure
el perfil HIP para que evale el objeto. Por ejemplo, para
crear una lista negra de aplicaciones debe aadir una lista de
aplicaciones aqu y despus configurar el perfil HIP en que
No coincida con el objeto.
(Solo dispositivos Android) Para evaluar si el dispositivo
tiene o no instaladas aplicaciones infectadas con malware,
seleccione Aplicaciones > Criterios y seleccione un valor en
la lista desplegable Tiene malware. Tambin, para permitir
aplicaciones especficas que segn WildFire contienen
malware, seleccione S, haga clic en Aadir y especifique los
paquetes de aplicaciones que desea que no se consideren
malware.

Gua del administrador de GlobalProtect

4.

Haga clic en ACEPTAR para guardar el objeto HIP.

5.

Repita estos pasos para crear los objetos HIP adicionales que
necesite.

91

Definicin de polticas de implementacin

Configuracin del gestor de seguridad


mvil de GlobalProtect

Creacin de objetos y perfiles HIP (Continuacin)

Paso 2

Cree los perfiles HIP que tiene pensado


usar en sus polticas.

1.

2.
Cuando crea sus perfiles HIP, puede
combinar objetos HIP que haya creado
previamente (as como otros perfiles HIP) 3.
usando lgica booleana como la que se
usa cuando un flujo de trfico se evala 4.
con respecto al perfil HIP resultante
con el que tendr, o no, coincidencia.
Si coincide, la regla de poltica
correspondiente se aplicar; si no
coincide, el flujo se evaluar con respecto
a la siguiente regla, como con cualquier
otro criterio de coincidencia de poltica.

Paso 3

Paso 4

92

Introduzca un Nombre descriptivo para el perfil y,


opcionalmente, una Descripcin.
Haga clic en Aadir criterios de coincidencia para abrir el
generador de objetos/perfiles HIP.
Seleccione el primer objeto o perfil HIP que desea utilizar como
criterio de bsqueda y, a continuacin, haga clic en Aadir
para moverlo sobre el cuadro de texto Coincidencia en el
cuadro de dilogo Perfil HIP. Tenga en cuenta que, si desea que
el perfil HIP evale el objeto como una coincidencia solo
cuando el criterio del objeto no sea verdadero para un flujo,
seleccione la casilla de verificacin NO antes de aadir el objeto.

5.

Contine aadiendo criterios de coincidencia como


corresponda para el perfil que est creando, seleccionando el
botn de opcin del operador booleano apropiado (Y u O) cada
vez que aada un elemento (y, de nuevo, use la casilla de
verificacin NO cuando corresponda).

6.

Si est creando una expresin booleana compleja, debe aadir


manualmente el parntesis en los lugares adecuados del cuadro
de texto Coincidencia para asegurarse de que el perfil HIP se
evala usando la lgica que desea.

7.

Cuando termine de aadir criterios de evaluacin haga clic en


ACEPTAR para guardar el perfil.

8.

Repita estos pasos para crear cada perfil HIP adicional que
necesite.

(Opcional) Por motivos de privacidad, la 1.


ubicacin GPS del dispositivo mvil no
se incluye en los datos de HIP de los que
la aplicacin informa por defecto. Sin
2.
embargo, puede habilitar la ubicacin
GPS si necesita esta informacin para la
implementacin de polticas.
Compruebe que los objetos HIP y los
perfiles HIP que ha creado coinciden con
los dispositivos gestionados segn lo
esperado.

Seleccione Polticas > Informacin de host > Perfiles HIP y


haga clic en Aadir.

Seleccione Polticas > Informacin de host > Recopilacin de


datos y haga clic en el icono Editar
en la seccin
Recopilacin de datos.
Seleccione la casilla de verificacin Habilitar identificacin de
usuarios y, a continuacin, haga clic en ACEPTAR.

Seleccione Supervisar > Logs > Coincidencias HIP. Este log


muestra todas las coincidencias que el gestor de seguridad mvil ha
identificado cuando evalu los datos de dispositivo de los que
inform la aplicacin y los compar con los objetos HIP y los
perfiles HIP.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Definicin de polticas de implementacin

Creacin de objetos y perfiles HIP (Continuacin)

Paso 5

1.
Defina los mensajes de notificacin que
vern los usuarios finales cuando se aplique
una regla de poltica con un perfil HIP.
2.
La decisin de cundo mostrar un mensaje
(es decir, si aparece cuando la configuracin 3.
del usuario coincide con un perfil HIP en la
poltica o cuando no coincide), depende en
gran medida de su poltica y de lo que el
usuario entiende por coincidencia (o no
coincidencia) de HIP. Es decir, significa la
coincidencia que se concede total acceso a 4.
los recursos de su red? O significa que tiene
acceso limitado debido a un problema de
incumplimiento?
5.
Por ejemplo, suponga que crea un perfil
HIP para dispositivos cuyos datos no estn 6.
cifrados como exige la poltica de la
empresa. En este caso, puede crear un
7.
mensaje de notificacin HIP para usuarios
que coinciden con el perfil HIP y les indica
que deben habilitar el cifrado de disco para
poder recibir los perfiles de configuracin
que les dan acceso a los recursos de la
empresa. Por el contrario, si su perfil HIP
coincide con los dispositivos que s tengan el
cifrado habilitado, puede crear el mensaje
para aquellos usuarios que no se ajusten al
perfil.

Paso 6

Guarde la configuracin HIP.

Seleccione Polticas > Informacin de host > Notificaciones y


haga clic en Aadir.
Seleccione el Perfil HIP al que se aplica este mensaje en el men
desplegable.
Seleccione Coincidir mensaje o Mensaje no coincidente, en
funcin de si desea mostrar el mensaje cuando se cumpla el perfil
HIP correspondiente en la poltica o no. En algunos casos, puede
que quiera crear mensajes tanto para coincidencia como para no
coincidencia, dependiendo de los objetos que compare y sus
objetivos para la poltica.
(Solo mensajes de coincidencia) Seleccione la casilla de verificacin
Incluir lista de aplicaciones para indicar qu aplicaciones

activaron la coincidencia de HIP en el mensaje de notificacin.


Seleccione la casilla de verificacin Habilitar e introduzca el texto
de su mensaje en el cuadro de texto Plantilla.
Haga clic en ACEPTAR para guardar el mensaje de notificacin
HIP.
Repita este procedimiento para cada mensaje que quiera definir.

Haga clic en Compilar.

Creacin de perfiles de configuracin


Los perfiles de configuracin del gestor de seguridad mvil proporcionan un mecanismo simplificado para
enviar configuraciones y restricciones a grupos de dispositivos gestionados. Como los perfiles de configuracin
que define se envan a dispositivos mviles en funcin de las coincidencias de polticas, puede definir
configuraciones muy especficas o muy amplias y despus implementarlas a usuarios y grupos especficos en
funcin del estado del dispositivo y su cumplimiento de los requisitos de seguridad de la empresa.
Adems puede usar los perfiles de seguridad para imponer restricciones se seguridad, como forzar el uso de un
cdigo de acceso o restringir las funcionalidades del dispositivo (como el uso de la cmara).

Iconos de clips web: Si planea implementar clips web para proporcionar accesos directos a sitios web o
aplicaciones basadas en la web, deber importar los iconos de clip web asociados antes de crear las polticas
de configuracin que correspondan. Consulte Importacin de iconos de clip web.

Gua del administrador de GlobalProtect

93

Definicin de polticas de implementacin

Configuracin del gestor de seguridad


mvil de GlobalProtect

Perfiles: Contienen los ajustes de configuracin, restricciones y clips web que se enviarn a los dispositivos
gestionados durante el registro. Deber crear perfiles de configuracin distintos para los dispositivos iOS y
Android, ya que estos sistemas operativos tienen diferentes funcionalidades. Si desea detalles de creacin de
los perfiles, consulte Creacin de un perfil de configuracin Android y Creacin de un perfil de
configuracin iOS. Tambin puede usar el perfil de configuracin iOS para automatizar el proceso de
configuracin de los dispositivos mviles para conectar con la VPN de GlobalProtect. Consulte Definicin
de una configuracin VPN de GlobalProtect si desea instrucciones especficas sobre esta configuracin.

Perfiles de aprovisionamiento iOS. Es necesario implementar un perfil de aprovisionamiento para que los
usuarios de iOS puedan iniciar aplicaciones empresariales desarrolladas a nivel interno. Puede crear
configuraciones que le permitan implementar perfiles de aprovisionamiento en dispositivos tal y como se
describe en Importacin de un perfil de aprovisionamiento iOS.

Configuraciones SCEP. Son configuraciones que permiten a los dispositivos iOS usar el protocolo de
inscripcin de certificados simple (SCEP) para obtener certificados de una CA con SCEP, como el servidor SCEP
de Microsoft. El SCEP puede usarse para emitir los certificados de identidad que requiere el gestor de seguridad
mvil o bien para emitir certificados para otros servicios necesarios en el dispositivo. Para obtener ms
informacin, consulte Definicin de una configuracin SCEP.

Despus de crear los perfiles de configuracin que necesite para los dispositivos que gestione el gestor de seguridad
mvil, deber crear las polticas de implementacin que garanticen que las configuraciones se envan a los dispositivos
adecuados. Consulte Creacin de polticas de implementacin para obtener informacin detallada.

Importacin de iconos de clip web


Los clips web proporcionan accesos directos a sitios web o aplicaciones basadas en la web. Cuando un usuario toca
un icono de clip web, automticamente abre la URL asociada. El gestor de seguridad mvil pueden implementar
automticamente clips web a los dispositivos gestionados para proporcionar accesos directos que ofrezcan a los
usuarios un acceso rpido a los sistemas internos, como las bases de datos de seguimiento de errores internos, la
Intranet o los sistemas de RR. HH. Si planea incluir clips web en las configuraciones que implemente, puede que
quiera crear iconos asociados para mostrarlos en la pantalla de inicio.
Debe importar los iconos de clip web en el gestor de seguridad mvil como se indica a continuacin antes de crear
los perfiles de configuracin que incluyen los clips web. Si no asocia un icono con un clip web, se mostrar un
cuadrado blanco en su lugar.

94

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Definicin de polticas de implementacin

Creacin de iconos de clips web

Paso 1

Cree los archivos de imgenes que desee


usar como iconos de clip web.

Nota

Los iconos que cree para usarlos con sus


clips web deben cumplir criterios
especficos de nombre e imagen para que el
SO los muestre adecuadamente. Si desea
recomendaciones sobre cmo crear iconos
para dispositivos Android, consulte el
siguiente documento en el sitio de
desarrolladores de Android: Directrices
para el diseo de iconos (en ingls).
Si desea recomendaciones sobre cmo crear
iconos para dispositivos iOS, consulte
el siguiente documento en el sitio de
desarrolladores de iOS: Directrices para la
creacin de imgenes e iconos
personalizados (en ingls).

Directrices para iconos Android

Utilice archivos PNG de 32 bits con un canal alfa para la transparencia.


Use diferentes dimensiones para cada densidad de pantalla, tal y como se
indica:
Densidad baja 36x36 px
Densidad media 48x48 px
Densidad alta 72x72 px
Densidad superalta 96x96 px
Nota

Si la imagen es mayor de 96 px, se ajusta automticamente a


96x96 px en el dispositivo.

Directrices para iconos iOS

Use archivos PNG no entrelazados. Si desea que iOS aada sus efectos
estndar (esquinas redondeadas, sombra paralela y brillo reflectante),
asegrese de que la imagen tiene esquinas en 90 y no tiene ningn brillo
o satinado. Cree diferentes imgenes con distintas dimensiones para
cada plataforma iOS como se indica a continuacin:
Para iPhone y iPod touch: 57x57 px (114x114 px para una alta
resolucin)
Para iPad: 72x72 px (144x144 px para una alta resolucin)

Paso 2

Paso 3

Importe cada icono de clip web en el gestor 1.


de seguridad mvil.

Guarde sus cambios.

Gua del administrador de GlobalProtect

Seleccione Polticas > Configuracin > Iconos de clip web y


haga clic en Aadir.

2.

Introduzca un Nombre y una Descripcin del icono.

3.

Seleccione Examinar y vaya hasta la ubicacin del icono de clip


web y haga clic en Abrir. El nombre de archivo y ruta aparecern
en el campo Archivo.

4.

Haga clic en ACEPTAR.

Haga clic en Compilar.

95

Definicin de polticas de implementacin

Configuracin del gestor de seguridad


mvil de GlobalProtect

Creacin de un perfil de configuracin iOS


El perfil de configuracin iOS contiene los ajustes de configuracin, certificados, clips web y restricciones para
enviarlos a un grupo especfico de dispositivos iOS. Si tiene grupos de usuarios de dispositivos iOS que
necesitan acceso a diferentes servicios o distintos niveles de restricciones, deber crear un perfil de
configuracin de iOS distinto para cada uno.
Creacin de un perfil de configuracin iOS

Paso 1

Aada un perfil de configuracin.

1.

Seleccione Polticas > Configuracin > iOS y haga clic en


Aadir.

Paso 2

Paso 3

Paso 4

Introduzca la informacin de
identificacin para la configuracin.

(Opcional) Defina cmo puede


modificarse el perfil.

Especifique los requisitos de cdigo de


acceso de los dispositivos.
Si especifica requisitos de cdigo de
acceso, los usuarios de los dispositivos
debern respetar los ajustes de cdigo de
acceso que defina.

96

1.

En la pestaa General, escriba un Nombre para mostrar para la


configuracin en la interfaz web del gestor de seguridad mvil.

2.

Introduzca un Nombre para mostrar para que aparezca en la


pantalla de detalles/perfiles en el dispositivo mvil, as como en
el informe HIP del dispositivo.

3.

Introduzca un identificador para la configuracin en formato


de estilo DNS inverso. Por ejemplo, si este perfil va a usarse
para enviar una configuracin base de iOS a los dispositivos,
puede asignar a la configuracin un nombre parecido a
com.acme.perfiliOS.

4.

(Opcional) Introduzca tambin una Descripcin para que se


muestre en la pantalla Detalles del dispositivo mvil.

1.

Por defecto, el usuario puede eliminar un perfil de


configuracin del dispositivo. Para evitar que los usuarios
eliminen esta configuracin, seleccione Nunca en la lista
desplegable El usuario puede eliminar el perfil. Para exigir una
contrasea para la eliminacin seleccione Con autorizacin y
defina la Contrasea de autorizacin.

2.

(iOS 6.0 y posteriores) Por defecto el perfil no se eliminar


automticamente. Sin embargo, puede seleccionar un valor de la
lista desplegable Eliminar perfil automticamente para
eliminar el perfil automticamente tras un nmero de das
especficos o en una fecha concreta.

1.

Si desea obligar a los usuarios de dispositivos que reciben esta


configuracin a usar un cdigo de acceso en el dispositivo,
seleccione la pestaa Cdigo de acceso y seleccione la casilla de
verificacin Cdigo de acceso para habilitar la restriccin. Con
solo habilitar este campo obligar a usar un cdigo de acceso de
un mnimo de 4 caracteres sin imponer requisitos adicionales.

2.

(Opcional) Especifique requisitos adicionales de cdigo de


acceso que desee aplicar, como la longitud o la complejidad, la
frecuencia con la que el usuario debe cambiar el cdigo de
acceso o si debe forzar el dispositivo a bloquearse
automticamente tras un nmero especificado de minutos.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Definicin de polticas de implementacin

Creacin de un perfil de configuracin iOS (Continuacin)

Paso 5

Paso 6

Defina las restricciones sobre lo que el


usuario puede hacer con el dispositivo.

Proporciones los ajustes de configuracin


que permiten el acceso del dispositivo a
uno o ms de los siguientes servicios:
Wi-Fi
VPN (GlobalProtect)
Correo electrnico
Exchange Active Sync
LDAP

1.

Seleccione la pestaa Restricciones y despus la casilla de


verificacin Restricciones para permitir que la configuracin
controle de lo que el usuario puede hacer con el dispositivo
mvil.

2.

Seleccione o cancele la seleccin de las casillas de verificacin en


las pestaas Funcionalidad del dispositivo, Aplicaciones,
iCloud, Seguridad y privacidad y Valoracin del contenido
para definir las restricciones de dispositivos que desee. Por
ejemplo, si no desea que los usuarios usen la cmara, cancele la
seleccin de la casilla de verificacin Permitir uso de la
cmara.

Para habilitar los ajustes de configuracin para un tipo de recurso


especfico:
1. Seleccione la pestaa y la casilla de verificacin correspondiente
para habilitar la configuracin. Por ejemplo, para habilitar una
configuracin Wi-Fi, debe seleccione la pestaa Wi-Fi y despus
la casilla de verificacin Wi-Fi.
2.

Haga clic en Aadir para abrir la ventana de configuracin.

3.

Cumplimente los campos como sea necesario para permitir que


los dispositivos mviles accedan al servicio (los campos con el
fondo amarillo son obligatorios). Consulte la ayuda en lnea si
desea informacin sobre qu introducir en un campo especfico.

Repita este paso para cada servicio para el


que dese enviar los ajustes en este perfil de
configuracin. Puede incluso definir
4.
mltiples configuraciones para el mismo
tipo de servicio, por ejemplo si desea
enviar ajustes de envo para unirse a
mltiples redes Wi-Fi. Si desea
instrucciones especficas sobre cmo
crear una configuracin VPN de
GlobalProtect, consulte Definicin de
5.
una configuracin VPN de
GlobalProtect.

En las configuraciones que requieran un Nombre de usuario, la


configuracin usar por defecto el nombre de usuario del
usuario final que se proporcion cuando se autentic en el
gestor de seguridad mvil durante la inscripcin (Usar
guardado). Para especificar un nombre de usuario diferente,
seleccione Fijo e introduzca un nombre de usuario en el cuadro
de texto.
En las configuraciones que requieran una Contrasea, la
configuracin usar una contrasea que el usuario define en el
dispositivo mvil (Definida en el dispositivo) por defecto. Para
usar la contrasea que el usuario final proporcion al
autenticarse en el gestor de seguridad mvil durante la
inscripcin (Usar guardada). O para especificar una contrasea
diferente, seleccione Fija e introduzca una contrasea en el
cuadro de texto.

Nota

Gua del administrador de GlobalProtect

En las configuraciones Wi-Fi hay un ajuste de contrasea


adicional, Definir por cada conexin, que requiere que el
usuario del dispositivo introduzca la contrasea al volverse
a unir a la red.

97

Definicin de polticas de implementacin

Configuracin del gestor de seguridad


mvil de GlobalProtect

Creacin de un perfil de configuracin iOS (Continuacin)

Paso 7

Cree accesos directos a los sitios web o las 1.


aplicaciones basadas en web (llamados
2.
clips web) para mostrarlos en la pantalla
Inicio del dispositivo.
3.
Los clips web son tiles para ofrecer
acceso rpido a los sitios web a los que sus 4.
usuarios mviles necesitan acceder, como
5.
su Intranet o el sistema de seguimiento de
errores internos. Antes de crear una
6.
configuracin que incluya un clip web,
debe importar el icono asociado para
mostrarlo en la pantalla del dispositivo.
Consulte las instrucciones de
Importacin de iconos de clip web.

Nota

Paso 8

Paso 9

A causa de un error conocido de iOS, la


modificacin o eliminacin de un clip
web de una configuracin provocar un
artefacto en la pantalla de inicio del
dispositivo hasta que se reinicie la
siguiente vez.

98

Introduzca un Nombre para el clip web que se usar con el


gestor de seguridad mvil.
Introduzca una Etiqueta para que el clip web se muestre en la
pantalla de inicio.
Escriba la URL que se cargar cuando el usuario toque el clip web.
Seleccione un Icono que haya importado previamente o haga
clic en Icono en el men desplegable para importar uno nuevo.
Para evitar que los usuarios eliminen el clip web de la pantalla
Inicio, borre la casilla de verificacin Eliminable.

7.

Si desea evitar que iOS aada efectos estndar al icono (esquinas


redondeadas, sombra paralela y brillo reflectante), seleccione la
casilla de verificacin Precompuesto.

8.

Si desea que la pgina web se muestre en pantalla completa en


lugar de iniciar Safari para que muestre el contenido, seleccione
Pantalla completa.

9.

Haga clic en ACEPTAR para guardar el clip web.

1.
Aada certificados para enviarlos a los
dispositivos mviles. Pueden ser
2.
certificados que gener en el gestor de
seguridad mvil o certificados que
3.
import de una CA distinta. Puede enviar
cualquier certificado que el dispositivo
vaya a necesitar para conectar con sus
aplicaciones y servicios internos.
1.
Defina un nombre de punto de acceso
(APN) para que el dispositivo mvil lo
use para presentarlo al operador para
2.
identificar el tipo de conexin de red que
suministrar.

Paso 10 Guarde el perfil de configuracin.

Seleccione la pestaa Clips web y haga clic en Aadir.

Seleccione la pestaa Certificados y haga clic en Aadir.


Seleccione un certificado existente en la lista o elija Importar un
certificado generado por una CA diferente.
Si el certificado contiene una clave privado, tambin debe
introducir la Contrasea que se usar para descifrar la clave.

Seleccione la pestaa APN y despus la casilla de verificacin


APN para habilitar el servicio en los dispositivos gestionados.
Introduzca el Nombre de punto de acceso para la red de datos
de paquete (PDN) u otro servicio, como un servidor de
protocolo de aplicaciones inalmbricas o (WAP) o servicio de
mensajera multimedia (MMS) para permitir que los dispositivos
mviles se comuniquen con l.

1.

Haga clic en ACEPTAR para guardar los ajustes de configuracin


que ha definido y cerrar el cuadro de dilogo Configuracin iOS.

2.

Compile sus cambios.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Definicin de polticas de implementacin

Definicin de una configuracin VPN de GlobalProtect


Aunque el gestor de seguridad mvil de GlobalProtect le permite enviar ajustes de configuracin que ofrecen
acceso a sus recursos empresariales y ofrece un mecanismo para imponer restricciones a los dispositivos, no
asegura la conexin entre el dispositivo mvil y los servicios con los que conecta. Para habilitar que el cliente
establezca conexiones de tnel seguras, debe activar la compatibilidad VPN en el dispositivo. Para una
configuracin simplificada de VPN de GlobalProtect en los dispositivos iOS, puede enviar los ajustes de
configuracin VPN de GlobalProtect al dispositivo en el perfil de configuracin tal y como se describe en el
siguiente procedimiento. Si desea informacin general sobre configuracin, consulte Creacin de un perfil de
configuracin iOS.
Creacin de una configuracin VPN de GlobalProtect

Paso 1

Paso 2

Seleccione o aada un perfil de


configuracin iOS al que aadir los
ajustes de configuracin VPN de
GlobalProtect.

Seleccione Polticas > Configuracin > iOS y haga clic en Aadir o


seleccione una configuracin existente a la que aadir los ajustes VPN.

Defina los ajustes de conexin VPN de


GlobalProtect.

1.

Seleccione la pestaa VPN y haga clic en Aadir para abrir el


cuadro de dilogo VPN.

2.

Introduzca un Nombre para identificar esta configuracin en el


gestor de seguridad mvil.

3.

Introduzca un Nombre de conexin para mostrarlo en el


dispositivo.

4.

Introduzca la direccin IP o FQDN del portal de GlobalProtect


en el campo Servidor. El valor que introduzca debe coincidir
con el campo CN del certificado del servidor del portal.

5.

Asegrese de que Tipo de conexin se define como Palo Alto


Networks GlobalProtect.

Gua del administrador de GlobalProtect

Si se trata de un nuevo perfil de configuracin, introduzca


informacin de identificacin del perfil y defina otros ajustes y
restricciones de configuracin como corresponda. Consulte
Creacin de un perfil de configuracin iOS para obtener informacin
detallada.

99

Definicin de polticas de implementacin

Configuracin del gestor de seguridad


mvil de GlobalProtect

Creacin de una configuracin VPN de GlobalProtect (Continuacin)

Paso 3

100

Especifique cmo cumplimentar los


1.
ajustes de nombre de usuario y contrasea
de cuenta VPN.

Especifique dnde obtener el nombre de usuario VPN


seleccionando un valor en la lista desplegable Cuenta. Por
defecto, la configuracin VPN de GlobalProtect se define como
Usar guardado, lo que le permite usar el nombre de usuario que
el usuario del dispositivo proporcion durante la inscripcin.
Tambin puede especificar un nombre de usuario Fijo para
todos los dispositivos que usen esta configuracin o bien
permitir al usuario del dispositivo definir el nombre de usuario
de la cuenta seleccionando Definido en el dispositivo.

2.

Por defecto, se usar la Contrasea VPN que el usuario del


dispositivo tenga Definida en el dispositivo. Sin embargo, si
desea usar la contrasea que suministr el usuario del
dispositivo cuando se autentic durante la inscripcin,
seleccione Usar guardada, o defina una contrasea Fija para
que la usen todos los dispositivos que tengan esta configuracin.

3.

(Opcional) Por defecto, cuando una poltica del gestor de


seguridad mvil se enva a un dispositivo mvil, todos los
perfiles que envi el gestor de seguridad mvil que no se
adjuntan a la regla de poltica coincidente se eliminan
automticamente del dispositivo. Sin embargo, el gestor de
seguridad mvil no elimina los perfiles VPN enviados al
dispositivo por el portal GlobalProtect, lo que permite al
usuario cambiar de perfil. Para permitir que el gestor de
seguridad mvil elimine los perfiles VPN de GlobalProtect,
cancele la seleccin de la casilla de verificacin Habilitar perfil
de portal.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Definicin de polticas de implementacin

Creacin de una configuracin VPN de GlobalProtect (Continuacin)

Paso 4

Nota

Para usar el certificado de identidad enviado al dispositivo


(Opcional) Especifique un certificado de
mvil durante la inscripcin:
cliente para que los dispositivos mviles lo
usen para autenticarse en las puertas de
a. Seleccione Ninguno en el campo Credencial.
enlace de GlobalProtect durante el
Para usar los certificados de cliente emitidos por el servidor
establecimiento del tnel VPN. Si en su
de su SCEP de la empresa:
lugar desea enviar un certificado de cliente a
los dispositivos desde la configuracin de
a. Seleccione SCEP en el campo Credencial.
cliente del portal, o si no est usando una
b. Definicin de una configuracin SCEP.
autenticacin de certificado en sus puertas
de enlace, puede omitir este paso.
Para usar un certificado de cliente emitido por el gestor de
seguridad mvil:
Esta funcin es til para evitar que los
dispositivos que no gestiona el gestor de
a.
seguridad mvil se conecten a la VPN de
GlobalProtect. Sin embargo, si rechaza las
conexiones de dispositivos no gestionados
perder visibilidad de ese trfico. Para
controlar el trfico de dispositivos mviles
no gestionados, se recomienda crear un
perfil HIP que evale si el dispositivo est
b.
gestionado y adjuntarlo a sus polticas de
seguridad. Consulte Uso de informacin
del host en la aplicacin de polticas si
Nota
desea ms informacin sobre la creacin de
polticas de seguridad HIP.

Paso 5

4.
(Opcional) Especifique qu trfico de
dispositivo enviar a travs de VPN. Por
defecto, la aplicacin GlobalProtect
tuneliza todo el trfico como se especifica
en su configuracin de cliente del portal
correspondiente. Sin embargo, puede
sobrescribir la configuracin del tnel del
portal definiendo el ajuste de VPN bajo
demanda en la configuracin del gestor de
seguridad mvil.

Importe un certificado de cliente para enviarlo a los dispositivos


mviles y al gestor de seguridad mvil o generar un certificado
autofirmado en el gestor de seguridad mvil. Esta opcin es
similar a la de implementar certificados de cliente desde el portal
GlobalProtect. En esta configuracin especifica un nico
certificado de cliente para que lo usen todos los dispositivos
mviles que empleen este perfil de configuracin iOS.
Seleccione Certificado y despus el certificado de cliente que
desea usar en la lista desplegable.
Si especifica una Credencial en esta configuracin, asegrese
de que la configuracin de cliente que el portal implementar en
los dispositivos mviles correspondientes no contiene tambin
un certificado de cliente, de lo contrario el certificado de
configuracin del portal sobrescribir el certificado
especificado aqu.

Para sobrescribir los ajustes definidos en la configuracin del


portal, seleccione la casilla de verificacin VPN bajo demanda y
despus haga clic en Aadir para definir las excepciones como
se indica:
Introduzca una direccin IP, nombre de host, nombre de
dominio o subred en el campo Dominio para especificar un
destino de tunelizacin.
Seleccione la Accin correspondiente para especificar cundo
tunelizar el trfico al Dominio especificado (siempre, nunca
o a peticin para permitir que el usuario final invoque
manualmente la VPN).
Repita este paso para cada destino de tnel que desee
sobrescribir.

Paso 6

Guarde el perfil de configuracin.

Gua del administrador de GlobalProtect

5.

Haga clic en ACEPTAR para guardar la configuracin.

1.

Haga clic en ACEPTAR para guardar los ajustes de


configuracin VPN.

2.

Haga clic en ACEPTAR para guardar el perfil de configuracin iOS.

3.

Compile sus cambios.

101

Definicin de polticas de implementacin

Configuracin del gestor de seguridad


mvil de GlobalProtect

Creacin de una configuracin VPN de GlobalProtect (Continuacin)

Paso 7

Configure las puertas de enlace para usar Complete los siguientes pasos en cada puerta de enlace:
cuando el certificado cliente especificado 1. Importe las puertas de enlace el certificado CA raz que se us
habilite los dispositivos mviles con esta
para emitir los certificados de dispositivos mviles (el emisor del
configuracin para establecer las
certificado de identidad, la CA del servidor SCEP o el
conexiones HTTPS.
certificado de CA autofirmado del gestor de seguridad mvil en
funcin del tipo de de certificado cliente que est usando).
2.

Aada el certificado de CA al perfil de certificado que se us en


la configuracin de la puerta de enlace.

Creacin de un perfil de configuracin Android


El perfil de configuracin iOS contiene los ajustes de configuracin, certificados, clips web y restricciones para
enviarlos a un grupo especfico de dispositivos iOS. Si tiene grupos de usuarios de dispositivos iOS que
necesitan acceso a diferentes servicios o distintos niveles de restricciones, deber crear un perfil de
configuracin de iOS distinto para cada uno.
Creacin de un perfil de configuracin Android

Paso 1

Aada un perfil de configuracin.

1.

Seleccione Polticas > Configuracin > Android y haga clic en


Aadir.

Paso 2

Paso 3

Introduzca la informacin de
identificacin para la configuracin.

Especifique los requisitos de cdigo de


acceso de los dispositivos.
Si especifica requisitos de cdigo de
acceso, los usuarios de los dispositivos
debern respetar los ajustes de cdigo de
acceso que defina.

102

1.

En la pestaa General, escriba un Nombre para mostrar para la


configuracin en la interfaz web del gestor de seguridad mvil.

2.

Introduzca un Nombre para mostrar para que aparezca en la


pantalla de detalles/perfiles en el dispositivo mvil, as como en
el informe HIP del dispositivo.

3.

Introduzca un Identificador para la configuracin en formato


de estilo DNS inverso. Por ejemplo, si este perfil va a usarse para
enviar una configuracin base de iOS a los dispositivos, puede
asignar a la configuracin un nombre parecido a
com.acme.perfilAndroid.

4.

(Opcional) Introduzca tambin una Descripcin para que se


muestre en la pantalla Detalles del dispositivo mvil.

1.

Si desea obligar a los usuarios de dispositivos que reciben esta


configuracin a usar un cdigo de acceso en el dispositivo,
seleccione la pestaa Cdigo de acceso y seleccione la casilla de
verificacin Cdigo de acceso para habilitar la restriccin. Con
solo habilitar este campo obligar a usar un cdigo de acceso de
un mnimo de 4 caracteres sin imponer requisitos adicionales.

2.

(Opcional) Especifique requisitos adicionales de cdigo de


acceso que desee aplicar, como la longitud o si forzar al
dispositivo a bloquearse automticamente tras un nmero
especificado de minutos.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Definicin de polticas de implementacin

Creacin de un perfil de configuracin Android (Continuacin)

Paso 4

Defina las restricciones sobre lo que el


usuario puede hacer con el dispositivo.

1.

Seleccione la pestaa Restricciones y despus la casilla de


verificacin Restricciones para permitir que la configuracin
controle lo que el usuario puede hacer con el dispositivo mvil.

2.

Modifique los ajustes de restriccin predeterminada como


desee:
Por ejemplo, si no desea que los usuarios usen la cmara,
cancele la seleccin de la casilla de verificacin Permitir uso
de la cmara.
Si desea asegurarse de que los datos de los dispositivos
mviles estn cifrados, seleccione la casilla de verificacin
Exigir cifrado de los datos almacenados.

Paso 5

Proporcione los ajustes de configuracin 1.


que permiten el acceso del dispositivo a 2.
una o ms redes Wi-Fi.
Si desea informacin detallada sobre cada
campo, consulte la ayuda en lnea.
3.

Seleccione la pestaa Wi-Fi y haga clic en Aadir.


En la pestaa Configuracin, introduzca un Nombre para
identificar esta configuracin Wi-Fi en el gestor de seguridad
mvil.
Escriba el Identificador de red (SSID) de la red inalmbrica.
El SSID es el nombre de difusin de la red Wi-Fi; suele ser un
nombre fcil de recordar que permite a los usuarios identificar
las redes a las que se conectan. Si no va a difundir su SSID,
seleccione la casilla de verificacin Red oculta.

4.

Por defecto, los dispositivos que reciben esta configuracin se


unen automticamente a la red cuando el dispositivo est en el
rango, para cambiar esto cancele la seleccin de la casilla de
verificacin Unirse automticamente.

5.

En la pestaa Seguridad seleccione el Tipo de seguridad en uso


en la red inalmbrica. En funcin del tipo de seguridad que
seleccione, se mostrarn campos adicionales donde podr
indicar los ajustes necesarios para conectarse como la
contrasea, el protocolo o el certificado a usar.

6.

Para los tipos de seguridad que requieran credenciales de usuario


final (tipos de seguridad de empresa), seleccione lo siguiente:
Nombre de usuario: La configuracin usar por defecto el
nombre de usuario del usuario final que se proporcion
cuando se autentic en el gestor de seguridad mvil durante
la inscripcin (Usar guardado). Para especificar un nombre
de usuario diferente, seleccione Fijo e introduzca un nombre
de usuario en el cuadro de texto.
Contrasea: La configuracin usar una contrasea que el
usuario define en el dispositivo mvil (Definida en el
dispositivo) por defecto. Para usar la contrasea que el
usuario final proporcion al autenticarse en el gestor de
seguridad mvil durante la inscripcin (Usar guardada).
O para especificar una contrasea diferente, seleccione Fija e
introduzca una contrasea en el cuadro de texto.

7.

Gua del administrador de GlobalProtect

Haga clic en ACEPTAR para guardar la configuracin.

103

Definicin de polticas de implementacin

Configuracin del gestor de seguridad


mvil de GlobalProtect

Creacin de un perfil de configuracin Android (Continuacin)

Paso 6

Cree accesos directos a los sitios web o las 1.


aplicaciones basadas en web (llamados clips 2.
web) para mostrarlos en la pantalla Inicio
del dispositivo.
3.
Los clips web son tiles para ofrecer acceso
rpido a los sitios web a los que sus usuarios 4.
mviles necesitan acceder, como su Intranet
5.
o el sistema de seguimiento de errores
internos. Antes de crear una configuracin
que incluya un clip web, debe importar el 6.

Seleccione la pestaa Clips web y haga clic en Aadir.


Introduzca un Nombre para el clip web que se usar con el gestor
de seguridad mvil.
Introduzca una Etiqueta para que el clip web se muestre en la
pantalla de inicio.
Escriba la URL que se cargar cuando el usuario toque el clip web.
Seleccione un Icono que haya importado previamente o haga clic en
Icono en el men desplegable para importar uno nuevo.
Haga clic en ACEPTAR para guardar el clip web.

icono asociado para mostrarlo en la pantalla


del dispositivo. Consulte las instrucciones
de Importacin de iconos de clip web.
Paso 7

Guarde el perfil de configuracin.

1.

Haga clic en ACEPTAR para guardar los ajustes de configuracin


que ha definido y cerrar el cuadro de dilogo Configuracin de
Android.

2.

Compile sus cambios.

Importacin de un perfil de aprovisionamiento iOS


Para evitar la propagacin de aplicaciones potencialmente dainas, iOS solo permite a los usuarios instalar aplicaciones
de recursos aprobados mediante App Store. Para permitir que los usuarios instalen aplicaciones desarrolladas
internamente en sus dispositivos iOS, debe obtener un perfil de aprovisionamiento en el programa Programa
empresarial de desarrolladores de iOS (iDEP). Despus podr implementar el perfil de aprovisionamiento a los
dispositivos finales autorizados para permitirles instalar la aplicacin. Para simplificar el proceso de distribucin de
perfiles de implementacin, importe los perfiles en el gestor de seguridad mvil e implemntelo en los dispositivos
gestionados a travs de la poltica.
Aunque el gestor de seguridad mvil simplifica la implementacin de perfiles de
aprovisionamiento en un gran nmero de dispositivos mviles, hay algunos factores de
seguridad que se deben tener en cuenta. Cuando revoque el acceso a una aplicacin habilitada
a travs de un perfil de aprovisionamiento, la aplicaciones seguir ejecutndose en el dispositivo
hasta que lo apague, aunque la poltica del gestor de seguridad mvil elimine el perfil. Adems,
como los perfiles de aprovisionamiento estn sincronizados con iTunes, el perfil puede
reinstalarse la siguiente vez que el usuario final sincronice el dispositivo con iTunes.

Siga el procedimiento siguiente para importar un perfil de aprovisionamiento iOS en el gestor de seguridad mvil:
Importacin de un perfil de aprovisionamiento iOS

Paso 1

104

Obtenga los archivos de


aprovisionamiento que necesita para
habilitar los usuarios de dispositivos para
instalar sus aplicaciones iOS
desarrolladas internamente.

Si desea ms informacin sobre cmo crear perfiles de


aprovisionamiento e implementar aplicaciones desarrolladas a nivel
interno, vaya a la siguiente URL:
http://www.apple.com/business/accelerator/deploy/

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Definicin de polticas de implementacin

Importacin de un perfil de aprovisionamiento iOS (Continuacin)

Paso 2

Paso 3

Cuando haya firmado su perfil de


aprovisionamiento, imprtelo al gestor de
seguridad mvil.

Guarde sus cambios.

1.

Seleccione Polticas > Configuracin > Perfiles de


aprovisionamiento iOS y haga clic en Aadir.

2.

Introduzca un Nombre para el perfil.

3.

Seleccione Examinar y vaya hasta la ubicacin del perfil de


aprovisionamiento y haga clic en Abrir. El nombre de archivo y
ruta aparecen en el campo Archivo.

4.

Haga clic en ACEPTAR.

Haga clic en Compilar.

Definicin de una configuracin SCEP


El protocolo de inscripcin de certificados simple (SCEP) ofrece un mecanismo para emitir certificados a un gran
nmero de dispositivos iOS. En el gestor de seguridad mvil, puede habilitar SCEP para identificar los certificados de
identidad a los dispositivos durante el proceso de inscripcin. Tambin puede usar el protocolo SCEP para obtener
los certificados necesarios para otras configuraciones. Use el siguiente procedimiento para crear una configuracin
SCEP, ya sea para usarla en la inscripcin de gestor de seguridad mvil o con otras configuraciones iOS.
Definicin de una configuracin SCEP

Paso 1

Paso 2

1.
Configure el gestor de seguridad mvil
para que se integre con un servidor SCEP
de empresa existente para emitir
2.
certificados de identidad a dispositivos
iOS.

Seleccione Polticas > Configuracin > SCEP y haga clic en


Aadir.
Introduzca un Nombre para identificar la CA, como
CA_inscripcin. Este nombre distingue esta instancia de SCEP de
otras instancias que puede usar en los perfiles de configuracin.

Seleccione una de las siguientes opciones de Desafo SCEP:


Especifique el tipo de desafo que se va a
usar. El desafo es una contrasea de un solo Ninguna: El servidor SCEP emite el certificado sin una OTP.
uso (OTP) que comparten el gestor de
Fija: El gestor de seguridad mvil proporcionar una OTP esttica
seguridad mvil y el servidor SCEP. El
que se usa para todos los dispositivos mviles. Obtenga la OTP desde
gestor de seguridad mvil incluye la OTP en
el servidor SCEP e introdzcala en el cuadro de texto. Tambin
la configuracin SCEP que enva al
deber definir el valor del registro UseSinglePassword del servidor
dispositivo mvil y el dispositivo lo usa para
SCEP para forzarle a usar una contrasea nica para todas las
autenticarse en el servidor SCEP.
inscripciones de certificados de cliente.
Dinmica: El gestor de seguridad mvil obtiene una OTP nica del
servidor SCEP para cada dispositivo mvil durante la inscripcin
usando un intercambio desafo-respuesta NTLM entre los dos
servidores. Si selecciona esta opcin deber configurar la Ruta del
servidor donde el gestor de seguridad mvil puede conectarse con el
servidor SCEP e introducir las credenciales que deber usar para
iniciar sesin. Adems, puede seleccionar la casilla de verificacin
SSL para exigir una conexin HTTPS para la solicitud de desafo. Si
habilita el SSL, deber seleccionar el Certificado de CA raz del
servidor SCEP. Tambin puede habilitar la autenticacin SSL mutua
entre el servidor SCEP y el gestor de seguridad mvil seleccionando
un Certificado de cliente.

Gua del administrador de GlobalProtect

105

Definicin de polticas de implementacin

Configuracin del gestor de seguridad


mvil de GlobalProtect

Definicin de una configuracin SCEP (Continuacin)

Paso 3

Especifique cmo conectar con el servidor 1.


SCEP.

Especifique la URL de servidor que el dispositivo mvil debe usar


para llegar al servidor SCEP. Por ejemplo,
http://<nombrehost>/certsrv/mscep_admin/mscep.dll

2.
Paso 4

Especifique los atributos de los certificados 1.


que se deben generar.

Introduzca una cadena (hasta 255 caracteres de longitud) para


identificar el servidor SCEP en el campo Nombre CA-IDENT.
Escriba un nombre de Asunto para los certificados generados
por el servidor SCEP. El nombre de asunto debe ser un nombre
distinguido en el formato <atributo>=<valor> y debe incluir
la clave de nombre comn (CN). Hay dos formas de especificar
el CN:
(Recomendada) CN basado en token. Introduzca uno de
los tokens admitidos $USERNAME o $UDID en lugar de la parte de
CN del nombre de asunto. Cuando el gestor de seguridad mvil
enve los ajustes de SCEP al dispositivo, la parte de CN del
nombre de asunto se sustituir por el UDID del dispositivo o
nombre de usuario real del propietario del certificado. Este
mtodo garantiza que cada certificado que genere el servidor
SCEP es nico para el usuario o dispositivo especfico. Por
ejemplo, O=acme,CN=$USERNAME.
CN esttico: El nombre comn que especifique no se usar
como asunto para todos los certificados que emita el servidor
SCEP. Por ejemplo, O=acme,CN=$USERNAME.

2.

(Opcional) Defina las extensiones de certificado que desee incluir


en los certificados:
Tipo de nombre alternativo del asunto: Si planifica
suministrar un nombre alternativo del asunto (SAN), especifique
el formato del SAN seleccionando uno de los siguientes valores:
rfc822Name, dnsName, o uniformResourceIdentifier.
Valor de nombre alternativo del asunto: El valor SAN que
se desea incluir en el certificado, en el formato especificado
anteriormente.
Nombre principal NT: Objeto de usuario para el dispositivo
que se puede usar para igualar el certificado de usuario con una
cuenta.

Paso 5

106

Guarde el perfil SCEP.

3.

Defina el Tamao de clave para que coincida con el tamao de


clave definido en la plantilla de certificado del servidor SCEP.

4.

(Opcional) Si el dispositivo mvil va a obtener su certificado a


travs de HTTP, introduzca la Huella digital (SHA1 o MD5) del
certificado de CA del dispositivo que se usar para autenticar el
servidor SCEP. La Huella digital debe coincidir con el valor de
Huella digital del servidor SCEP.

1.

Haga clic en ACEPTAR para guardar los ajustes de configuracin


que ha definido y cerrar el cuadro de dilogo Configuracin iOS.

2.

Compile sus cambios.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Definicin de polticas de implementacin

Creacin de polticas de implementacin


Cuando un dispositivo se ha inscrito y registrado con xito, el gestor de seguridad mvil usa el nombre de
usuario del usuario del dispositivo o los datos HIP de los que se ha informacin para crear una poltica de
implementacin.
Creacin de polticas de implementacin

Paso 1

Paso 2

Nota

Cree una nueva regla de poltica.

Especifique a qu usuarios de dispositivos


mviles desea implementar esta
configuracin. Hay dos formas de
especificar qu dispositivos gestionados
recibirn la configuracin: por nombre de
usuario/grupo o por coincidencia HIP.

1.

Seleccione Polticas > Polticas y haga clic en Aadir

2.

Escriba un Nombre descriptivo para identificar la regla de


poltica.

Seleccione la pestaa Usuarios/Perfiles HIP y especifique cmo


determinar una coincidencia de configuracin para esta regla de poltica:

Para implementar esta configuracin en un usuario o grupo


especficos, haga clic en Aadir en la seccin Usuario de la ventana y
despus seleccione el usuario o grupo que desea que reciba esta
configuracin en la lista desplegable. Repita este paso para cada
usuario/grupo que desee aadir.
El gestor de seguridad mvil usa los ajustes
de Usuarios/Perfiles HIP que especifique Para implementar esta configuracin en dispositivos que coincidan
para determinar qu configuracin
con un perfil HIP especfico, haga clic en Aadir en la seccin
implementar en un dispositivo en el registro.
Perfiles HIP de la ventana y despus seleccione un perfil HIP.
As, si tiene mltiples configuraciones,
Nota Es recomendable probar sus polticas de implementacin
deber asegurarse de ordenarlas
antes de enviarlas a toda la base de usuarios mviles.
correctamente. En cuanto el gestor de
Considere crear al principio una configuracin que se
seguridad mvil encuentre una coincidencia
aplique solo a los usuarios de su grupo de TI para que
distribuir la configuracin. As, las
puedan inscribirse en el gestor de seguridad mvil y probar
configuraciones ms especficas debern
las polticas de implementacin. Cuando haya probado
preceder a las ms generales. Consulte en
detenidamente la configuracin, podra modificar la
Paso 4 las instrucciones sobre cmo
poltica de implementacin para enviar las
ordenar la lista de reglas.
implementaciones a los usuarios mviles.
Antes de poder crear reglas de polticas para
implementar las configuraciones en
usuarios o grupos especificados, deber
configurar el gestor de seguridad mvil para
acceder a su directorio de usuario como se
describe en Integracin del gestor de
seguridad mvil con su directorio LDAP.

Gua del administrador de GlobalProtect

107

Definicin de polticas de implementacin

Configuracin del gestor de seguridad


mvil de GlobalProtect

Creacin de polticas de implementacin (Continuacin)

Paso 3

1.
Especifique los perfiles de configuracin
que se deben implementar en los
dispositivos que coincidan con los criterios
de perfil de usuario/HIP definidos.

Adjunte los perfiles de configuracin en la regla de poltica. Si su


regla est diseada para coincidir con dispositivos iOS y Android,
debe adjuntar perfiles de configuracin distintos de la siguiente
forma:
Para aadir un perfil de configuracin de iOS o un perfil de
aprovisionamiento de iOS, haga clic en Aadir en la seccin iOS
y, a continuacin, seleccione el perfil que debe aadir. Repita este
paso con cada perfil de iOS que se deba implementar en los
dispositivos que coincidan con esta regla.
Para aadir un perfil de configuracin de Android, haga clic en
Aadir en la seccin Android y, a continuacin, seleccione el
perfil para aadir a la regla. Repita este paso con cada perfil de
configuracin que se deba implementar en los dispositivos que
coincidan con esta regla.

Paso 4

Prepare las reglas de poltica de


implementacin para que la configuracin
correcta se implemente en todos los
dispositivos al realizar el registro.

2.

Haga clic en ACEPTAR para guardar la regla de poltica.

3.

Repita del Paso 1 al Paso 3 con cada regla de poltica que necesite.

Para subir una regla de poltica de implementacin en la lista de reglas,


seleccinela y haga clic en Mover hacia arriba.
Para bajar una regla de poltica de implementacin en la lista de reglas,
seleccinela y haga clic en Mover hacia abajo.

Cuando un dispositivo se registra, el gestor


de seguridad mvil comparar el nombre de
usuario y los datos HIP que el dispositivo ha
proporcionado con las polticas que ha
definido. Como con la evaluacin de la regla
de seguridad en el cortafuegos, el gestor de
seguridad mvil busca una coincidencia
empezando por la parte superior de la lista.
Cuando encuentra una coincidencia, aplica
las configuraciones correspondientes en el
dispositivo.
Paso 5

108

Guarde las reglas de poltica de


implementacin.

Compile sus cambios.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Verificacin de la configuracin del gestor de seguridad mvil

Verificacin de la configuracin del gestor de seguridad mvil


Una vez terminada la configuracin del gestor de seguridad mvil (configurar la interfaz de registro del dispositivo,
habilitar la inscripcin y definir la configuracin y los perfiles de implementacin) y la configuracin del portal de
GlobalProtect con la URL para la interfaz de registro del dispositivo, debe comprobar que puede inscribir
correctamente un dispositivo y que el perfil del gestor de seguridad mvil se ha instalado y aplicado correctamente.
Compruebe la configuracin del gestor de seguridad mvil

Paso 1

Paso 2

Configure las polticas de implementacin


que se enviarn a los usuarios de prueba.

Descargue e instale la aplicacin de


GlobalProtect y acceda al portal de
GlobalProtect.

Se recomienda empezar a implementar las polticas en un grupo


reducido de usuarios, como por ejemplo los administradores del
departamento de TI responsables de la administracin del gestor de
seguridad mvil:
1. Seleccione Polticas > Polticas y seleccione la poltica de
implementacin que se debe editar.
2.

En la pestaa Usuarios/Perfiles HIP, haga clic en Aadir en la


seccin Usuario/grupo de usuarios y, a continuacin, seleccione
el usuario o grupo que probar la poltica.

3.

(Opcional) Seleccione la regla de poltica de implementacin


que acaba de crear/modificar y haga clic en Mover hacia arriba
para que quede por encima de cualquier regla ms genrica que
acabe de crear.

4.

Compile los cambios.

1.

Descargue la aplicacin.
En dispositivos Android, descargue la aplicacin en
Google Play.
En dispositivos iOS, descargue la aplicacin de App Store.

2.

Toque el icono de GlobalProtect en la pantalla Inicio para iniciar


la aplicacin.

3.

Toque ACEPTAR para habilitar las funciones de VPN en el


dispositivo.

4.

En la pantalla Configuracin de GlobalProtect, introduzca el


nombre o direccin del portal, nombre de usuario y
contrasea y, a continuacin, toque Conectar. El nombre del
portal introducido debe ser un nombre de dominio completo
(FQDN) y no incluir https:// al principio.
Si el gestor de seguridad mvil se ha configurado en el portal, el
dispositivo se redirigir automticamente a la pantalla de
inscripcin despus de que se autentique con xito en el portal.

Nota

Gua del administrador de GlobalProtect

Para completar el proceso de inscripcin el dispositivo


mvil debe contar con conexin a Internet.

109

Verificacin de la configuracin del gestor de seguridad mvil

Configuracin del gestor de seguridad


mvil de GlobalProtect

Compruebe la configuracin del gestor de seguridad mvil (Continuacin)

Paso 3

Paso 4

Inscriba el dispositivo mvil en el gestor 1.


de seguridad mvil de GlobalProtect.

Compruebe que los perfiles de


configuracin que esperaba se han
aplicado en el dispositivo.

Cuando se le solicite inscribirse en la gestin de dispositivos


mviles de GlobalProtect, toque Inscripcin.

2.

Cuando se le solicite recibir notificaciones push desde


GlobalProtect, toque ACEPTAR.

3.

Si el certificado de la interfaz de comprobacin de dispositivos


no lo emiti una CA de confianza, debe instalar el certificado
de CA para continuar con la inscripcin. Si tiene un cdigo de
acceso en el dispositivo, debe introducirlo para poder instalar el
certificado.

4.

En la pantalla Instalar perfil, toque Instalar para instalar el perfil


y, a continuacin, toque Instalar ahora para confirmar que la
inscripcin cambiar la configuracin del iPad. Si tiene un
cdigo de acceso en el dispositivo, debe introducirlo para poder
instalar el perfil. En la pantalla de advertencia, toque Instalar
para continuar.

5.

Cuando el perfil se haya instalado correctamente, toque Listo.


Si est recopilando informacin de ubicacin de GPS, la
aplicacin le pedir que permita a GlobalProtect utilizar su
ubicacin actual.

Por ejemplo:
Si ha aplicado el requisito del cdigo de acceso en el dispositivo,
se le pedir que establezca una nueva contrasea en 60 minutos.
Toque Continuar para cambiar/establecer el cdigo de acceso.
Introduzca el cdigo de acceso actual, escriba el nuevo cdigo de
acceso cuando se le solicite y, a continuacin, toque Guardar.
El cuadro de dilogo debe mostrar cualquier requisito que deba
cumplir el nuevo cdigo de acceso.
Si ha aplicado la configuracin Exchange Active Sync en el
dispositivo, compruebe que puede conectar al servidor Exchange
y enviar y recibir correo electrnico.
Si ha aplicado una configuracin VPN de GlobalProtect,
compruebe que el dispositivo puede establecer una conexin
VPN.
Pruebe cualquier clip web que haya aplicado en el dispositivo y
compruebe que puede conectarse a las URL asociadas.
Si ha aplicado restricciones en el dispositivo, compruebe que no
puede realizar las acciones restringidas.

110

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Verificacin de la configuracin del gestor de seguridad mvil

Compruebe la configuracin del gestor de seguridad mvil (Continuacin)

Paso 5

Paso 6

En el gestor de seguridad mvil,


compruebe que las notificaciones push
funcionan.

Enve las polticas al resto de su base de


usuarios.

Gua del administrador de GlobalProtect

1.

Seleccione Dispositivos y busque y seleccione su dispositivo en


la lista.

2.

Haga clic en Mensaje e introduzca el texto que se debe enviar al


dispositivo en Cuerpo del mensaje y, a continuacin, haga clic
en ACEPTAR.

3.

Compruebe que recibe el mensaje en el dispositivo.

Despus de verificar que las polticas y configuracin de su gestor de


seguridad mvil funcionan como se esperaba, actualice las polticas
para implementar el resto de su base de usuarios.

111

Configuracin del acceso administrativo en el gestor de seguridad mvil

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del acceso administrativo en el gestor de


seguridad mvil
De forma predeterminada, el gestor de seguridad mvil de GlobalProtect viene preconfigurado con una cuenta
administrativa predeterminada (admin), que proporciona acceso completo de lectura-escritura (tambin
conocido como acceso de superusuario) al dispositivo. Es recomendable que cree una cuenta administrativa
diferente para cada persona que necesite acceder a las funciones de administracin o informes del dispositivo.
Esto evita la configuracin no autorizada (o modificacin) y permite el registro de acciones de cada uno de los
administradores.
El acceso administrativo se configura en dos pasos:

Configuracin de la autenticacin administrativa

Creacin de una cuenta administrativa

Configuracin de la autenticacin administrativa


Hay tres formas de autenticar a usuarios administrativos:

Cuenta de administrador local con autenticacin local: tanto las credenciales de la cuenta de administrador
como los mecanismos de autenticacin son locales para el dispositivo. Puede aadir un nivel de proteccin
adicional a la cuenta del administrador local creando un perfil de contrasea que defina un perodo de validez para
las contraseas y estableciendo ajustes de complejidad de la contrasea para todo el dispositivo. Con este tipo de
cuenta no necesita realizar ninguna tarea de configuracin para poder crear la cuenta administrativa. Contine a
Creacin de una cuenta administrativa.

Cuenta de administrador local con autenticacin externa: las cuentas de administrador se gestionan en el
cortafuegos local, pero las funciones de autenticacin se derivan a un servicio LDAP, Kerberos o RADIUS
existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticacin que defina el modo de
acceso al servicio de autenticacin externa y despus crear una cuenta para cada administrador que haga referencia
al perfil. Consulte Creacin de un perfil de autenticacin para obtener instrucciones sobre cmo configurar el
acceso a servicios de autenticacin externos.

Cuenta de administrador local con autenticacin basada en certificado: con esta opcin, puede crear
las cuentas de administrador en el dispositivo, pero la autenticacin se basa en certificados SSH (para acceso a CLI)
o certificados de cliente/tarjetas de acceso comn (para la interfaz web). Consulte Activacin de la autenticacin
basada en certificado para la interfaz web o Activacin de la autenticacin basada en certificado de SSH para
la interfaz de la lnea de comandos para ver las instrucciones.

Creacin de un perfil de autenticacin


Un perfil de autenticacin especifica el servicio de autenticacin que valida las credenciales del administrador y define
cmo acceder a dicho servicio. Debe crear un perfil de servidor en primer lugar para que el gestor de seguridad mvil
pueda acceder a un servidor de autenticacin RADIUS, Kerberos o LDAP.

112

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del acceso administrativo en el gestor de seguridad mvil

Creacin de un perfil de autenticacin

Paso 1

Paso 2

Paso 3

Cree un perfil de servidor que defina


cmo conectar con el servidor de
autenticacin.

Cree un perfil de autenticacin.

Compile los cambios.

1.

Seleccione Configuracin > Perfiles de servidor y, a


continuacin, seleccione el tipo de servicio de autenticacin al
que conectarse (LDAP, RADIUS o Kerberos).

2.

Haga clic en Aadir y, a continuacin, introduzca un Nombre


para el perfil.

3.

Seleccione la casilla de verificacin nicamente uso de


administrador, si corresponde.

4.

Haga clic en Aadir para aadir una nueva entrada de servidor


e introduzca la informacin necesaria para conectarse al
servicio. Para obtener detalles sobre los valores de campo
necesarios para cada tipo de servicio, consulte la ayuda en lnea.

5.

Haga clic en ACEPTAR para guardar el perfil de servidor.

1.

Seleccione Configuracin > Perfil de autenticacin y, a


continuacin, haga clic en Aadir.

2.

Introduzca un nombre de usuario para identificar un perfil de


autenticacin.

3.

En el men desplegable Autenticacin, seleccione el tipo de


autenticacin que utilizar.

4.

Seleccione el Perfil de servidor que cre en el Paso 1.

Haga clic en Compilar.

Activacin de la autenticacin basada en certificado para la interfaz web


Una alternativa ms segura al uso de contrasea para autenticar a un usuario administrativo es activar la
autenticacin basada en certificado para asegurar el acceso al gestor de seguridad mvil. Con la autenticacin
basada en certificado se intercambia y verifica una firma, en lugar de una contrasea.
Utilice las siguientes instrucciones para activar la autenticacin basada en certificado.
Activacin de la autenticacin basada en certificado

Paso 1

Genere un certificado de CA en el gestor de Para generar un certificado de CA en el gestor de seguridad mvil:


seguridad mvil.
1. Inicie sesin en la interfaz web del gestor de seguridad mvil.

Nota

Si desea utilizar certificados de un tercero de 2.


confianza o CA de empresa, debe importar
el certificado de CA al gestor de seguridad 3.
mvil para que confe en los certificados de
cliente que genera.

Gua del administrador de GlobalProtect

Seleccione Configuracin > Gestin de certificados >


Certificados y haga clic en Generar.
Introduzca un nombre de certificado y aada la direccin IP o
FQDN que necesita que aparezca en el certificado del campo
Nombre comn. Opcionalmente, puede cambiar los ajustes
criptogrficos y definir las opciones de certificados como el pas, la
organizacin, el estado, etc.

4.

Asegrese de dejar en blanco la opcin Firmado por y seleccionar


la opcin Autoridad del certificado.

5.

Haga clic en Generar para crear el certificado usando los detalles


especificados anteriormente.

113

Configuracin del acceso administrativo en el gestor de seguridad mvil

Configuracin del gestor de seguridad


mvil de GlobalProtect

Activacin de la autenticacin basada en certificado (Continuacin)

Paso 2

Cree el perfil del certificado que se utilizar 1.


para asegurar el acceso a la interfaz web.
2.

Seleccione Configuracin > Gestin de certificados > Perfil del


certificado y haga clic en Aadir.
Introduzca un nombre para el perfil del certificado y en Campo de
nombre de usuario seleccione Asunto.

3.

Paso 3

Paso 4

Configure el gestor de seguridad mvil para 1.


que utilice el perfil de certificado del cliente
para la autenticacin administrativa.

Seleccione Aadir en la seccin de certificados de CA y, en el men


desplegable Certificado de CA, seleccione el certificado de CA
creado en el Paso 1.
En la pestaa Configuracin > Configuracin, haga clic en el
icono Editar de la seccin Configuracin de autenticacin de la
pantalla.

2.

En el campo Perfil del certificado, seleccione el perfil del


certificado del cliente creado en el Paso 2.

3.

Haga clic en ACEPTAR para guardar los cambios.

Cree o modifique una cuenta de


1.
administrador para activar el certificado del
cliente en la cuenta.
2.
3.

Seleccione Configuracin > Administradores y, a continuacin,


haga clic en Aadir.
Introduzca un nombre de inicio de sesin para el administrador; el
nombre distingue entre maysculas y minsculas.
Seleccione Utilizar nicamente el certificado de autenticacin
de cliente (web) para activar el uso del certificado para la
autenticacin.

114

4.

Seleccione la funcin que se asignar a este administrador.


Puede seleccionar una de las funciones dinmicas predefinidas o
seleccionar una funcin personalizada y adjuntar un perfil de
autenticacin que especifique los privilegios de acceso para este
administrador.

5.

(Opcional) Para funciones personalizadas, seleccione los grupos de


dispositivos, las plantillas y el contexto del dispositivo que el usuario
administrativo puede modificar.

6.

Haga clic en ACEPTAR para guardar los ajustes de la cuenta.

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del acceso administrativo en el gestor de seguridad mvil

Activacin de la autenticacin basada en certificado (Continuacin)

Paso 5

Cree y exporte el certificado del cliente que 1.


se utilizar para autenticar un administrador.

Utilice el certificado de CA para generar un certificado de cliente


para cada uno de los usuarios administrativos.
a. Seleccione Configuracin > Gestin de certificados >
Certificados y haga clic en Generar.
b. En el campo Nombre comn, introduzca el nombre del
administrador para el que est generando el certificado.
La sintaxis del nombre debe coincidir con el formato usado
por el mecanismo de autenticacin local o externo.
c. En el campo Firmado por, seleccione el mismo certificado de
CA creado en el Paso 1.
d. Haga clic en Generar para crear el certificado usando los
detalles especificados anteriormente.

2.

Exporte el certificado del cliente que acaba de generar.


a. Seleccione el certificado que acaba de crear y haga clic en
Exportar.
b. Para cifrar la clave privada, seleccione PKCS12 como formato
de archivo.
c. Introduzca una frase de contrasea para cifrar la clave privada y
confirmar la entrada.
d. Haga clic en ACEPTAR para exportar el certificado.

Paso 6

Guarde sus cambios de configuracin.

Haga clic en Compilar.


Se cerrar su sesin de la interfaz web.

Paso 7

Paso 8

Importe el certificado del cliente del


administrador en el navegador web del
cliente que el administrador utilizar para
acceder a la interfaz web del gestor de
seguridad mvil.

Por ejemplo, en Firefox:


1. Seleccione el men Herramientas > Opciones > Avanzado.
2.

Haga clic en el botn Ver certificados.

3.

Seleccione la pestaa Sus certificados y haga clic en Importar.


Acceda a la ubicacin en la que ha guardado el certificado del
cliente.

4.

Cuando se le solicite, introduzca la frase de contrasea para


descifrar la clave privada.

Inicie sesin en la interfaz web del gestor de 1.


seguridad mvil.

Acceda a la direccin IP o nombre de host del gestor de seguridad


mvil.

2.

Cuando se le solicite, seleccione el certificado cliente que ha


importado en el Paso 7. Aparecer una advertencia de certificacin.

3.

Aada el certificado a la lista de excepciones e inicie sesin en la


interfaz web del gestor de seguridad mvil.

Gua del administrador de GlobalProtect

115

Configuracin del acceso administrativo en el gestor de seguridad mvil

Configuracin del gestor de seguridad


mvil de GlobalProtect

Activacin de la autenticacin basada en certificado de SSH para la interfaz de la lnea


de comandos
Para habilitar la autenticacin basada en certificados de SSH, complete el siguiente flujo de trabajo para cada
usuario administrativo:
Habilitacin de la autenticacin de SSH (basada en clave pblica)

Paso 1

Utilice una herramienta de generacin de


claves de SSH para crear un par de claves
asimtricas en la mquina cliente.
Los formatos de clave admitidos son: IETF
SECSH y Open SSH; los algoritmos
admitidos son: DSA (1024 bits) y RSA
(768-4096 bits).

Paso 2

Cree una cuenta para el administrador y


permita la autenticacin basada en
certificado.

Para saber los comandos necesarios para generar el par de claves,


consulte la documentacin del producto para el cliente de SSH.
La clave pblica y la privada son dos archivos diferentes; gurdelos
ambos en una ubicacin a la que el gestor de seguridad mvil pueda
acceder. Para una mayor seguridad, introduzca una frase de contrasea
para cifrar la clave privada. Se le solicitar este cdigo de acceso cuando
inicie sesin en el gestor de seguridad mvil.
1.

Seleccione Configuracin > Administradores y, a continuacin,


haga clic en Aadir.

2.

Introduzca un nombre y contrasea para el administrador.


Tendr que configurar una contrasea. Asegrese de introducir una
contrasea fuerte o compleja y gurdela en un lugar seguro; solo se
le pedir en caso de que los certificados estn daados o que se
produzca un fallo del sistema.

3.

(Opcional) Seleccione un Perfil de autenticacin.

4.

Habilite Utilizar autenticacin de clave pblica (SSH).

5.

Haga clic en Importar clave y acceda a la clave pblica que guard


en el Paso 1 para importarla.

6.

Seleccione la funcin que se asignar a este administrador. Puede


seleccionar una de las funciones dinmicas predefinidas o un perfil
basado en funcin personalizado.

7.

Haga clic en ACEPTAR para guardar la cuenta.

Paso 3

Compile los cambios.

Haga clic en Compilar.

Paso 4

Compruebe que el cliente SSH utiliza su


clave privada para autenticar la clave
pblica presentada por el gestor de
seguridad mvil.

1.

Configure el cliente SSH para utilizar la clave privada para


autenticar en el gestor de seguridad mvil.

2.

Vuelva a iniciar sesin en la CLI del gestor de seguridad mvil.

116

Gua del administrador de GlobalProtect

Configuracin del gestor de seguridad


mvil de GlobalProtect

Configuracin del acceso administrativo en el gestor de seguridad mvil

Creacin de una cuenta administrativa


Cuando haya definido los mecanismos de autenticacin de los usuarios administrativos deber crear una cuenta para
cada administrador. Cuando cree una cuenta deber definir cmo autenticar al usuario. Adems, deber especificar un
rol para el administrador. Una funcin define el tipo de acceso al sistema que tiene el administrador asociado. Se pueden
asignar dos tipos de funciones:

Funciones dinmicas: Funciones integradas que proporcionan acceso como superusuario, superusuario (de
solo lectura) o administrador de dispositivos al gestor de seguridad mvil. Con las funciones dinmicas solo tendr
que preocuparse de actualizar las definiciones de funcin, ya que se aaden nuevas caractersticas cuando las
funciones se actualizan automticamente.

Perfiles de funcin de administrador: Le permiten crear sus propias definiciones de funcin para ofrecer un
control de acceso ms granular a las diversas reas funcionales de la interfaz web, CLI o API XML. Por ejemplo,
podra crear un perfil de funcin de administrador para su personal de operaciones que proporcione acceso a las
reas de configuracin de red y dispositivo de la interfaz web y un perfil separado para los administradores de
seguridad que proporcione acceso a la definicin de poltica de seguridad, logs e informes. Tenga en cuenta que
con los perfiles de funcin de administrador deber actualizar los perfiles para asignar privilegios de forma explcita
para nuevos componentes/caractersticas que se aadan al producto.

El siguiente ejemplo muestra el modo de crear una cuenta de administrador local con autenticacin local:
Creacin de una cuenta administrativa

Paso 1

Si pretende usar perfiles de funciones de Complete los siguientes pasos para cada funcin que desee crear:
administrador en lugar de funciones
1. Seleccione Configuracin > Funciones de administrador y, a
dinmicas, cree los perfiles que definan
continuacin, haga clic en Aadir.
qu tipo de acceso, de haberlo, se dar a 2. En las pestaas UI Web o API XML, establezca los niveles de
las diferentes secciones de la interfaz
acceso (Habilitar ,Solo lectura , Deshabilitar ) para cada
web, CLI y API XML para cada
rea funcional de la interfaz haciendo clic en el icono para
administrador asignado a la funcin.
cambiar al ajuste deseado. Se recomienda restringir la accin de
borrado de dispositivo a solo uno o dos administradores muy
familiarizados con el gestor de seguridad mvil para garantizar
que los dispositivos de usuarios finales no se borran por
accidente.

Gua del administrador de GlobalProtect

3.

En la pestaa Lnea de comandos, especifique el tipo de acceso


que permitir a la CLI: superuser, superreader, deviceadmin,
devicereader o Ninguno para deshabilitar por completo el
acceso a la CLI.

4.

Introduzca un nombre para el perfil y haga clic en ACEPTAR


para guardarlo.

117

Configuracin del acceso administrativo en el gestor de seguridad mvil

Configuracin del gestor de seguridad


mvil de GlobalProtect

Creacin de una cuenta administrativa (Continuacin)

Paso 2

(Opcional) Establezca requisitos para


contraseas definidas por usuarios locales.

Crear perfiles de contrasea: Defina la frecuencia con que los


administradores debern cambiar sus contraseas. Puede crear varios
perfiles de contrasea y aplicarlos a las cuentas de administrador segn
sea necesario para imponer la seguridad deseada. Para crear un perfil
de contrasea, seleccione Configuracin > Perfiles de la
contrasea y haga clic en Aadir.
Configurar ajustes de complejidad mnima de la contrasea:
Defina reglas que rijan la complejidad de la contrasea, lo que obligar
a los administradores a crear contraseas ms difciles de adivinar o
evitar. A diferencia de los perfiles de contrasea, que se pueden aplicar
a cuentas individuales, estas reglas son para todo el dispositivo y se
aplican a todas las contraseas. Para configurar los ajustes, seleccione
Configuracin > Ajustes > Gestin y, a continuacin, haga clic en el
icono Editar de la seccin Complejidad de contrasea mnima.

Paso 3

Cree una cuenta para cada administrador.

1.

Seleccione Configuracin > Administradores y, a continuacin,


haga clic en Aadir.

2.

Introduzca un nombre para el administrador.

3.

Especifique cmo autenticar el administrador:


Para usar la autenticacin local, introduzca una Contrasea y
despus reptala en el campo Confirmar contrasea.
Para usar la autenticacin externa seleccione un Perfil de
autenticacin.
Para usar la autenticacin basada en certificados/clave,
seleccione la casilla de verificacin Utilizar nicamente el
certificado de autenticacin de cliente (web) para acceder a
la interfaz web y seleccione Utilizar autenticacin de clave
pblica (SSH) para acceder a la CLI. Tambin deber introducir
un valor en Contrasea, que solo ser obligatorio en caso de
que los certificados se daen o se produzca un fallo del sistema.

Paso 4

118

Compile los cambios.

4.

Seleccione la funcin que se asignar a este administrador. Puede


seleccionar una de las funciones dinmicas predefinidas o un perfil
basado en funcin personalizado si ha creado uno en Paso 1.

5.

(Opcional) Seleccione un perfil de contrasea.

6.

Haga clic en ACEPTAR para guardar la cuenta.

Haga clic en Compilar.

Gua del administrador de GlobalProtect

Gestin de dispositivos mviles


Una vez inscritos los usuarios de dispositivos mviles en el gestor de seguridad mvil de GlobalProtect, puede
supervisar los dispositivos y garantizar que su mantenimiento se realiza conforme a sus normas para proteger los
recursos de su empresa y sus normas de integridad de datos. Aunque el el gestor de seguridad mvil de GlobalProtect
simplifica la administracin de los dispositivos mviles y le permite implementar automticamente los ajustes de su
configuracin de cuenta de empresa a los dispositivos que cumplen las normas, tambin puede usar el gestor de
seguridad mvil para resolver las infracciones de seguridad interaccionando con el dispositivo afectado. De este modo
se logra proteger tanto la informacin de la empresa con la informacin personal del usuario final. Por ejemplo, si un
usuario final pierde su dispositivo, puede enviar una solicitud al dispositivo mediante OTA (over-the-air) para que
emita una alarma que le facilite la bsqueda al usuario. O bien, si el usuario final informa de la prdida o sustraccin
del dispositivo, puede bloquearlo de forma remota a travs del gestor de seguridad mvil o incluso borrar toda o parte
de la informacin del dispositivo.
Adems de las funciones de aprovisionamiento de cuentas y gestin remota del dispositivo que ofrece el gestor de
seguridad mvil, al integrarlo con su infraestructura VPN de GlobalProtect ya existente, puede alojar la informacin
que el dispositivo remite al gestor de seguridad mvil para aplicar las polticas de seguridad de acceso a aplicaciones a
travs de la puerta de enlace de GlobalProtect y usar las herramientas de supervisin integradas en el cortafuegos de
prxima generacin de Palo Alto para supervisar el trfico del dispositivo mvil y el uso de aplicaciones.
En este captulo se describe cmo gestionar los dispositivos mviles desde el gestor de seguridad mvil y cmo
integrar la informacin obtenida por el gestor de seguridad mvil en su infraestructura de seguridad existente.

Agrupacin de dispositivos por etiqueta para simplificar la administracin de dispositivos

Supervisin de dispositivos mviles

Administracin de dispositivos remotos

Creacin de polticas de seguridad para aplicacin de trfico de dispositivos mviles

Gua del administrador de GlobalProtect

119

Agrupacin de dispositivos por etiqueta para simplificar la administracin de dispositivos

Gestin de
dispositivos mviles

Agrupacin de dispositivos por etiqueta para simplificar la


administracin de dispositivos
Una etiqueta es una marca de texto que puede asignar a un dispositivo mvil gestionado para simplificar la
administracin de dispositivos habilitando su agrupacin. Las etiquetas que defina servirn para identificar un
grupo de dispositivos al que se aplicarn las mismas polticas, interaccionar con OTA (p. ej., para enviar una
nueva poltica o un mensaje). Despus de asignar una etiqueta a un dispositivo, esta se incluye en el perfil de
informacin del host (HIP) para el dispositivo. Dado que el perfil HIP tambin se comparte con la puerta de
enlace de GlobalProtect, puede crear perfiles HIP en la puerta de enlace que le permitan aplicar la poltica de
seguridad basada en el valor de la etiqueta.
Puesto que puede crear las etiquetas manualmente, le proporcionan un mecanismo flexible para lograr cualquier
tipo de aprovisionamiento de dispositivos o aplicaciones de seguridad que le puedan hacer falta. Por ejemplo,
puede crear etiquetas para distinguir dispositivos personales de dispositivos de la empresa. A continuacin,
puede crear objetos HIP que coincidan con etiquetas especficas, lo cual ofrece posibilidades infinitas de agrupar
los dispositivos gestionados para la implementacin de la configuracin.
O bien, si quiere tener la capacidad de aprobar dispositivos antes de aplicarles la poltica, puede asignar una
etiqueta a los dispositivos aprobados y, a continuacin, crear un perfil HIP para enviar la poltica solo a los
dispositivos con la etiqueta de aprobacin.
Hay dos formas diferentes de asignar etiquetas a dispositivos mviles:

Etiquetar dispositivos manualmente

Preetiquetado de dispositivos

Etiquetar dispositivos manualmente


Para etiquetar dispositivos manualmente, puede crear las etiquetas en el gestor de seguridad mvil y luego
asignarlas a los dispositivos tras la inscripcin, como se describe en el siguiente flujo de trabajo:
Creacin de etiquetas y asignacin a los dispositivos gestionados

Paso 1

120

Defina las etiquetas que necesita para


supervisar dispositivos, enviar polticas
de implementacin o aplicar polticas de
seguridad en la puerta de enlace de
GlobalProtect.

1.

Seleccione Configuracin > Etiquetas y, a continuacin, haga


clic en Aadir.

2.

Introduzca un Nombre descriptivo para la etiqueta. El nombre


introducido ser el que har coincidir cuando cree objetos /
perfiles HIP para implementaciones o polticas de seguridad.

3.

(Opcional) Introduzca un comentario (hasta 63 caracteres


alfanumricos, incluidos los caracteres especiales) que describa
el uso previsto para esta etiqueta.

4.

Haga clic en ACEPTAR para guardar la etiqueta.

Gua del administrador de GlobalProtect

Gestin de
dispositivos mviles

Agrupacin de dispositivos por etiqueta para simplificar la administracin de dispositivos

Creacin de etiquetas y asignacin a los dispositivos gestionados (Continuacin)

Paso 2
Nota

Asigne las etiquetas a los dispositivos


mviles gestionados.

1.

2.
Tambin puede usar este procedimiento
para eliminar etiquetas de los dispositivos;
para ello, seleccione las etiquetas que
quiere eliminar y haga clic en Anular
etiqueta.
3.
4.

Vaya a la pestaa Dispositivos.


Seleccione los dispositivos a los que quiere asignar la etiqueta
haciendo clic en la fila que corresponde a la entrada del
dispositivo. Para simplificar el proceso, puede ordenar los
dispositivos por cualquiera de los encabezados de columna o
usar uno de los filtros predefinidos en el panel izquierdo.
Haga clic en

Asocie las etiquetas con los dispositivos seleccionados de una de


las siguientes formas:
Haga clic en Aadir para mostrar la lista de etiquetas que ha
creado y poder hacer clic en una, o bien haga clic en Nueva
etiqueta para definir una nueva etiqueta en el momento.
Para navegar por la lista de etiquetas que ha creado, haga clic
en Examinar y, a continuacin, busque las etiquetas que
quiere asociar a los dispositivos seleccionados haciendo clic
en
para aadir cada etiqueta a la lista de etiquetas
asociadas con los dispositivos seleccionados. Repita este paso
con cada etiqueta para que cada una se asocie con el
dispositivo seleccionado.

5.
Paso 3

Guarde la configuracin.

Haga clic en Etiqueta para guardar las asociaciones de etiquetas.

Haga clic en Confirmar.

Preetiquetado de dispositivos
Para simplificar las polticas de administracin de dispositivos proporcionados por la empresa, puede
preetiquetar los dispositivos de empresa compilando una lista de nmeros de serie para los dispositivos con
formato de archivo de valores separados por comas (CSV) y, a continuacin, importndola desde el gestor de
seguridad mvil. Por defecto, a los dispositivos importados se les asigna la etiqueta Importado. Tiene la
opcin de aadir una segunda columna a su archivo CSV/XLS para el nombre de etiqueta si quiere especificar
cualquier etiqueta adicional con el fin de asignarla a dispositivos importados; por ejemplo, si tiene diferentes
niveles de acceso para diferentes grupos de usuarios que reciben dispositivos de empresa. No tiene que asignar
la misma etiqueta a todos los dispositivos importados.

Gua del administrador de GlobalProtect

121

Agrupacin de dispositivos por etiqueta para simplificar la administracin de dispositivos

Gestin de
dispositivos mviles

Importacin de un grupo de dispositivos

Paso 1

Cree el archivo CSV en dos columnas sin aadir encabezados de


Cree un archivo CSV o una hoja de
clculo de Microsoft Excel que contenga columnas del siguiente modo y, a continuacin, gurdelo en su
ordenador local o en un recurso de red compartido:
la lista de nmeros de serie de
dispositivos en la primera columna y, si lo
desea, una lista de etiquetas para
asignarlas a los dispositivos en la segunda
columna.

Paso 2

Importe la lista de dispositivos.

Paso 3

122

1.

Vaya a la pestaa Dispositivos y haga clic en

2.

Introduzca la ruta y el nombre del archivo CSV o XLS que ha


creado, o bien, use Examinar para encontrarlo.

3.

Haga clic en ACEPTAR para importar la lista de dispositivos y


asocie la etiqueta Importados con los dispositivos, junto con
otras etiquetas que definiera para cada dispositivo dentro del
archivo.

En la pestaa Dispositivos, haga clic en Ver importados. Verifique


que el dispositivo que acaba de importar aparece en la lista. Tenga en
cuenta que los nmeros de serie para los que no especific un valor
En cuanto el dispositivo se inscribe en la
de etiqueta reciben solo la etiqueta importados, mientras que los
lista importada, las etiquetas que asoci al
nmeros de serie para los que especific uno o ms valores de
nmero de serie se asignarn
etiquetas contienen esas etiquetas, adems de la etiqueta importados:
automticamente al dispositivo.
Verifique que la importacin del
dispositivo se realiz correctamente.

Gua del administrador de GlobalProtect

Gestin de
dispositivos mviles

Supervisin de dispositivos mviles

Supervisin de dispositivos mviles


Uno de los problemas de permitir el acceso de dispositivos mviles a sus recursos de empresa es la falta de
visibilidad del estado de los dispositivos y la informacin de identificacin necesaria para localizarlos, que
suponen una amenaza para su red y sus aplicaciones.
Supervisin de dispositivos mviles

Use el Panel para ver informacin de los


dispositivos gestionados de un vistazo.

La pestaa Panel ofrece una serie de widgets que muestran


informacin acerca del estado del gestor de seguridad mvil, as
como informacin acerca de los dispositivos mviles que gestiona.
Puede definir qu widgets se muestran y la ubicacin de cada uno en
la pantalla. El panel le permite supervisar la informacin de los
dispositivos mviles en las siguientes categoras.
Tendencias de dispositivo: Muestra recuentos rpidos durante la
ltima semana de dispositivos inscritos y desapuntados,
dispositivos que no se registraron y el nmero diario total de
dispositivos en mantenimiento. Puede hacer clic en cada grfico
para ver estadsticas actualizadas minuto a minuto.
Resumen de dispositivo: Muestra grficos circulares que le
permiten ver la distribucin por modelo de los dispositivos
gestionados, modelo Android, modelo iOS y sistema operativo.
Cumplimiento de dispositivo: Le permite ver un recuento rpido
de los dispositivos que pueden suponer una amenaza, tales como
dispositivos infectados con software malintencionado,
dispositivos que no tienen un cdigo de acceso establecido o que
estn modificados o desbloqueados. Haga clic en un widget para
ver una lista de estadsticas detallada de los dispositivos que no
cumplen los requisitos

Gua del administrador de GlobalProtect

123

Supervisin de dispositivos mviles

Gestin de
dispositivos mviles

Supervisin de dispositivos mviles (Continuacin)

Use la pestaa Dispositivos para ver estadsticas


de dispositivos detalladas acerca de los dispositivos
gestionados (o gestionados previamente).

La pestaa Dispositivos muestra informacin acerca de los


dispositivos que gestiona actualmente el gestor de seguridad mvil y
los dispositivos mviles que ha gestionado en el pasado.

Consejos:
Seleccione un filtro predefinido de la lista
Filtros.

Introduzca a mano un filtro en el cuadro


de texto del filtro. Por ejemplo, para ver todos los
dispositivos Nexus, debera introducir (model
contains 'Nexus') y hacer clic en el botn
Aplicar filtro
.
Modifique las columnas que se muestran
pasando el puntero del ratn por encima del
nombre de una columna y haciendo clic en el
icono de flecha hacia abajo .
Para realizar una accin en un dispositivo o
grupo de dispositivos, seleccione los dispositivos y
haga clic en el botn de accin en la parte inferior de
la mquina. Para obtener ms informacin, consulte
Administracin de dispositivos remotos.

124

Gua del administrador de GlobalProtect

Gestin de
dispositivos mviles

Supervisin de dispositivos mviles

Supervisin de dispositivos mviles (Continuacin)

Supervise los logs MDM para obtener


informacin sobre las actividades de los
dispositivos, como registros, mensajes en la
nube y difusin de informes o puerta de enlace
HIP. El log MDM tambin le avisar de eventos
de gravedad, como que un dispositivo informe
de un estado modificado o desbloqueado.
Asimismo, el log MDM ofrece informacin de
los usuarios de dispositivos que se desconectan
manualmente de la VPN de GlobalProtect.

Desde la interfaz web del gestor de seguridad mvil, seleccione


Supervisar > Logs > MDM.

Haga clic en el icono de detalles de log


para ver el informe HIP
del dispositivo completo asociado con la entrada de log. El informe
HIP recopilado por el gestor de seguridad mvil es una versin
extendida del informe HIP, que incorpora informacin detallada,
incluyendo informacin de identificacin del dispositivo, como el
nmero de serie, el nmero de telfono (si se aplica) y el IMEI,
informacin del estado del dispositivo y una lista de todas las
aplicaciones instaladas en el dispositivo, que incluye una lista de las
aplicaciones consideradas portadoras de software malintencionado.

Gua del administrador de GlobalProtect

125

Supervisin de dispositivos mviles

Gestin de
dispositivos mviles

Supervisin de dispositivos mviles (Continuacin)

Supervise los logs de coincidencias HIP en el


gestor de seguridad mvil.

Desde la interfaz web del gestor de seguridad mvil, seleccione


Supervisar > Logs > Coincidencias HIP. Haga clic en un
encabezamiento de columna para elegir las columnas que quiere ver.

Supervise los logs de coincidencias HIP en la


puerta de enlace de GlobalProtect. En la puerta
de enlace, se genera un log de coincidencia HIP
cada vez que la puerta de enlace recibe un
informe HIP de un cliente de GlobalProtect
que cumple los criterios de un objeto HIP o
perfil HIP definido en la puerta de enlace. En la
puerta de enlace, se usan los perfiles HIP en la
aplicacin de polticas de seguridad para el
trfico iniciado por el cliente. O bien, supervise
los logs de coincidencias HIP en Panorama
para obtener una vista global de los datos de
coincidencia HIP en todas las puertas de enlace
de GlobalProtect gestionadas.

Desde la interfaz web en el cortafuegos que aloja la puerta de


enlace de GlobalProtect, seleccione Supervisar > Logs >
Coincidencias HIP.

126

Gua del administrador de GlobalProtect

Gestin de
dispositivos mviles

Supervisin de dispositivos mviles

Supervisin de dispositivos mviles (Continuacin)

Seleccione Supervisar > Informes. Para ver los informes, haga clic
en los nombres de informes en la parte derecha de la pgina
(
El gestor de seguridad mvil proporciona diversos Informes de aplicacin, Informes de dispositivo e Informes de
resumen en PDF).
informes de las estadsticas de 50 dispositivos
principales, bien del da anterior, bien de un da
seleccionado de la semana anterior.
De forma predeterminada, aparecen todos los
informes del da de calendario anterior. Para ver
informes de cualquiera de los das anteriores,
seleccione una fecha de creacin de informe en
el calendario de la parte inferior de la pgina.
Los informes aparecen en secciones. Puede
visualizar la informacin en cada informe del
perodo de tiempo seleccionado. Para exportar
el log en formato CSV, haga clic en Exportar a
CSV. Para abrir la informacin de log en
formato PDF, haga clic en Exportar a PDF.
Los archivos en PDF se abren en una nueva
ventana. Haga clic en los iconos en la parte
superior de la ventana para imprimir o guardar
el archivo.

Examine los informes integrados o cree


informes personalizados.

Supervise el ACC en el cortafuegos que aloja la


puerta de enlace de GlobalProtect. O bien,
supervise el ACC en Panorama para obtener
una vista global de los datos de coincidencia
HIP en todas las puertas de enlace de
GlobalProtect gestionadas.

Gua del administrador de GlobalProtect

Desde la interfaz web del cortafuegos que aloja la puerta de enlace de


GlobalProtect, seleccione ACC y consulte la seccin Coincidencias
HIP.

127

Administracin de dispositivos remotos

Gestin de
dispositivos mviles

Administracin de dispositivos remotos


Una de las funciones ms potentes del gestor de seguridad mvil de GlobalProtect es la capacidad de administrar
dispositivos gestionados (en cualquier lugar del mundo) enviando notificaciones push mediante OTA
(over-the-air). Para dispositivos iOS, el gestor de seguridad mvil enva mensajes a travs del servicio
Notificaciones Push de Apple (APN). Para dispositivos Android, el gestor de seguridad mvil enva mensajes a
travs de Mensajera de Google Cloud (GCM). De este modo, puede reaccionar rpidamente si duda de la
seguridad de un dispositivo o si un empleado abandona su organizacin y quiere asegurarse de que se ha
deshabilitado el acceso al sistema de su empresa. Tambin sirve para enviar un mensaje especfico a un grupo
de usuarios de dispositivos mviles.

Interaccin con dispositivos

Reaccin ante la prdida o sustraccin de un dispositivo

Eliminacin de dispositivos

Interaccin con dispositivos


Siempre que quiera interactuar con un dispositivo mvil, seleccione el dispositivo mvil o grupo de dispositivos
de la pestaa Dispositivos y, a continuacin, haga clic en uno de los botones de la parte inferior de la pgina,
como se describe a continuacin:
Realizacin de una accin en un dispositivo remoto

Paso 1

Seleccione los dispositivos con los que


quiere interaccionar.

1.

Seleccione la pestaa Dispositivos.

2.

Seleccione los dispositivos con los que interaccionar de uno de


estos modos:
Seleccione un filtro predefinido de la lista Filtros. Puede
seleccionar varios filtros para mostrar una vista personalizada
de los dispositivos mviles inscritos en el gestor de seguridad
mvil.
Introduzca a mano un filtro en el cuadro de texto del filtro.
Por ejemplo, para ver todos los dispositivos Nexus que
ejecutan Android 4.1.2, debera introducir (model contains
'Nexus') y (os-version eq '4.1.2') y, a continuacin,
hacer clic en el botn Aplicar filtro . Tambin puede
aadir filtros al cuadro de texto haciendo clic en un campo en
una de las entradas de dispositivos. Por ejemplo, al hacer clic
en una entrada de Android en la columna OS, se aadir
automticamente el filtro (os eq 'android').
Para crear un filtro mediante la interfaz de usuario, haga clic
en el botn Aadir filtro , cree el filtro aadiendo pares de
valores de atributos, separados por operadores, y haga clic
en
para aplicar el filtro.

128

Gua del administrador de GlobalProtect

Gestin de
dispositivos mviles

Administracin de dispositivos remotos

Realizacin de una accin en un dispositivo remoto (Continuacin)

Paso 2

Seleccione una accin.

Haga clic en uno de los botones de la parte inferior de la pantalla para


realizar la accin correspondiente en los dispositivos seleccionados.
Por ejemplo:
Para enviar un mensaje a los usuarios finales propietarios de los
dispositivos seleccionados, haga clic en
, introduzca el
Cuerpo del mensaje y, a continuacin, haga clic en ACEPTAR.
Para solicitar el registro de un dispositivo, por ejemplo en una lista
filtrada de dispositivos que no se han registrado el da anterior
(last-checkin-time leq '2013/09/09'), seleccione los
dispositivos y, a continuacin, haga clic en
para enviar
una notificacin push a los dispositivos que lo soliciten el registro
con el gestor de seguridad mvil.
Para desbloquear un dispositivo mvil de forma remota (por
ejemplo, si el usuario final ha olvidado el cdigo de acceso),
seleccione el dispositivo y haga clic en
. El dispositivo se
desbloquear y se le pedir al usuario que defina un nuevo cdigo
de acceso.

Reaccin ante la prdida o sustraccin de un dispositivo


Si un usuario final informa de la prdida o sustraccin de un dispositivo gestionado, debe reaccionar
inmediatamente para proteger los datos del dispositivo. Seleccione el dispositivo en la pestaa Dispositivos y, a
continuacin, lleve a cabo una de las siguientes acciones en funcin de la situacin:
Proteccin de un dispositivo perdido o sustrado

Bloquee el dispositivo.

Tan pronto como un usuario le informe de la prdida o sustraccin


de un dispositivo, debe bloquear el mismo para garantizar que los
datos que contiene no acaben en manos de quien no deben.
Seleccione el dispositivo y haga clic en
para bloquear el
dispositivo inmediatamente. Para acceder a las aplicaciones y a los
datos del dispositivo, el usuario del mismo debe volver a introducir
el cdigo de acceso.

Trate de localizar el dispositivo.

Seleccione el dispositivo y haga clic en


alarma.

para que emita una

Elimine el acceso a sistemas de la empresa. Este Si cree que un dispositivo puede haber acabado en las manos
procedimiento se denomina borrado selectivo.
equivocadas, puede realizar un borrado selectivo del dispositivo
creando una poltica de implementacin que devuelva un perfil vaco
al dispositivo y, a continuacin, hacer clic en
. Cuando la
nueva poltica vaca se enve al dispositivo, se borrarn todos los
perfiles con acceso habilitado a sus sistemas corporativos,
incluyendo cualquier dato asociado a esas aplicaciones. Consulte las
recomendaciones e instrucciones para la creacin de perfiles en
Definicin de polticas de implementacin.

Gua del administrador de GlobalProtect

129

Administracin de dispositivos remotos

Gestin de
dispositivos mviles

Proteccin de un dispositivo perdido o sustrado (Continuacin)

Borre todos los datos del dispositivo. Este


procedimiento se denomina borrado porque
elimina todos los datos del dispositivo, no solo el
acceso a los sistemas de la empresa.

Para proteger tanto los datos de la empresa en el dispositivo como


los datos personales del usuario, el usuario final puede solicitarle que
borre todos los datos del dispositivo. Para ello, seleccione el
dispositivo y haga clic en
.

Eliminacin de dispositivos
Aunque los usuarios finales pueden desapuntarse manualmente de la aplicacin del gestor de seguridad mvil
de GlobalProtect, como administrador tambin puede desapuntar dispositivos mediante OTA. Esta opcin es
til cuando un empleado ha abandonado la empresa sin desapuntar su dispositivo personal del gestor de
seguridad mvil. Para desapuntar dispositivos, seleccione los dispositivos que quiere eliminar en la pestaa
Dispositivos y siga una de las dos opciones siguientes:
Eliminacin de dispositivos desde gestin

Desapuntar dispositivos.

Para eliminar un dispositivo del gestor de seguridad mvil de


GlobalProtect sin borrar su entrada en el gestor, seleccione el
dispositivo y haga clic en
. Es una buena opcin si el usuario
final sigue trabajando en su empresa, pero el dispositivo va a dejar de
estar gestionado permanente o temporalmente. Al dejar la entrada
del dispositivo en el gestor, podr seguir viendo la informacin del
dispositivo, incluyendo el historial de logs de coincidencia HIP,
informes y estadsticas del dispositivo.

Eliminar dispositivos.

Para eliminar un dispositivo mvil de la gestin y eliminar su entrada


en el gestor de seguridad mvil, seleccione el dispositivo y haga clic
en
. Es una buena opcin si quiere limpiar la base de datos y
eliminar entradas de usuarios que ya no pertenecen a la empresa o
eliminar los dispositivos que han sido reemplazados. No obstante,
tenga en cuenta que esta accin eliminar el dispositivo de la base de
datos de forma permanente. Asimismo, si el dispositivo est inscrito
en el momento de realizar la eliminacin, el dispositivo se
desapuntar y despus el registro se eliminar de la base de datos del
gestor de seguridad mvil.

130

Gua del administrador de GlobalProtect

Gestin de
dispositivos mviles

Creacin de polticas de seguridad para aplicacin de trfico de dispositivos mviles

Creacin de polticas de seguridad para aplicacin de


trfico de dispositivos mviles
Las polticas de implementacin que crea en el gestor de seguridad mvil ofrecen aprovisionamiento de cuentas
simplificado para que los usuarios de dispositivos mviles puedan acceder a las aplicaciones de la empresa.
Aunque tiene un control granular de la asignacin de polticas a los usuarios, que controlan a qu aplicaciones
tienen acceso (basadas en usuario/grupo o cumplimiento del dispositivo), el gestor de seguridad mvil no
proporciona aplicacin de trfico del trfico de dispositivos mviles. Mientras que la puerta de enlace de
GlobalProtect ya cuenta con la capacidad de aplicar polticas de seguridad para usuarios de la aplicacin de
GlobalProtect, la oferta de informacin de coincidencias HIP para dispositivos mviles es un tanto limitada. Sin
embargo, dado que el gestor de seguridad mvil recopila de forma exhaustiva datos HIP de los dispositivos que
gestiona (aprovechando los datos HIP que recopila el gestor de seguridad mvil), puede crear polticas de
seguridad granulares en sus puertas de enlace de GlobalProtect que le permitan tener en cuenta el cumplimiento
del dispositivo y las etiquetas del gestor de seguridad mvil. Por ejemplo, podra crear una poltica de seguridad
en la puerta de enlace que permita a los dispositivos mviles con la etiqueta dispositivo de la empresa acceder
sin restricciones a su red y proporcionar una segunda poltica de seguridad a los dispositivos mviles con la
etiqueta dispositivo personal para acceder solamente a Internet.
Creacin de polticas de seguridad para dispositivos gestionados en la puerta de enlace GlobalProtect

Paso 1

Configure las puertas de enlace de


GlobalProtect para recuperar informes
HIP desde el gestor de seguridad mvil.

Nota

Aunque el valor de Puerto de conexin


se puede configurar en la puerta de enlace,
el gestor de seguridad mvil requiere que
defina el valor a 5008. La opcin para
configurar este valor se proporciona para
habilitar la integracin con soluciones
MDM de terceros.

Gua del administrador de GlobalProtect

Consulte las instrucciones detalladas de Configuracin del acceso de


puerta de enlace al gestor de seguridad mvil.

131

Creacin de polticas de seguridad para aplicacin de trfico de dispositivos mviles

Gestin de
dispositivos mviles

Creacin de polticas de seguridad para dispositivos gestionados en la puerta de enlace GlobalProtect

Paso 2

Consulte las instrucciones detalladas de Agrupacin de dispositivos


(Opcional) En el gestor de seguridad
mvil, defina las etiquetas que quiere usar por etiqueta para simplificar la administracin de dispositivos.
para la aplicacin de la poltica de
seguridad en la puerta de enlace y
asgnelas a los dispositivos mviles
gestionados.

Paso 3

En las puertas de enlace de


GlobalProtect, cree los objetos HIP y
perfiles HIP que necesitar para la
aplicacin de polticas de trfico de
dispositivos mviles.

Paso 4

Adjunte el perfil HIP a la poltica de


seguridad y, a continuacin, Compile los
cambios en la puerta de enlace.

132

Consulte las instrucciones detalladas de Configuracin de la


aplicacin de polticas basadas en HIP.

Gua del administrador de GlobalProtect

Uso de informacin del host en la


aplicacin de polticas
Aunque puede que la seguridad del lmite de su red corporativa sea muy estricta, en realidad la seguridad de su
red se reduce a la seguridad los dispositivos que acceden a la misma. La fuerza de trabajo de hoy en da es cada
vez ms mvil, lo que a veces requiere acceso a recursos de la empresa desde distintos lugares (aeropuertos,
cafeteras, hoteles, etc.) y desde diversos dispositivos (tanto de la empresa como del empleado). A consecuencia
de ello, lgicamente debe extender la seguridad de su red a los terminales para garantizar una aplicacin de la
seguridad de forma exhaustiva y constante. La funcin Perfil de informacin del host (HIP) de GlobalProtect
le permite recopilar informacin acerca del estado de seguridad de sus hosts de extremo (p. ej., si tienen
instalados los parches de seguridad ms recientes y las definiciones de antivirus; si tienen habilitado el cifrado
de disco; si el dispositivo est desbloqueado o modificado (solo dispositivos mviles), o si funciona con un
software especfico que es obligatorio en su organizacin, incluidas las aplicaciones personalizas) para poder
fundamentar la decisin de si se permite o deniega el acceso a un host especfico basndose en el cumplimiento
de las polticas de host que defina.
Este captulo presenta informacin acerca del uso de la informacin del host en la aplicacin de las polticas.
Incluye las siguientes secciones:

Acerca de la informacin del host

Configuracin de la aplicacin de polticas basadas en HIP

Gua del administrador de GlobalProtect

133

Acerca de la informacin del host

Uso de informacin del host en la aplicacin de polticas

Acerca de la informacin del host


Una de las tareas del agente de GlobalProtect consiste en recopilar informacin acerca del host en el que se
ejecuta. A continuacin, el agente enva la informacin del host a la puerta de enlace de GlobalProtect tras una
conexin correcta. La puerta de enlace compara esta informacin sin procesar enviada por el agente con
cualquiera de los objetos HIP y perfiles HIP que ha definido. Si encuentra una coincidencia, genera una entrada
en el log de coincidencias HIP. Asimismo, si encuentra una coincidencia con un perfil HIP en una poltica de
reglas, aplica la correspondiente poltica de seguridad.
El uso de los perfiles de informacin del host para la aplicacin de polticas posibilita una seguridad granular
que garantiza que los hosts remotos que acceden a sus recursos crticos posean un mantenimiento adecuado y
conforme a sus normas de seguridad antes de que se les permita acceder a los recursos de su red. Por ejemplo,
antes de permitir el acceso a los sistemas de datos ms importantes, tal vez quiera asegurarse de que los hosts
que acceden a los mismos tienen habilitado el cifrado en sus unidades de disco duro. Puede aplicar esta poltica
creando una regla de seguridad que solo permita acceder a la aplicacin si el sistema cliente tiene habilitado el
cifrado. Adems, en el caso de clientes que no cumplan esta regla, puede crear un mensaje de notificacin que
alerte a los usuarios del motivo por el cual se les deniega el acceso y los redirija al recurso compartido de
archivos, donde podrn acceder al programa de instalacin del software de cifrado que les falta (evidentemente,
para permitir al usuario acceder a dicho recurso compartido, debera crear la correspondiente regla de seguridad
que permita acceder al recurso compartido a los hosts que coincidan con un perfil HIP concreto).

Qu datos recopila el agente?


Por defecto, el agente de GlobalProtect recopila datos especficos del proveedor relativos a los paquetes de
seguridad del usuario final que se ejecutan en el ordenador (segn la compilacin del programa de asociacin
global OPSWAT) y remite estos datos a la puerta de enlace de GlobalProtect para que se usen en la aplicacin
de la poltica.
Puesto que el software de seguridad debe evolucionar continuamente para garantizar la proteccin del usuario
final, las licencias de portal y puerta de enlace de GlobalProtect tambin le permiten recibir actualizaciones
dinmicas del archivo de datos de GlobalProtect con los parches y las versiones de software ms recientes
disponibles para cada paquete.
Mientras el agente recopila una gran cantidad de datos acerca del host en el que se est ejecutando, puede que
exija a sus usuarios finales que ejecuten software adicional para conectarse a su red o acceder a determinados
recursos. En este caso, puede definir comprobaciones personalizadas que indiquen al agente que recopile
informacin especfica del registro (en clientes Windows), informacin lista de preferencias (plist, en clientes
Mac OS) o que recopile informacin acerca de si se ejecutan en el host los servicios especficos.
El agente recopila datos acerca de las siguientes categoras de informacin de forma predeterminada para
ayudarle a identificar el estado de seguridad del host.

134

Gua del administrador de GlobalProtect

Uso de informacin del host en la aplicacin de polticas

Acerca de la informacin del host

Tabla: Categoras de recopilacin de datos


Categora

Datos recopilados

General

Informacin acerca del propio host, incluido el nombre del host, el dominio de
inicio de sesin, el sistema operativo, la versin del cliente y, para sistemas
Windows, el dominio al que pertenece el equipo.

Dispositivos mviles

Informacin de identificacin acerca del dispositivo mvil, incluyendo el nombre


de host, el sistema operativo y la versin del cliente.

Administracin de parches

Informacin acerca de cualquier software de administracin de parches habilitado


o instalado en el host e informacin de cualquier parche que falte.

Cortafuegos

Informacin acerca de cualquier cortafuegos del cliente instalado o habilitado en el host.

Antivirus

Informacin acerca del software antivirus habilitado o instalado en el host, de si est


habilitada o no la proteccin en tiempo real, la versin de definicin de virus, la hora
del ltimo anlisis, el proveedor y el nombre del producto.

Antispyware

Informacin acerca del software antispyware habilitado o instalado en el host, de si


est habilitada o no la proteccin en tiempo real, la versin de definicin de virus,
la hora del ltimo anlisis, el proveedor y el nombre del producto.

Copia de seguridad de disco

Informacin de si est instalado el software de copia de seguridad del disco, la hora


de la ltima copia de seguridad y el proveedor y el nombre de producto del software.

Cifrado de disco

Informacin acerca de si est instalado el software de cifrado del disco, las unidades
o rutas configuradas para el cifrado y el proveedor y el nombre de producto del
software.

Prevencin de prdida de datos

Informacin acerca de si est instalado o no el software de prevencin de prdida


de datos (DLP) para evitar que la informacin corporativa confidencial salga de la
red o se almacene en un dispositivo potencialmente inseguro. Esta informacin
solo se obtiene de clientes de Windows.

Dispositivos mviles

Informacin de identificacin del dispositivo mvil, como el nmero de modelo, el


nmero de telfono, el nmero de serie y el nmero IMEI (Identidad Internacional de
Equipo Mvil). Asimismo, el agente recopila informacin acerca de los ajustes
especficos en el dispositivo, como si se ha definido o no un cdigo de acceso, si se ha
desbloqueado el dispositivo e incluso si contiene aplicaciones de las que se sabe que
contienen software malintencionado (solo dispositivos Android) y, opcionalmente, la
localizacin GPS del dispositivo. Tenga en cuenta que para dispositivos iOS, algunos de
los datos son recopilados por la aplicacin GlobalProtect.y otros son remitidos
directamente por el sistema operativo.

Tambin puede excluir la recopilacin de ciertas categoras de informacin en determinados hosts (para evitar
ciclos de CPU y mejorar el tiempo de respuestas del cliente). Para ello, cree una configuracin en el portal donde
se excluyan las categoras que no le interesen. Por ejemplo, si no tiene pensado crear una poltica basada en que
los sitemas del cliente ejecuten o no software de copia de seguridad, puede excluir esta categora y el agente no
recopilar informacin acerca de copias de seguridad.

Gua del administrador de GlobalProtect

135

Acerca de la informacin del host

Uso de informacin del host en la aplicacin de polticas

Cmo usa la puerta de enlace la informacin del host para aplicar las polticas
Mientras el agente obtiene informacin acerca de la informacin que debe recopilar de la configuracin del cliente
descargada desde el portal, puede definir qu atributos le interesa supervisar o usar para la aplicacin de la poltica
mediante la creacin de objetos HIP y perfiles HIP en la puerta o puertas de enlace.

Objetos HIP: Proporcionan los criterios de coincidencia que filtran la informacin de host que est interesado
en utilizar para aplicar la poltica a partir de los datos sin formato de los que ha informado el agente. Por ejemplo,
aunque los datos de host sin formato pueden incluir informacin sobre varios paquetes antivirus instalados en el
cliente, puede que solo est interesado en una aplicacin concreta que necesite en su organizacin. En este caso,
creara un objeto HIP que coincida con la aplicacin especfica que est interesado en aplicar.
La mejor forma de determinar qu objetos HIP necesita es determinar cmo utilizar la informacin de host que
recopila para aplicar la poltica. Tenga en cuenta que los objetos HIP son solo los ladrillos que le permiten crear
los perfiles HIP que se utilizan en sus polticas de seguridad. Por lo tanto, puede que desee mantener la sencillez
de sus objetos, de forma que solo coincidan con un elemento, como la presencia de un tipo concreto de software
necesario, la pertenencia a un dominio especfico o la presencia de un SO cliente determinado. De este modo,
tendr la flexibilidad de crear una poltica aumentada HIP muy granular (y muy potente).

Perfiles HIP: Una coleccin de objetos HIP que deben evaluarse en conjunto, para supervisin o para la
aplicacin de polticas de seguridad. Cuando crea sus perfiles HIP, puede combinar objetos HIP que haya creado
previamente (as como otros perfiles HIP) usando lgica booleana como la que se usa cuando un flujo de trfico
se evala con respecto al perfil HIP resultante con el que tendr, o no, coincidencia. Si coincide, la regla de poltica
correspondiente se aplicar; si no coincide, el flujo se evaluar con respecto a la siguiente regla, como con cualquier
otro criterio de coincidencia de poltica.

A diferencia de un log de trfico, que solo crea una entrada de log si hay una coincidencia de poltica, el log de
coincidencias HIP genera una entrada siempre que los datos sin procesar enviados por un agente coincidan con un
objeto HIP o un perfil HIP que haya definido. Por este motivo, el log de coincidencias HIP es un buen recurso para
supervisar el estado de los hosts en su red a lo largo del tiempo, antes de adjuntar sus perfiles HIP a polticas de
seguridad, para ayudarle a determinar exactamente qu polticas cree que necesitan aplicarse.

Cmo pueden saber los usuarios si sus sistemas cumplen los requisitos?
Por defecto, los usuarios finales no reciben informacin acerca de decisiones de polticas tomadas como consecuencia
de la aplicacin de una regla de seguridad HIP. Sin embargo, puede habilitar esta funcionalidad definiendo que se
muestren mensajes de notificacin HIP cuando un perfil HIP concreto coincida o no.
La decisin de cundo mostrar un mensaje (es decir, si aparece cuando la configuracin del usuario coincide con un
perfil HIP en la poltica o cuando no coincide), depende en gran medida de su poltica y de lo que el usuario entiende
por coincidencia (o no coincidencia) de HIP. Es decir, significa la coincidencia que se concede total acceso a los
recursos de su red? O significa que tiene acceso limitado debido a un problema de incumplimiento?
Por ejemplo, imagnese estas situaciones:

Crea un perfil HIP que coincide si el antivirus requerido por la empresa y los paquetes de software antispyware no
estn instalados. En este caso, tal vez quiera crear un mensaje de notificacin HIP para los usuarios que coincidan
con el perfil HIP que les avise de que necesitan instalar el software (y, de manera opcional, les proporcione un
enlace al recurso compartido de archivos, donde podrn acceder al instalador del software correspondiente).

Crea un perfil HIP que coincide si esas mismas aplicaciones estn instaladas, y quizs quiera crear el mensaje para
usuarios que no coincidan con el perfil y dirigirlos a la ubicacin del paquete de instalacin.

136

Gua del administrador de GlobalProtect

Uso de informacin del host en la aplicacin de polticas Configuracin de la aplicacin de polticas basadas en HIP

Configuracin de la aplicacin de polticas basadas en HIP


Para habilitar el uso de la informacin del host en la aplicacin de polticas, debe seguir estos pasos:
Habilitacin de la comprobacin de HIP

Paso 1

Verifique que las comprobaciones HIP


tienen la licencia adecuada.

Para usar la funcin HIP, debe haber comprado e instalado una


licencia del portal de GlobalProtect en el cortafuegos donde est
configurado su portal y una licencia de suscripcin a la puerta de
enlace de GlobalProtect en cada puerta de enlace que vaya a realizar
comprobaciones de HIP. Para verificar el estado de sus licencias en
cada portal y puerta de enlace, seleccione Dispositivo > Licencias.
Pngase en contacto con su ingeniero de ventas o distribuidor de
Palo Alto Networks si no tiene todas las licencias necesarias. Si desea
ms informacin sobre licencias, consulte Acerca de las licencias de
GlobalProtect.

Gua del administrador de GlobalProtect

137

Configuracin de la aplicacin de polticas basadas en HIP

Uso de informacin del host en la aplicacin de polticas

Habilitacin de la comprobacin de HIP (Continuacin)

Paso 2

Nota

(Opcional) Defina cualquier informacin


de host personalizada que desee que
recopile el agente. Por ejemplo, si tiene
aplicaciones necesarias que no estn
incluidas en la lista de productos o de
proveedores para crear objetos HIP,
puede crear una comprobacin
personalizada que le permita determinar si
se ha instalado esa aplicacin (tiene un
registro o clave plist que corresponde) o
se est ejecutando (tiene un proceso en
ejecucin que corresponde).

1.

En el cortafuegos donde se aloja su portal de GlobalProtect,


seleccione Red > GlobalProtect > Portales.

2.

Seleccione su configuracin para abrir el cuadro de dilogo del


portal de GlobalProtect.

3.

En la pestaa Configuracin clientes, seleccione la


configuracin del cliente que quiere aadir a una comprobacin
HIP personalizada o haga clic en Aadir para crear una nueva
configuracin de cliente.

4.

Seleccione Recopilacin de datos > Comprobaciones


personalizadas y, a continuacin, defina los datos que quiere
recopilar de los hosts que ejecutan esta configuracin de cliente
del siguiente modo:

Tanto el Paso 2 como el Paso 3 dan por


hecho que ya ha creado una configuracin
de portal. Si an no ha configurado su
portal, consulte las instrucciones en
Configuracin del portal de
GlobalProtect.

Para recopilar informacin acerca de los procesos en


ejecucin: Seleccione la pestaa apropiada (Windows o
Mac) y, a continuacin, haga clic en Aadir en la seccin Lista
de procesos. Introduzca el nombre del proceso del que quiere
que el agente recopile informacin.
Para recopilar informacin acerca de claves de registro
especficas: En la pestaa Windows, haga clic en Aadir en
la seccin Clave de registro. Introduzca la Clave de registro
para la que recopilar datos. Tambin tiene la posibilidad de
hacer clic en Aadir para restringir la recopilacin de datos a
uno o varios valores de registro especficos. Haga clic en
ACEPTAR para guardar la configuracin.
Para recopilar informacin acerca de listas de
propiedades especficas: En la pestaa Mac, haga clic en
Aadir en la seccin Plist. Introduzca la Plist para la que
recopilar datos. Tambin tiene la posibilidad de hacer clic en
Aadir para restringir la recopilacin de datos a valores de
Clave especficos. Haga clic en ACEPTAR para guardar la
configuracin.

138

5.

Si se trata de una nueva configuracin de cliente, complete el


resto de la configuracin segn sus necesidades. Para obtener
instrucciones, consulte Definicin de las configuraciones de
clientes.

6.

Haga clic en ACEPTAR para guardar la configuracin de cliente.

7.

Compile sus cambios.

Gua del administrador de GlobalProtect

Uso de informacin del host en la aplicacin de polticas Configuracin de la aplicacin de polticas basadas en HIP

Habilitacin de la comprobacin de HIP (Continuacin)

Paso 3

(Opcional) Excluya categoras de la


coleccin.

1.

En el cortafuegos donde se aloja su portal de GlobalProtect,


seleccione Red > GlobalProtect > Portales.

2.

Seleccione su configuracin para abrir el cuadro de dilogo del


portal de GlobalProtect.

3.

En la pestaa Configuracin clientes, seleccione la


configuracin del cliente de la que quiere excluir categoras o
haga clic en Aadir para crear una nueva configuracin de
cliente.

4.

Seleccione Recopilacin de datos > Excluir categoras y, a


continuacin, haga clic en Aadir. Aparecer el cuadro de
dilogo Editar categora de exclusin.

5.

Seleccione la Categora que quiere excluir de la lista desplegable.

6.

(Opcional) Si quiere excluir de la recopilacin a proveedores


o productos especficos dentro de la categora seleccionada en lugar
de excluir toda la categora, haga clic en Aadir. A continuacin,
puede seleccionar el proveedor que quiere excluir del men
desplegable en el cuadro de dilogo Editar proveedor y, si lo desea,
hacer clic en Aadir para excluir productos concretos de dicho
proveedor. Cuando haya terminado de definir a dicho proveedor,
haga clic en ACEPTAR. Puede aadir a varios proveedores y
productos a la lista de exclusin.

7.

Repita el paso 5 y el paso 6 para cada categora que quiera


excluir.

8.

Si se trata de una nueva configuracin de cliente, complete el


resto de la configuracin segn sus necesidades. Para obtener
ms informacin sobre la definicin de configuraciones de
cliente, consulte Definicin de las configuraciones de clientes.

9.

Haga clic en ACEPTAR para guardar la configuracin de cliente.

10. Compile sus cambios.

Gua del administrador de GlobalProtect

139

Configuracin de la aplicacin de polticas basadas en HIP

Uso de informacin del host en la aplicacin de polticas

Habilitacin de la comprobacin de HIP (Continuacin)

Paso 4

Cree objetos HIP para filtrar los datos del 1.


host sin procesar recopilados por los
agentes.
La mejor forma de determinar qu
objetos HIP necesita es determinar cmo 2.
utilizar la informacin de host que
3.
recopila para aplicar la poltica. Tenga en
cuenta que los objetos HIP son solo los
ladrillos que le permiten crear los perfiles
HIP que se utilizan en sus polticas de
seguridad. Por lo tanto, puede que desee
mantener la sencillez de sus objetos, de
forma que solo coincidan con un
elemento, como la presencia de un tipo
concreto de software necesario, la
pertenencia a un dominio especfico o la
presencia de un SO cliente determinado.
De este modo, tendr la flexibilidad de
crear una poltica aumentada HIP muy
granular (y muy potente).

Nota

En la puerta de enlace (o en Panorama si tiene pensado


compartir los objetos HIP con varias puertas de enlace),
seleccione Objetos > GlobalProtect > Objetos HIP y haga clic en
Aadir.
En la pestaa General, introduzca un Nombre para el objeto.
Seleccione la pestaa que corresponde a la categora de
informacin del host que le interesa comparar y seleccione la
casilla de verificacin para habilitar la comparacin del objeto
con esta categora. Por ejemplo, para crear un objeto que busque
informacin acerca de software Antivirus, seleccione la pestaa
Antivirus y, a continuacin, seleccione la casilla de verificacin
Antivirus para habilitar los campos correspondientes. Complete
los campos para definir los criterios de correspondencia que
desea. Por ejemplo, la siguiente captura de pantalla muestra
cmo crear un objeto que coincidir si est instalada la
aplicacin Symantec Norton AntiVirus 2004 Professional, si
Real Time Protection est habilitada y si se han actualizado las
definiciones de virus en los 5 ltimos das.

Para obtener informacin detallada sobre


un campo o categora HIP especficos,
consulte la ayuda en lnea.

Repita este paso para cada categora que quiera comparar con
este objeto. Para obtener ms informacin, consulte Tabla:
Categoras de recopilacin de datos.

140

4.

Haga clic en ACEPTAR para guardar el objeto HIP.

5.

Repita estos pasos para crear cada objeto HIP adicional que
necesite.

6.

Compile sus cambios.

Gua del administrador de GlobalProtect

Uso de informacin del host en la aplicacin de polticas Configuracin de la aplicacin de polticas basadas en HIP

Habilitacin de la comprobacin de HIP (Continuacin)

Paso 5

Cree los perfiles HIP que tiene pensado usar 1.


en sus polticas.
Cuando crea sus perfiles HIP, puede
2.
combinar objetos HIP que haya creado
previamente (as como otros perfiles HIP)
usando lgica booleana como la que se usa 3.
cuando un flujo de trfico se evala con
respecto al perfil HIP resultante con el que 4.
tendr, o no, coincidencia. Si coincide, la
regla de poltica correspondiente se aplicar;
si no coincide, el flujo se evaluar con
respecto a la siguiente regla, como con
cualquier otro criterio de coincidencia de
poltica.

En la puerta de enlace (o en Panorama si tiene pensado compartir


los perfiles HIP con varias puertas de enlace), seleccione Objetos >
GlobalProtect > Perfiles HIP y haga clic en Aadir.
Introduzca un Nombre descriptivo para el perfil y, opcionalmente,
una Descripcin.
Haga clic en Aadir criterios de coincidencia para abrir el
generador de objetos/perfiles HIP.
Seleccione el primer objeto o perfil HIP que desea utilizar como
criterio de bsqueda y, a continuacin, haga clic en Aadir para
moverlo sobre el cuadro de texto Coincidencia en el cuadro de
dilogo Perfil HIP. Tenga en cuenta que, si desea que el perfil HIP
evale el objeto como una coincidencia solo cuando el criterio del
objeto no sea verdadero para un flujo, seleccione la casilla de
verificacin NO antes de aadir el objeto.

5.

Contine aadiendo criterios de coincidencia como corresponda


para el perfil que est creando, seleccionando el botn de opcin del
operador booleano apropiado (Y u O) cada vez que aada un
elemento (y, de nuevo, use la casilla de verificacin NO cuando
corresponda).

6.

Si est creando una expresin booleana compleja, debe aadir


manualmente el parntesis en los lugares adecuados del cuadro de
texto Coincidencia para asegurarse de que el perfil HIP se evala
usando la lgica que desea. Por ejemplo, el siguiente perfil HIP
buscar coincidencias con el trfico desde un host que tenga cifrado
de disco FileVault (en sistemas de SO Mac) o TrueCrypt (en
sistemas Windows), que pertenezca al dominio requerido y que
tambin tenga instalado un cliente antivirus de Symantec:

7.

Cuando termine de aadir criterios de coincidencia, haga clic en


ACEPTAR para guardar el perfil.

Gua del administrador de GlobalProtect

8.

Repita estos pasos para crear cada perfil HIP adicional que necesite.

9.

Compile sus cambios.

141

Configuracin de la aplicacin de polticas basadas en HIP

Uso de informacin del host en la aplicacin de polticas

Habilitacin de la comprobacin de HIP (Continuacin)

Paso 6

Nota

Paso 7

Paso 8

En las puertas de enlace a las que se conectan sus usuarios de


GlobalProtect, seleccione Supervisar > Logs > Coincidencias HIP.
Este log muestra todas las coincidencias que ha identificado la puerta de
enlace durante la evaluacin de los datos de HIP sin procesar
Puede supervisar objetos y perfiles HIP para suministrados por los agentes en comparacin con los objetos HIP y los
perfiles HIP. A diferencia de otros logs, una coincidencia HIP no
supervisar el estado de seguridad y la
requiere una coincidencia de poltica de seguridad para ser registrada.
actividad de los extremos de su host. Al
supervisar la informacin del host durante
un tiempo, podr entender mejor dnde se
encuentran sus problemas de seguridad y
conformidad y usar esta informacin como
orientacin para crear una poltica til.
Compruebe que los objetos HIP y los
perfiles HIP que ha creado coinciden con el
trfico de su cliente GlobalProtect segn lo
esperado.

1.
Habilite User-ID (ID de usuario) en las
zonas de origen que contengan los usuarios 2.
de GlobalProtect que enviarn solicitudes
que requieran controles de acceso basados
3.
en HIP. Debe habilitar User-ID incluso
aunque no piense usar la funcin de
identificacin de usuarios, ya que de lo
contrario el cortafuegos no generar
ninguna entrada de coincidencia HIP.
Cree las reglas de seguridad HIP en sus
puertas de enlace.

Haga clic en el Nombre de la zona en la que desee habilitar User-ID


para abrir el cuadro de dilogo Zona.
Seleccione la casilla de verificacin Habilitar identificacin de
usuarios y, a continuacin, haga clic en ACEPTAR.

Aada los perfiles HIP a sus reglas de seguridad:


1. Seleccione Polticas > Seguridad y seleccione la regla a la que
quiere aadir un perfil HIP.

Es recomendable que cree sus reglas de


seguridad y que pruebe que coinciden con 2.
los flujos esperados basndose en los
criterios de origen y destino segn lo
3.
esperado antes de aadir sus perfiles de
HIP. Esto le permitir determinar mejor la
ubicacin adecuada de las reglas HIP dentro 4.
de la poltica.
5.

142

Seleccione Red > Zonas.

En la pestaa Origen, asegrese de que la Zona de origen es una


zona para la que ha habilitado User-ID Paso 7.
En la pestaa Usuario, haga clic en Aadir en la seccin Perfiles
HIP y seleccione los perfiles HIP que quiere aadir a la regla (puede
aadir hasta 63 perfiles HIP a una regla).
Haga clic en ACEPTAR para guardar la regla.
Compile sus cambios.

Gua del administrador de GlobalProtect

Uso de informacin del host en la aplicacin de polticas Configuracin de la aplicacin de polticas basadas en HIP

Habilitacin de la comprobacin de HIP (Continuacin)

Paso 9

1.
Defina los mensajes de notificacin que
vern los usuarios finales cuando se aplique
una regla de seguridad con un perfil HIP.
La decisin de cundo mostrar un mensaje
(es decir, si aparece cuando la configuracin
del usuario coincide con un perfil HIP en la
poltica o cuando no coincide), depende en
gran medida de su poltica y de lo que el
usuario entiende por coincidencia (o no
coincidencia) de HIP. Es decir, significa la
coincidencia que se concede total acceso a
los recursos de su red? O significa que tiene
acceso limitado debido a un problema de
incumplimiento?

2.

Seleccione su configuracin de puerta de enlace previamente


definida para abrir el cuadro de dilogo de la puerta de enlace de
GlobalProtect.

3.

Seleccione Configuracin clientes > Notificacin HIP y, a


continuacin, haga clic en Aadir.

4.

Seleccione el Perfil HIP al que se aplica este mensaje en el men


desplegable.

5.

Seleccione Coincidir mensaje o Mensaje no coincidente,


dependiendo de si quiere que se muestre el mensaje cuando el perfil
HIP correspondiente coincide con la poltica o cuando no coincide.
En algunos casos, puede que quiera crear mensajes tanto para
coincidencia como para no coincidencia, dependiendo de los
objetos que compare y sus objetivos para la poltica. Para el mensaje
de coincidencia, tambin puede habilitar la opcin que permite

Por ejemplo, suponga que crea un perfil


HIP que coincide si el antivirus requerido
por la empresa y los paquetes de software
antispyware no estn instalados. En este
caso, puede que quiera crear un mensaje de
notificacin HIP para los usuarios que
6.
coincidan con el perfil HIP que les indique
que necesitan instalar el software. Por el
contrario, si su perfil HIP coincida si esas
7.
mismas aplicaciones estaban instaladas,
puede que quiera crear el mensaje para
aquellos usuarios que no coinciden con el
perfil.

Gua del administrador de GlobalProtect

En el cortafuegos donde se alojan sus puertas de enlace de


GlobalProtect, seleccione Red > GlobalProtect > Puertas de
enlace.

incluir la lista de aplicaciones con coincidencia en el mensaje

e indicar qu aplicaciones activan la coincidencia HIP.


Seleccione la casilla de verificacin Habilitar y seleccione si quiere
mostrar el mensaje como Mensaje emergente o como Icono en
la barra de tareas.
Introduzca el texto de su mensaje en el cuadro de texto Plantilla y,
a continuacin, haga clic en ACEPTAR. El cuadro de texto permite
una visualizacin del aspecto real del texto y una del cdigo HTML,
entre las que puede alternar usando el icono Mostrar cdigo
fuente
. La barra de herramientas ofrece asimismo muchas
opciones para dar formato al texto y crear hiperenlaces
a
documentos externos, por ejemplo, para enlazar a los usuarios
directamente a la URL de descarga de un programa de software
requerido.

8.

Repita este procedimiento para cada mensaje que quiera definir.

9.

Compile sus cambios.

143

Configuracin de la aplicacin de polticas basadas en HIP

Uso de informacin del host en la aplicacin de polticas

Habilitacin de la comprobacin de HIP (Continuacin)

Paso 10 Compruebe que sus perfiles HIP funcionan Puede supervisar qu trfico cumple la poltica HIP usando el log de
segn lo esperado.
trfico del siguiente modo:
1. Desde la puerta de enlace, seleccione Supervisar > Logs >
Trfico.
2.

144

Filtre el log para mostrar solo el trfico que coincida con la


regla que tiene adjunto el perfil HIP que le interesa supervisar.
Por ejemplo, para buscar trfico que coincida con una regla
de seguridad con el nombre Apps iOS debera introducir
( rule eq 'Apps iOS' ) en el cuadro de texto de filtro del
siguiente modo:

Gua del administrador de GlobalProtect

Configuraciones rpidas de
GlobalProtect
En la siguiente seccin se proporcionan instrucciones detalladas para configurar algunas implementaciones
globales de GlobalProtect:

VPN de acceso remoto (Perfil de autenticacin)

VPN de acceso remoto (Perfil del certificado)

VPN de acceso remoto con autenticacin de dos factores

Configuracin de VPN siempre activada

VPN de acceso remoto con funcin anterior al inicio de sesin

Configuracin de varias puertas de enlace de GlobalProtect

GlobalProtect para comprobacin de HIP interna y acceso basado en usuario

Configuracin de puerta de enlace externa e interna combinada

Gua del administrador de GlobalProtect

145

VPN de acceso remoto (Perfil de autenticacin)

Configuraciones rpidas
de GlobalProtect

VPN de acceso remoto (Perfil de autenticacin)


En la Ilustracin: VPN de GlobalProtect para acceso remoto, el portal y la puerta de enlace de GlobalProtect
se configuran en Ethernet1/2, la interfaz fsica donde se conectan los clientes de GlobalProtect. Despus de
que los clientes se conecten y se autentiquen correctamente en el portal y en la puerta de enlace, el agente
establece un tnel VPN desde su adaptador virtual, al que se le ha asignado una direccin en el grupo de
direcciones IP asociado con la configuracin tunnel.2 de la puerta de enlace 10.31.32.3-10.31.32.118 en este
ejemplo. Como los tneles VPN de GlobalProtect terminan con una zona corp-vpn independiente, tendr
visibilidad sobre el trfico VPN, as como la capacidad de adaptar la poltica de seguridad para usuarios remotos.
Ilustracin: VPN de GlobalProtect para acceso remoto

Configuracin rpida: Acceso remoto de VPN proporciona los pasos de configuracin para este ejemplo.
Configuracin rpida: Acceso remoto de VPN

Paso 1

Creacin de interfaces y zonas para


GlobalProtect.

Nota

Utilice el enrutador virtual predeterminado


para que todas las configuraciones de la
interfaz eviten tener que crear el
enrutamiento entre zonas.

Seleccione Red > Interfaces > Ethernet y configure ethernet1/2


como interfaz Ethernet de capa 3 con la direccin IP 199.21.7.42 y
asgnela a la zona l3-nofiable y al enrutador virtual predeterminado.
Cree un registro A DNS que asigne la direccin IP 199.21.7.42 a
gp.acme.com.
Seleccione Red > Interfaces > Tnel y aada la interfaz tunnel.2 a
una nueva zona denominada corp-vpn. Asgnela al enrutador virtual
predeterminado.
Habilite la identificacin de usuario en la zona corp-vpn.

Paso 2

146

Cree una poltica de seguridad (Polticas > Seguridad) para habilitar el flujo de trfico entre la zona corp-vpn y la
zona l3-fiable y permitir el acceso a sus recursos internos.

Gua del administrador de GlobalProtect

Configuraciones rpidas
de GlobalProtect

VPN de acceso remoto (Perfil de autenticacin)

Configuracin rpida: Acceso remoto de VPN (Continuacin)

Paso 3

Paso 4

Paso 5

Obtenga un certificado de servidor para la


interfaz que aloja el portal y la puerta de
enlace de GlobalProtect con uno de los
siguientes mtodos:
(Recomendado) Importe un certificado
de servidor desde una CA externa
conocida.
Genere un nuevo certificado de
servidor autofirmado.

Seleccione Dispositivo > Gestin de certificados > Certificados para


gestionar certificados de la siguiente forma:
Obtenga un certificado de servidor. Como el portal y la puerta de
enlace se encuentran en la misma interfaz, se puede utilizar el mismo
certificado de servidor para ambos componentes.
El CN del certificado debe coincidir con el FQDN, gp.acme.com.
Para permitir a los clientes conectarse con el portal sin que reciban
errores de certificado, utilice un certificado de servidor desde una CA
pblica.

Cree un perfil de servidor.

Cree el perfil de servidor para conectarse al servidor LDAP:

El perfil de servidor ensea al cortafuegos


cmo conectarse al servicio de
autenticacin. Los mtodos de
autenticacin locales, RADIUS, Kerberos
y LDAP son compatibles. En este
ejemplo se muestra un perfil de
autenticacin LDAP para autenticar a los
usuarios con respecto a Active Directory.

Dispositivo > Perfiles de servidor > LDAP

Cree un perfil de autenticacin.

Instale el perfil del servidor a un perfil de autenticacin:


Dispositivo > Perfil de autenticacin.

Paso 6

Configuracin de una puerta de enlace.

Seleccione Red > GlobalProtect > Portales y aada la siguiente


configuracin:
Interfaz: ethernet1/2
Direccin IP: 199.21.7.42
Certificado de servidor: GP-server-cert.pem emitido por Go Daddy
Perfil de autenticacin: Corp-LDAP
Interfaz de tnel: tunnel.2
Grupo de IP: 10.31.32.3 - 10.31.32.118

Gua del administrador de GlobalProtect

147

VPN de acceso remoto (Perfil de autenticacin)

Configuraciones rpidas
de GlobalProtect

Configuracin rpida: Acceso remoto de VPN (Continuacin)

Paso 7

Configuracin del portal de


GlobalProtect.

Seleccione Red > GlobalProtect > Portales y aada la siguiente


configuracin:
1. Configuracin del acceso al portal. En este ejemplo se utilizan los
siguientes ajustes:
Interfaz: ethernet1/2
Direccin IP: 199.21.7.42
Certificado de servidor: GP-server-cert.pem emitido por Go Daddy
Perfil de autenticacin: Corp-LDAP

2.

Creacin de una configuracin de cliente de GlobalProtect


usando los siguientes ajustes:
Mtodo de conexin: segn demanda
Direccin de puerta de enlace externa: gp.acme.com

Paso 8

Paso 9

Implementacin del software del agente


de GlobalProtect.
(Optativo) Permita el uso de la aplicacin
mvil de GlobalProtect.

Seleccione Dispositivo > Cliente de GlobalProtect.


En este ejemplo, utilice el procedimiento para Alojamiento de
actualizaciones de agente en el portal.
Adquiera e instale una suscripcin a la puerta de enlace de GlobalProtect
(Dispositivo > Licencias) para permitir el uso de la aplicacin.

Paso 10 Guarde la configuracin de GlobalProtect. Haga clic en Compilar.

148

Gua del administrador de GlobalProtect

Configuraciones rpidas
de GlobalProtect

VPN de acceso remoto (Perfil del certificado)

VPN de acceso remoto (Perfil del certificado)


Cuando se autentican usuarios con autenticacin de certificado, el cliente debe presentar un certificado de
cliente nico que identifique al usuario final para poder conectar a GlobalProtect. Cuando se utiliza como nico
mtodo de autenticacin, el certificado que presenta el cliente debe contener el nombre de usuario en uno de
los campos de certificado; normalmente, el nombre de usuario corresponde al nombre comn (CN) del campo
Asunto del certificado. Cuando la autenticacin es correcta, el agente de GlobalProtect establece un tnel de
VPN con la puerta de enlace y se le asigna una direccin IP desde el grupo de IP en la configuracin de tnel
de la puerta de enlace. Para habilitar la aplicacin de polticas basadas en el usuario en sesiones de la zona
corp-vpn, el nombre de usuario del certificado se asigna a la direccin IP asignada por la puerta de enlace. Si se
necesita un nombre de dominio para la aplicacin de polticas, el valor de dominio especificado en el perfil de
certificado se adjunta al nombre de usuario.
Ilustracin: Configuracin de autenticacin del certificado de cliente de GlobalProtect

Esta configuracin rpida utiliza la misma topologa que la Ilustracin: VPN de GlobalProtect para acceso
remoto. La nica diferencia de configuracin es que, en lugar de autenticar a los usuarios con respecto a un
servidor de autenticacin, esta configuracin utiliza solo la autenticacin del certificado de cliente.
Configuracin rpida: Acceso remoto de VPN con autenticacin de certificado de cliente

Paso 1

Creacin de interfaces y zonas para


GlobalProtect.

Nota

Utilice el enrutador virtual predeterminado


para que todas las configuraciones de la
interfaz eviten tener que crear el
enrutamiento entre zonas.

Seleccione Red > Interfaces > Ethernet y configure ethernet1/2


como interfaz de Ethernet de capa 3 con la direccin IP
199.21.7.42 y asgnela a la zona de seguridad l3-nofiable y el
enrutador virtual predeterminado.
Cree un registro A DNS que asigne la direccin IP 199.21.7.42 a
gp.acme.com.
Seleccione Red > Interfaces > Tnel y aada la interfaz tunnel.2.
A continuacin, adala a la nueva zona denominada corp-vpn.
Asgnela al enrutador virtual predeterminado.
Habilite la identificacin de usuario en la zona corp-vpn.

Gua del administrador de GlobalProtect

149

VPN de acceso remoto (Perfil del certificado)

Configuraciones rpidas
de GlobalProtect

Configuracin rpida: Acceso remoto de VPN con autenticacin de certificado de cliente (Continuacin)

Paso 2

Cree una poltica de seguridad (Polticas > Seguridad) para habilitar el flujo de trfico entre la zona corp-vpn y
la zona l3-fiable y permitir el acceso a sus recursos internos.

Paso 3

Obtenga un certificado de servidor para la


interfaz que aloja el portal y la puerta de
enlace de GlobalProtect con uno de los
siguientes mtodos:
(Recomendado) Importe un certificado
de servidor desde una CA externa
conocida.
Genere un nuevo certificado de
servidor autofirmado.

Seleccione Dispositivo > Gestin de certificados > Certificados para


gestionar certificados de la siguiente forma:

Emita certificados de cliente para


mquinas/usuarios de GlobalProtect.

1.

Utilice su PKI empresarial o CA pblica para emitir un certificado


de cliente nico para cada usuario de GlobalProtect.

2.

Instale certificados en el almacn de certificados personales de


los sistemas cliente.

1.

Seleccione Dispositivo > Gestin de certificados > Perfil del


certificado, haga clic en Aadir e introduzca un perfil Nombre

Paso 4

Paso 5

Cree un perfil de certificado de cliente.

Obtenga un certificado de servidor. Como el portal y la puerta de


enlace se encuentran en la misma interfaz, se puede utilizar el mismo
certificado de servidor para ambos componentes.
El CN del certificado debe coincidir con el FQDN, gp.acme.com.
Para permitir a los clientes conectarse con el portal sin que reciban
errores de certificado, utilice un certificado de servidor desde una CA
pblica.

como GP-client-cert.
2.

Seleccione Asunto en el men desplegable Campo de nombre de


usuario.

3.

Paso 6

Configuracin de una puerta de enlace.


Consulte el diagrama de topologa que se
muestra en la Ilustracin: VPN de
GlobalProtect para acceso remoto.

Haga clic en Aadir en la seccin Certificados de CA, seleccione el


certificado de CA que emitieron los certificados de cliente y haga
clic en ACEPTAR dos veces.

Seleccione Red > GlobalProtect > Puertas de enlace y aada la


siguiente configuracin:
Interfaz: ethernet1/2
Direccin IP: 199.21.7.42
Certificado de servidor: GP-server-cert.pem emitido por Go Daddy
Perfil del certificado GP-client-cert
Interfaz de tnel: tunnel.2
Grupo de IP: 10.31.32.3 - 10.31.32.118

150

Gua del administrador de GlobalProtect

Configuraciones rpidas
de GlobalProtect

VPN de acceso remoto (Perfil del certificado)

Configuracin rpida: Acceso remoto de VPN con autenticacin de certificado de cliente (Continuacin)

Paso 7

Configuracin del portal de


GlobalProtect.

Seleccione Red > GlobalProtect > Portales y aada la siguiente


configuracin:
1. Configuracin del acceso al portal:
Interfaz: ethernet1/2
Direccin IP: 199.21.7.42
Certificado de servidor: GP-server-cert.pem emitido por Go Daddy
Perfil del certificado GP-client-cert

2.

Creacin de una configuracin de cliente de GlobalProtect:


Mtodo de conexin: segn demanda
Direccin de puerta de enlace externa: gp.acme.com

Paso 8

Paso 9

Implementacin del software del agente


de GlobalProtect.
(Optativo) Permita el uso de la aplicacin
mvil de GlobalProtect.

Seleccione Dispositivo > Cliente de GlobalProtect.


En este ejemplo, utilice el procedimiento para Alojamiento de
actualizaciones de agente en el portal.
Adquiera e instale una suscripcin a la puerta de enlace de GlobalProtect
(Dispositivo > Licencias) para permitir el uso de la aplicacin.

Paso 10 Guarde la configuracin de GlobalProtect. Haga clic en Compilar.

Gua del administrador de GlobalProtect

151

VPN de acceso remoto con autenticacin de dos factores

Configuraciones rpidas
de GlobalProtect

VPN de acceso remoto con autenticacin de dos factores


Cuando configura un portal o puerta de enlace de GlobalProtect con un perfil de autenticacin y un perfil de
certificado (denominada autenticacin de dos factores), se le pedir al usuario final que autentique correctamente en ambos
antes de que se le permita el acceso. En cuanto a la autenticacin de portales, esto significa que los certificados deben
implantarse previamente en clientes finales antes de su conexin inicial al portal. Adems, los certificados presentados
por los clientes deben coincidir con lo definido en el perfil del certificado.

Si el perfil del certificado no especifica ningn campo de nombre de usuario (es decir, Campo de nombre de
usuario est definido como Ninguno), el certificado de cliente no necesitar contar con un nombre de usuario.
En este caso, el cliente debe proporcionar el nombre de usuario cuando autentique con este perfil de autenticacin.

Si el perfil del certificado especifica un campo de nombre de usuario, el certificado que presenta el cliente debe
contener un nombre de usuario en el campo correspondiente. Por ejemplo, si el perfil del certificado especifica
que el campo del nombre de usuario es el asunto, el certificado presentado por el cliente debe contener un valor
en el campo de nombre comn o la autenticacin fallar. Adems, cuando se necesite el campo del nombre de
usuario, el valor del campo de nombre de usuario del certificado se cumplimentar automticamente con el
nombre de usuario cuando el usuario trate de introducir la autenticacin en el perfil de autenticacin. Si no quiere
obligar a los usuarios a autenticar con un nombre de usuario del certificado, no especifique ningn campo de
nombre de usuario en el perfil del certificado.

Esta configuracin rpida utiliza la misma topologa que la Ilustracin: VPN de GlobalProtect para acceso remoto.
Sin embargo, en esta configuracin, los clientes deben autenticar con un perfil de certificado y un perfil de
autenticacin. Para obtener ms detalles sobre un tipo especfico de autenticacin de dos factores, consulte los
siguientes temas:

Habilitacin de la autenticacin en dos fases

Habilitacin de la autenticacin en dos fases mediante contraseas de un solo uso (OTP)

Habilitacin de autenticacin en dos fases mediante tarjetas inteligentes

152

Gua del administrador de GlobalProtect

Configuraciones rpidas
de GlobalProtect

VPN de acceso remoto con autenticacin de dos factores

Configuracin rpida: Acceso remoto de VPN con autenticacin de dos factores

Paso 1

Creacin de interfaces y zonas para


GlobalProtect.

Nota

Utilice el enrutador virtual predeterminado


para que todas las configuraciones de la
interfaz eviten tener que crear el
enrutamiento entre zonas.

Seleccione Red > Interfaces > Ethernet y configure ethernet1/2


como interfaz de Ethernet de capa 3 con la direccin IP 199.21.7.42 y
asgnela a la zona de seguridad l3-nofiable y el enrutador virtual
predeterminado.
Cree un registro A DNS que asigne la direccin IP 199.21.7.42 a
gp.acme.com.
Seleccione Red > Interfaces > Tnel y aada la interfaz tunnel.2.
A continuacin, adala a la nueva zona denominada corp-vpn. Asgnela
al enrutador virtual predeterminado.
Habilite la identificacin de usuario en la zona corp-vpn.

Paso 2

Cree una poltica de seguridad (Polticas > Seguridad) para habilitar el flujo de trfico entre la zona corp-vpn y
la zona l3-fiable y permitir el acceso a sus recursos internos.

Paso 3

Obtenga un certificado de servidor para la


interfaz que aloja el portal y la puerta de
enlace de GlobalProtect con uno de los
siguientes mtodos:
(Recomendado) Importe un certificado
de servidor desde una CA externa
conocida.
Genere un nuevo certificado de
servidor autofirmado.

Seleccione Dispositivo > Gestin de certificados > Certificados para


gestionar certificados de la siguiente forma:

Emita certificados de cliente para


mquinas/usuarios de GlobalProtect.

1.

Utilice su PKI empresarial o CA pblica para emitir un certificado


de cliente nico para cada usuario de GlobalProtect.

2.

Instale certificados en el almacn de certificados personales de


los sistemas cliente.

Paso 4

Gua del administrador de GlobalProtect

Obtenga un certificado de servidor. Como el portal y la puerta de


enlace se encuentran en la misma interfaz, se puede utilizar el mismo
certificado de servidor para ambos componentes.
El CN del certificado debe coincidir con el FQDN, gp.acme.com.
Para permitir a los clientes conectarse con el portal sin que reciban
errores de certificado, utilice un certificado de servidor desde una CA
pblica.

153

VPN de acceso remoto con autenticacin de dos factores

Configuraciones rpidas
de GlobalProtect

Configuracin rpida: Acceso remoto de VPN con autenticacin de dos factores (Continuacin)

Paso 5

Cree un perfil de certificado de cliente.

1.

Seleccione Dispositivo > Gestin de certificados > Perfil del


certificado, haga clic en Aadir e introduzca un perfil Nombre
como GP-client-cert.

2.

Especifique dnde obtener el nombre de usuario que se utilizar


para autenticar al usuario final:
De usuario: si quiere que el usuario final proporcione un
nombre de usuario cuando se autentique en el servicio
especificado en el perfil de autenticacin, seleccione Ninguno
como Campo de nombre de usuario.
De certificado: si desea extraer el nombre de usuario del
certificado, seleccione Asunto como Campo de nombre de
usuario. Si utiliza esta opcin, el CN contenido en el certificado
cumplimentar automticamente el campo de nombre de
usuario cuando al usuario se le solicite iniciar sesin en el
portal/puerta de enlace. Al usuario se le pedir que inicie sesin
usando ese nombre de usuario.

3.

Paso 6

Paso 7

Haga clic en Aadir en la seccin Certificados de CA, seleccione el


certificado de CA que emitieron los certificados de cliente y haga
clic en ACEPTAR dos veces.

Cree un perfil de servidor.

Cree el perfil de servidor para conectarse al servidor LDAP:

El perfil de servidor ensea al cortafuegos


cmo conectarse al servicio de
autenticacin. Los mtodos de
autenticacin locales, RADIUS, Kerberos y
LDAP son compatibles. En este ejemplo se
muestra un perfil de autenticacin LDAP
para autenticar a los usuarios con respecto a
Active Directory.

Dispositivo > Perfiles de servidor > LDAP

Cree un perfil de autenticacin.

Instale el perfil del servidor a un perfil de autenticacin:


Dispositivo > Perfil de autenticacin.

154

Gua del administrador de GlobalProtect

Configuraciones rpidas
de GlobalProtect

VPN de acceso remoto con autenticacin de dos factores

Configuracin rpida: Acceso remoto de VPN con autenticacin de dos factores (Continuacin)

Paso 8

Configuracin de una puerta de enlace.

Seleccione Red > GlobalProtect > Puertas de enlace y aada la


siguiente configuracin:

Consulte el diagrama de topologa que se


Interfaz: ethernet1/2
muestra en la Ilustracin: VPN de
GlobalProtect para acceso remoto.
Direccin IP: 199.21.7.42

Certificado de servidor: GP-server-cert.pem emitido por Go Daddy


Perfil del certificado: GP-client-cert
Perfil de autenticacin: Corp-LDAP
Interfaz de tnel: tunnel.2
Grupo de IP: 10.31.32.3 - 10.31.32.118

Paso 9

Configuracin del portal de


GlobalProtect.

Seleccione Red > GlobalProtect > Portales y aada la siguiente


configuracin:
1. Configuracin del acceso al portal:
Interfaz: ethernet1/2
Direccin IP: 199.21.7.42
Certificado de servidor: GP-server-cert.pem emitido por

Go Daddy
Perfil del certificado: GP-client-cert
Perfil de autenticacin: Corp-LDAP

2.

Creacin de una configuracin de cliente de GlobalProtect:


Mtodo de conexin: segn demanda
Direccin de puerta de enlace externa: gp.acme.com

Paso 10 Implementacin del software del agente


de GlobalProtect.

Seleccione Dispositivo > Cliente de GlobalProtect.


En este ejemplo, utilice el procedimiento para Alojamiento de
actualizaciones de agente en el portal.

Paso 11 (Optativo) Permita el uso de la aplicacin Adquiera e instale una suscripcin a la puerta de enlace de
mvil de GlobalProtect.
GlobalProtect (Dispositivo > Licencias) para permitir el uso de la
aplicacin.
Paso 12 Guarde la configuracin de
GlobalProtect.

Gua del administrador de GlobalProtect

Haga clic en Compilar.

155

Configuracin de VPN siempre activada

Configuraciones rpidas
de GlobalProtect

Configuracin de VPN siempre activada


En una configuracin de GlobalProtect siempre activada, el agente se conecta al portal de GlobalProtect al
iniciar sesin el usuario para enviar informacin de usuario y de host y recibir la configuracin de cliente.
Establece automticamente el tnel de VPN a la puerta de enlace especificada en la configuracin del cliente
distribuida por el portal sin la intervencin del usuario final como se muestra en la siguiente ilustracin.

Para cambiar a cualquier configuracin de VPN de acceso remoto anterior en una configuracin siempre
activada, solo tiene que cambiar el mtodo de conexin:

VPN de acceso remoto (Perfil de autenticacin)

VPN de acceso remoto (Perfil del certificado)

VPN de acceso remoto con autenticacin de dos factores

Cambio a una configuracin siempre activada

Paso 1

Seleccione Red > GlobalProtect > Portales y seleccione la configuracin de portal para abrirla.

Paso 2

Seleccione la pestaa Configuracin clientes y, a continuacin, seleccione la configuracin de cliente que desea
modificar.

Paso 3

Seleccione Inicio de sesin de usuario como mtodo de conexin. Repita esto para cada una de las
configuraciones del cliente.

Paso 4

Haga clic en ACEPTAR dos veces para guardar la configuracin de cliente y la de portal y, a continuacin,
compile el cambio.

156

Gua del administrador de GlobalProtect

Configuraciones rpidas
de GlobalProtect

VPN de acceso remoto con funcin anterior al inicio de sesin

VPN de acceso remoto con funcin anterior al inicio de sesin


El mtodo de conexin anterior al inicio de sesin de GlobalProtect es una funcin que permite a GlobalProtect
autenticar al agente y establecer el tnel de VPN en la puerta de enlace de GlobalProtect usando un certificado
de mquina preinstalado antes de que el usuario haya iniciado sesin. Como el tnel ya est establecido, las
secuencias de comandos de dominio se pueden ejecutar cuando el usuario inicia sesin, en lugar de usar
credenciales en cach.
Antes de que el usuario inicie sesin, no hay ningn nombre de usuario asociado con el trfico. Por lo tanto,
para permitir que el sistema de cliente acceda a los recursos de la zona fiable, debe crear polticas de seguridad
que coincidan con el usuario con modo anterior al inicio de sesin. Estas polticas solo deben permitir el acceso a
servicios bsicos necesarios para iniciar el sistema, como DHCP, DNS, Active Directory, antivirus o servicios
de actualizacin del sistema operativo. A continuacin, despus de que el usuario inicie sesin en el sistema y
realice la autenticacin, el tnel de VPN cambia su nombre para incluir el nombre de usuario, de forma que esa
poltica basada ese grupo y usuario se pueda aplicar.
Con el modo anterior al inicio de sesin, cuando un agente se conecta al portal por primera vez, el usuario final
debe autenticar (mediante el perfil de autenticacin o un perfil de certificado configurado para validar un
certificado de cliente que contiene un nombre de usuario). Una vez que la autenticacin finaliza con xito, el
portal aplica la configuracin del cliente al agente junto con una cookie que se utilizar para la autenticacin de
portal con el objetivo de recibir una actualizacin de configuracin. Entonces, cuando un sistema de cliente trata
de conectar en modo anterior al inicio de sesin, utilizar la cookie para autenticarse en el portal y recibir su
configuracin de cliente anterior al inicio de sesin. En ese momento, se conectar a la puerta de enlace
especificada en la configuracin y autenticar usando su certificado de mquina (segn se especifica en un perfil
de certificado configurado en la puerta de enlace) y establecer el tnel de VPN.
Cuando posteriormente el usuario final inicia sesin en la mquina, si el inicio de sesin nico (SSO) est
habilitado en la configuracin del cliente de inicio de sesin de usuario, se informar inmediatamente sobre el
nombre de usuario a la puerta de enlace, de forma que el tnel pueda cambiar el nombre y se pueda aplicar la
poltica basada en usuario y en grupo.

Gua del administrador de GlobalProtect

157

VPN de acceso remoto con funcin anterior al inicio de sesin

Configuraciones rpidas
de GlobalProtect

Este ejemplo utiliza la topologa de GlobalProtect que se muestra en Ilustracin: VPN de GlobalProtect para
acceso remoto.
Configuracin rpida: VPN de acceso remoto con inicio de sesin anterior

Paso 1

Creacin de interfaces y zonas para


GlobalProtect.

Nota

Utilice el enrutador virtual predeterminado


para que todas las configuraciones de la
interfaz eviten tener que crear el
enrutamiento entre zonas.

Seleccione Red > Interfaces > Ethernet y configure ethernet1/2


como interfaz de Ethernet de capa 3 con la direccin IP
199.21.7.42 y asgnela a la zona de seguridad l3-nofiable y el
enrutador virtual predeterminado.
Cree un registro A DNS que asigne la direccin IP 199.21.7.42 a
gp.acme.com.
Seleccione Red > Interfaces > Tnel y aada la interfaz tunnel.2.
A continuacin, adala a la nueva zona denominada corp-vpn.
Asgnela al enrutador virtual predeterminado.
Habilite la identificacin de usuario en la zona corp-vpn.

Paso 2

Cree las siguientes reglas de poltica de seguridad (Polticas > Seguridad):


En primer lugar, cree una regla que permita el acceso del usuario anterior al inicio de sesin a los servicios
bsicos necesarios para que aparezca el ordenador, como servicios de autenticacin, DNS, DHCP y
actualizaciones de Microsoft.
En segundo lugar, cree una regla que permita el acceso entre la zona corp-vpn y la zona l3-fiable a cualquier
usuario conocido, despus de que el usuario inicie sesin con xito.

Paso 3

Obtenga un certificado de servidor para la


interfaz que aloja el portal y la puerta de
enlace de GlobalProtect con uno de los
siguientes mtodos:
(Recomendado) Importe un
certificado de servidor desde una CA
externa conocida.
Genere un nuevo certificado de
servidor autofirmado.

Paso 4

Obtenga un certificado de servidor. Como el portal y la puerta de


enlace se encuentran en la misma interfaz, se puede utilizar el
mismo certificado de servidor para ambos componentes.
El CN del certificado debe coincidir con el FQDN, gp.acme.com.
Para permitir a los clientes conectarse con el portal sin que reciban
errores de certificado, utilice un certificado de servidor desde una
CA pblica.

1.
Genere un certificado de mquina para
cualquier sistema cliente que se conecte a
GlobalProtect e imprtelos al almacn de 2.
certificados personales de cada mquina.
Aunque podra generar certificados
autofirmados para cada sistema cliente,
recomendamos utilizar su propia
infraestructura de clave pblica (PKI)
para emitir y distribuir certificados para
sus clientes.

158

Seleccione Dispositivo > Gestin de certificados > Certificados


para gestionar certificados de la siguiente forma:

Emita certificados de cliente para mquinas/usuarios de


GlobalProtect.
Instale certificados en el almacn de certificados personales de
los sistemas cliente. (Almacn del equipo local en Windows o
llavero del sistema en SO Mac)

Gua del administrador de GlobalProtect

Configuraciones rpidas
de GlobalProtect

VPN de acceso remoto con funcin anterior al inicio de sesin

Configuracin rpida: VPN de acceso remoto con inicio de sesin anterior (Continuacin)

Paso 5

Nota

Importe el certificado de CA raz de


confianza desde la CA que gener los
certificados de mquina al portal y las
puertas de enlace.

1.

Descargue el certificado de CA en el formato Base64.

2.

Importe el certificado en todos los cortafuegos que alojan un


portal o puerta de enlace de la siguiente forma:
a. Seleccione Dispositivo > Gestin de certificados >
Certificados > Certificados de dispositivos y haga clic en
Importar.

No necesita importar la clave privada.

b. Introduzca un Nombre de certificado que identifique al


certificado como su certificado de CA de cliente.
c. Desplcese hasta el archivo del certificado que descarg de
la CA.
d. Seleccione Certificado codificado en Base64 (PEM) como
Formato de archivo y, a continuacin, haga clic en Aceptar.
e. Seleccione el certificado que acaba de importar en la pestaa
Certificados de dispositivos para abrirlo.
f. Seleccione CA raz de confianza y, a continuacin, haga clic
en Aceptar.
Paso 6

Paso 7

1.
En todos los cortafuegos que alojan una
puerta de enlace de GlobalProtect, cree un
perfil de certificado para identificar qu
certificado de CA utilizar para validar los
certificados de mquina cliente.
2.

Seleccione Dispositivo > Certificados > Gestin de certificados


> Perfil de certificados, haga clic en Aadir e introduzca un
nombre para identificar de forma exclusiva el perfil, por ejemplo

De forma optativa, si planea utilizar la


3.
autenticacin de certificados del cliente para
autenticar a los usuarios cuando inician
sesin en el sistema, asegrese de que en el 4.
perfil del certificado se hace referencia al
certificado de CA que emite los certificados
de cliente, adems de al certificado de CA
que emiti los certificados de mquina, en el
5.
caso de que sean distintos.

En el campo Certificados de CA, haga clic en Aadir, seleccione


el certificado de CA raz de confianza que import en el Paso 5 y, a
continuacin, haga clic en ACEPTAR.

Configuracin de una puerta de enlace.


Consulte el diagrama de topologa que se
muestra en la Ilustracin: VPN de
GlobalProtect para acceso remoto.
Aunque debe crear un perfil de certificado
para el modo de acceso anterior al inicio de
sesin a la puerta de enlace, puede utilizar la
autenticacin de certificado del cliente o la
autenticacin basada en perfil para aquellos
usuarios que han iniciado sesin. En este
ejemplo, se usa el mismo perfil de LDAP
que el usado para autenticar a usuarios en el
portal.

Gua del administrador de GlobalProtect

PreLogonCert.
Establezca el Campo nombre de usuario en Ninguno.

(Optativo) Si quiere utilizar la autenticacin de certificado de cliente


para autenticar a los usuarios al iniciar sesin, aada el certificado de
CA que emiti los certificados del cliente si es distinto al que emiti
los certificados de mquina.
Haga clic en Aceptar para guardar el perfil.

Seleccione Red > GlobalProtect > Puertas de enlace y aada la


siguiente configuracin:
Interfaz: ethernet1/2
Direccin IP: 199.21.7.42
Certificado de servidor: GP-server-cert.pem emitido por Go Daddy
Perfil del certificado: PreLogonCert
Perfil de autenticacin: Corp-LDAP
Interfaz de tnel: tunnel.2
Grupo de IP: 10.31.32.3 - 10.31.32.118
Confirmar la configuracin de la puerta de enlace.

159

VPN de acceso remoto con funcin anterior al inicio de sesin

Configuraciones rpidas
de GlobalProtect

Configuracin rpida: VPN de acceso remoto con inicio de sesin anterior (Continuacin)

Paso 8

Configuracin del portal de


GlobalProtect.

Seleccione Red > GlobalProtect > Portales y aada la siguiente


configuracin:
1. Configuracin del acceso al portal:

Para esta configuracin, cree dos


configuraciones cliente: una que se aplicar
al agente cuando el usuario no haya iniciado
sesin (mtodo de conexin anterior al
inicio de sesin) y otro que se aplicar
cuando el usuario haya iniciado sesin
(mtodo de conexin de inicio de sesin de
usuario). Puede que desee limitar el acceso 2.
de la puerta de enlace a una nica puerta de
enlace a los usuarios con el modo anterior al
inicio de sesin, pero proporcionar acceso a
varias puertas de enlace a los usuarios que ya
hayan iniciado sesin.
Nota

Se recomienda habilitar el inicio de


sesin nico en la segunda configuracin
cliente para garantizar que se indica
inmediatamente el nombre de usuario
correcto a la puerta de enlace cuando el
usuario inicia sesin en la mquina. Si el
inicio de sesin nico no est habilitado,
se utilizar el nombre de usuario
guardado en el panel de configuracin
del agente de GlobalProtect.

160

Guarde la configuracin de
GlobalProtect.

Direccin IP: 199.21.7.42


Certificado de servidor: GP-server-cert.pem emitido por Go Daddy
Perfil del certificado: Ninguno
Perfil de autenticacin: Corp-LDAP

Creacin de una configuracin de cliente de GlobalProtect para


usuarios del modo anterior al inicio de sesin y usuarios que ya han
iniciado sesin:
Configuracin del primer cliente:
Mtodo de conexin: modo anterior al inicio de sesin
Direccin de puerta de enlace externa: gp.acme.com
Usuario/grupo de usuarios: modo anterior al inicio de sesin

Configuracin del segundo cliente:


Utilizar registro nico: habilitado
Mtodo de conexin: modo anterior al inicio de sesin
Direccin de puerta de enlace externa: gp.acme.com
Usuario/grupo de usuarios: cualquiera
Modificador de autenticacin: Autenticacin de cookies para
actualizacin de configuracin

3.

Paso 9

Interfaz: ethernet1/2

Asegrese de que la configuracin del cliente en modo anterior al


inicio de sesin est la primera en la lista de configuraciones. Si no
es as, seleccinela y haga clic en Mover hacia arriba.

Haga clic en Compilar.

Gua del administrador de GlobalProtect

Configuraciones rpidas
de GlobalProtect

Configuracin de varias puertas de enlace de GlobalProtect

Configuracin de varias puertas de enlace de GlobalProtect


En la Ilustracin: Topologa de puerta varias puertas de enlace de GlobalProtect se ha aadido una segunda
puerta de enlace a la configuracin. En todas las configuraciones anteriores de ejemplo se admiten varias puertas
de enlace. Las instrucciones adicionales explican la instalacin de una licencia de portal de GlobalProtect para
permitir el uso de varias puertas de enlace y la configuracin del segundo cortafuegos como puerta de enlace de
GlobalProtect. Adems, cuando se establecen las configuraciones cliente que se van a implementar en el portal,
puede decidir si desea acceder a todas las puertas de enlace o especificar diferentes puertas de enlace para
diferentes configuraciones.
Si una configuracin cliente contiene ms de una puerta de enlace, el agente tratar de conectar a todas las
puertas de enlace indicadas en su configuracin cliente. El agente utilizar la prioridad y el tiempo de respuesta
para determinar a qu puerta de enlace conectarse.
Ilustracin: Topologa de puerta varias puertas de enlace de GlobalProtect

Gua del administrador de GlobalProtect

161

Configuracin de varias puertas de enlace de GlobalProtect

Configuraciones rpidas
de GlobalProtect

Configuracin rpida: Configuracin de varias puertas de enlace de GlobalProtect

Paso 1

Nota

Creacin de interfaces y zonas para


GlobalProtect.

En el cortafuegos que aloja el portal/puerta de enlace (puerta


de enlace 1):

En esta configuracin, debe configurar las Seleccione Red > Interfaces > Ethernet y configure ethernet1/2
como interfaz de Ethernet de capa 3 con la direccin IP
interfaces de cada cortafuegos que alberga
198.51.100.42 y asgnela a la zona de seguridad l3-nofiable y el
una puerta de enlace.
enrutador virtual predeterminado.
Utilice el enrutador virtual predeterminado
para que todas las configuraciones de la Cree un registro A DNS que asigne la direccin IP
198.51.100.42 a gp1.acme.com.
interfaz eviten tener que crear el
enrutamiento entre zonas.
Seleccione Red > Interfaces > Tnel y aada la interfaz tunnel.2.
A continuacin, adala a la nueva zona denominada corp-vpn.
Asgnela al enrutador virtual predeterminado.
Habilite la identificacin de usuario en la zona corp-vpn.
En el cortafuegos que aloja la segunda puerta de enlace (puerta
de enlace 2):
Seleccione Red > Interfaces > Ethernet y configure ethernet1/5
como interfaz de Ethernet de capa 3 con la direccin IP 192.0.2.4
y asgnela a la zona de seguridad l3-nofiable y el enrutador virtual
predeterminado.
Cree un registro A DNS que asigne la direccin IP 192.0.2.4 a
gp2.acme.com.
Seleccione Red > Interfaces > Tnel y aada la interfaz tunnel.2.
A continuacin, adala a la nueva zona denominada corp-vpn.
Asgnela al enrutador virtual predeterminado.
Habilite la identificacin de usuario en la zona corp-vpn.

Paso 2

Nota

Paso 3

162

Adquiera e instale una licencia de portal


GlobalProtect en el cortafuegos que aloja el
portal. Esta licencia es necesaria para
permitir una configuracin de varias puertas
de enlace.

Despus de adquirir la licencia de portal y de recibir su cdigo de


activacin, instale la licencia en el cortafuegos que aloja el portal de la
siguiente forma:
1. Seleccione Dispositivo > Licencias.

2.
Tambin necesitar una suscripcin de
puerta de enlace de GlobalProtect en todas 3.
las puertas de enlace si tiene usuarios que
utilizarn la aplicacin GlobalProtect en sus
4.
dispositivos mviles o si planea utilizar la
poltica de seguridad HIP.

Seleccione Activar caracterstica mediante cdigo de


autorizacin.
Cuando se le indique, introduzca el Cdigo de autorizacin y haga
clic en Aceptar.
Compruebe que la licencia se haya activado correctamente.

En aquellos cortafuegos que alojan una puerta de enlace de GlobalProtect, cree una poltica de seguridad
(Polticas > Seguridad) que habilite el flujo del trfico entre la zona corp-vpn y la zona l3-fiable para permitir el
acceso a sus recursos internos.

Gua del administrador de GlobalProtect

Configuraciones rpidas
de GlobalProtect

Configuracin de varias puertas de enlace de GlobalProtect

Configuracin rpida: Configuracin de varias puertas de enlace de GlobalProtect (Continuacin)

Paso 4

Paso 5

Obtenga certificados de servidor para las


interfaces que alojan el portal de
GlobalProtect y para cada una de las puertas
de enlace de GlobalProtect siguiendo estas
recomendaciones:
(En el cortafuegos que aloja el portal o
portal/puerta de enlace) Importe un
certificado de servidor desde una CA
externa conocida.
(En un cortafuegos que solo aloja una
puerta de enlace) Genere un nuevo
certificado de servidor autofirmado.

En todos los cortafuegos que alojan un portal/puerta de enlace o puerta


de enlace, seleccione Dispositivo > Gestin de certificados >
Certificados para gestionar certificados de la siguiente forma:
Obtenga un certificado de servidor para el portal/puerta de enlace 1:
Como el portal y la puerta de enlace se encuentran en la misma
interfaz, debe utilizar el mismo certificado de servidor. El CN del
certificado debe coincidir con el FQDN, gp1.acme.com. Para permitir a
los clientes conectarse con el portal sin que reciban errores de
certificado, utilice un certificado de servidor desde una CA pblica.
Obtenga un certificado de servidor para la interfaz que aloja la puerta
de enlace 2: Como esta interfaz aloja una puerta de enlace, solo puede
utilizar un certificado autofirmado. El CN del certificado debe
coincidir con el FQDN, gp2.acme.com.

Defina cmo autenticar a los usuarios en el Puede utilizar cualquier combinacin de perfiles de certificado o perfiles
portal y las puertas de enlace.
de autenticacin como sea necesario para garantizar la seguridad del
portal y las puertas de enlace. Los portales y las puertas de enlace
individuales tambin pueden utilizar distintos esquemas de
autenticacin. Consulte las siguientes secciones para obtener
instrucciones detalladas:
Configuracin de autenticacin externa (perfil de autenticacin)
Configuracin de la autenticacin de certificado de cliente (perfil
del certificado)
Configuracin de la autenticacin en dos fases (basada en token
u OTP)
Necesitar hacer referencia al perfil del certificado o perfiles de
autenticacin que ha definido en las configuraciones de puerta de enlace
y portal.

Paso 6

Configure las puertas de enlace.


En este ejemplo se muestra la configuracin para gp1 y gp2 que aparece en la Ilustracin: Topologa de puerta
varias puertas de enlace de GlobalProtect. Consulte Configuracin de una puerta de enlace para ver instrucciones
detalladas sobre cmo crear configuraciones de puerta de enlace.

En el cortafuegos que aloja gp1, configure los ajustes En el cortafuegos que aloja gp2, configure los ajustes de la puerta de
de la siguiente:
enlace de la siguiente forma:
Seleccione Red > GlobalProtect > Puertas de
enlace y aada la siguiente configuracin:

Seleccione Red > GlobalProtect > Puertas de enlace y aada la


siguiente configuracin:

Interfaz: ethernet1/2

Interfaz: ethernet1/2

Direccin IP: 198.51.100.42

Direccin IP: 192.0.2.4

Certificado de servidor: GP1-server-cert.pem emitido

Certificado de servidor: certificado autofirmado, GP2-server-cert.pem

por Go Daddy

Interfaz de tnel: tunnel.1

Interfaz de tnel: tunnel.2

Grupo de IP: 10.31.33.3 - 10.31.33.118

Grupo de IP: 10.31.32.3 - 10.31.32.118

Gua del administrador de GlobalProtect

163

Configuracin de varias puertas de enlace de GlobalProtect

Configuraciones rpidas
de GlobalProtect

Configuracin rpida: Configuracin de varias puertas de enlace de GlobalProtect (Continuacin)

Paso 7

Configuracin del portal de


GlobalProtect.

Seleccione Red > GlobalProtect > Portales y aada la siguiente


configuracin:
1. Configuracin del acceso al portal:
Interfaz: ethernet1/2
Direccin IP: 198.51.100.42
Certificado de servidor: GP1-server-cert.pem emitido por Go

Daddy
2.

Creacin de una configuracin de cliente de GlobalProtect:


El nmero de configuraciones cliente que crea depende de sus
requisitos de acceso especficos, incluido si necesita la aplicacin de
una poltica basada en usuario/grupo o HIP.

Paso 8

Paso 9

164

Implementacin del software del agente


de GlobalProtect.

Seleccione Dispositivo > Cliente de GlobalProtect.


En este ejemplo, utilice el procedimiento para Alojamiento de
actualizaciones de agente en el portal.

Guarde la configuracin de GlobalProtect. Haga clic en Confirmar en el cortafuegos que aloja el portal y las puertas
de enlace.

Gua del administrador de GlobalProtect

Configuraciones rpidas
de GlobalProtect

GlobalProtect para comprobacin de HIP interna y acceso basado en usuario

GlobalProtect para comprobacin de HIP interna y acceso


basado en usuario
Junto con el ID de usuario o las comprobaciones HIP, se puede utilizar una puerta de enlace interna para ofrecer
un mtodo preciso y seguro con el que identificar y controlar el trfico por usuario o estado del dispositivo,
sustituyendo otros servicios de control de acceso para redes (NAC). Las puertas de enlace internas son tiles en
entornos confidenciales que requieren acceso autenticado a los recursos crticos.
En una configuracin que solo tenga puertas de enlace internas, todos los clientes deben configurarse con inicio
de sesin de usuario; el modo segn demanda no es compatible. Adems, se recomienda que configure todas
las configuraciones cliente que se deben utilizar para el inicio de sesin nico (SSO). De igual forma, como los
hosts internos no necesitan establecer una conexin de tnel con la puerta de enlace, se utiliza la direccin IP
del adaptador de red fsico del sistema cliente.
En esta configuracin rpida, se utilizan las puertas de enlace internas para aplicar polticas basadas en grupos
que permitan el acceso de los usuarios del grupo tcnico a las bases de datos de errores y control de origen
interno y el acceso de los usuarios del grupo de finanzas a las aplicaciones CRM. Todos los usuarios autenticados
tienen acceso a recursos Web internos. Adems, los perfiles HIP configurados en la puerta de enlace
comprueban todos los hosts para garantizar el cumplimiento con los requisitos de mantenimiento internos (si
estn instalados los parches de seguridad y las definiciones de antivirus ms recientes, si est habilitado el cifrado
de disco o si est instalado el software necesario).
Ilustracin: Configuracin de puerta de enlace interna de GlobalProtect

Gua del administrador de GlobalProtect

165

GlobalProtect para comprobacin de HIP interna y acceso basado en usuario

Configuraciones rpidas
de GlobalProtect

Configuracin rpida: Configuracin de puerta de enlace interna de GlobalProtect

En todos los cortafuegos que alojan un portal/puerta de enlace:


1. Seleccione un puerto Ethernet para alojar el portal/puerta de
enlace y, a continuacin, configure una interfaz de capa 3 con
En esta configuracin, debe configurar las
una direccin IP en la zona de seguridad l3-fiable. (Red >
interfaces de cada cortafuegos que aloje
Interfaces > Ethernet).
un portal o puerta de enlace. Como esta
2. Activar identificacin de usuarios en la zona l3-fiable.
configuracin solo utiliza puertas de
enlace internas, debe configurar el portal y
las puertas de enlace en interfaces de la
red interna.

Paso 1

Creacin de interfaces y zonas para


GlobalProtect.

Nota

Utilice el enrutador virtual predeterminado


para que todas las configuraciones de la
interfaz eviten tener que crear el
enrutamiento entre zonas.

Paso 2

Adquiera e instale una licencia de portal


de GlobalProtect en el cortafuegos que
aloja las suscripciones de portal y de
puerta de enlace en cada cortafuegos que
aloje una puerta de enlace interna. Esto es
necesario para habilitar una configuracin
de puerta de enlace interna y habilitar las
comprobaciones HIP.

Despus de adquirir la licencia de portal y de recibir su cdigo de


activacin, instale la licencia en el cortafuegos que aloja el portal de
la siguiente forma:
1. Seleccione Dispositivo > Licencias.
2.

Seleccione Activar caracterstica mediante cdigo de


autorizacin.

3.

Cuando se le indique, introduzca el Cdigo de autorizacin y


haga clic en Aceptar.

4.

Compruebe que la licencia se haya activado correctamente.

Pngase en contacto con su ingeniero de ventas o distribuidor de


Palo Alto Networks si no tiene todas las licencias necesarias. Si desea
ms informacin sobre licencias, consulte Acerca de las licencias de
GlobalProtect.

Paso 3

Obtenga certificados de servidor para el


portal GlobalProtect y todas las puertas
de enlace de GlobalProtect.

El flujo de trabajo recomendado es el siguiente:


1. En el cortafuegos que aloja el portal:

Para conectarse al portal por primera vez,


los clientes finales deben confiar en el
certificado de CA raz utilizado para
emitir el certificado de servidor del portal.
Puede utilizar un certificado autofirmado
en el portal e implementar el certificado
de CA raz en los clientes finales antes de 2.
la primera conexin de portal u obtener
un certificado de servidor para el portal
desde una CA de confianza.

a. Importe un certificado de servidor desde una CA externa


conocida.
b. Cree el certificado de CA raz para la emisin de certificados
autofirmados de los componentes de GlobalProtect.
c. Genere un nuevo certificado de servidor autofirmado.
Repita este paso para cada puerta de enlace.
En todos los cortafuegos que alojan una puerta de enlace
interna:
a. Implemente los certificados de servidor autofirmados.

Puede utilizar certificados autofirmados


en las puertas de enlace.

166

Gua del administrador de GlobalProtect

Configuraciones rpidas
de GlobalProtect

GlobalProtect para comprobacin de HIP interna y acceso basado en usuario

Configuracin rpida: Configuracin de puerta de enlace interna de GlobalProtect (Continuacin)

Paso 4

Defina cmo autenticar a los usuarios en Puede utilizar cualquier combinacin de perfiles de certificado o
el portal y las puertas de enlace.
perfiles de autenticacin como sea necesario para garantizar la
seguridad del portal y las puertas de enlace. Los portales y las puertas
de enlace individuales tambin pueden utilizar distintos esquemas de
autenticacin. Consulte las siguientes secciones para obtener
instrucciones detalladas:
Configuracin de autenticacin externa (perfil de autenticacin)
Configuracin de la autenticacin de certificado de cliente
(perfil del certificado)
Configuracin de la autenticacin en dos fases (basada en token u
OTP)
Necesitar hacer referencia al perfil del certificado o perfiles de
autenticacin que ha definido en las configuraciones de puerta de
enlace y portal.

Paso 5

Cree los perfiles HIP que necesitar para 1.


aplicar la poltica de seguridad en el acceso
a la puerta de enlace.
Consulte Uso de informacin del host en
la aplicacin de polticas para obtener ms
informacin sobre las evaluaciones HIP.

2.

Cree objetos HIP para filtrar los datos del host sin procesar
recopilados por los agentes. Por ejemplo, si est interesado en
evitar a los usuarios que no tengan actualizados los parches
necesarios, puede que quiera crear un objeto HIP con el que
evaluar si est instalado el software de gestin de parches y que
todos los parches con una gravedad determinada estn
actualizados.

Cree los perfiles HIP que tiene pensado usar en sus polticas.
Por ejemplo, si quiere asegurarse de que solo los usuarios de
Windows con parches actualizados puedan acceder a sus
aplicaciones internas, puede que desee adjuntar el siguiente
perfil HIP que coincidir con los hosts a los que NO les falte
ningn parche:

Gua del administrador de GlobalProtect

167

GlobalProtect para comprobacin de HIP interna y acceso basado en usuario

Configuraciones rpidas
de GlobalProtect

Configuracin rpida: Configuracin de puerta de enlace interna de GlobalProtect (Continuacin)

Paso 6

Configure las puertas de enlace internas.

Seleccione Red > GlobalProtect > Puertas de enlace y agregue la


siguiente configuracin:
Interfaz
Direccin IP
Certificado de servidor

Perfil de autenticacin o Perfil de configuracin


Observe que no es necesario configurar los ajustes de la
configuracin cliente en las configuraciones de la puerta de enlace
(a no ser que desee establecer las notificaciones HIP) porque las
conexiones de tnel no son necesarias. Consulte Configuracin de
una puerta de enlace para ver instrucciones detalladas sobre cmo
crear configuraciones de puerta de enlace.
Paso 7

Configuracin del portal de


GlobalProtect.

Nota

Aunque todas las configuraciones


anteriores pueden utilizar un mtodo de
conexin de inicio de sesin de usuario
o segn demanda, la configuracin de la
puerta de enlace interna siempre debe
estar activada y, por lo tanto, necesita un
mtodo de conexin de inicio de sesin 2.
de usuario.

Seleccione Red > GlobalProtect > Portales y aada la siguiente


configuracin:
1. Configuracin del acceso al portal:
Interfaz: ethernet1/2
Direccin IP: 10.31.34.13
Certificado de servidor: GP-server-cert.pem emitido por Go
Daddy con CN=gp.acme.com

Creacin de una configuracin de cliente de GlobalProtect:


Utilizar registro nico: habilitado
Mtodo de conexin:

inicio de sesin de usuario

Direccin de puerta de enlace interna: california.acme.com,

newyork.acme.com
Usuario/grupo de usuarios: cualquiera

3.
Paso 8

168

Implementacin del software del agente


de GlobalProtect.

Compile la configuracin del portal.

Seleccione Dispositivo > Cliente de GlobalProtect.


En este ejemplo, utilice el procedimiento para Alojamiento de
actualizaciones de agente en el portal.

Gua del administrador de GlobalProtect

Configuraciones rpidas
de GlobalProtect

GlobalProtect para comprobacin de HIP interna y acceso basado en usuario

Configuracin rpida: Configuracin de puerta de enlace interna de GlobalProtect (Continuacin)

Paso 9

Cree las reglas de seguridad HIP o


Agregue las siguientes reglas de seguridad para este ejemplo:
basadas en grupo/usuario en sus puertas 1. Seleccione Polticas > Seguridad y haga clic en Aadir.
de enlace.
2. En la pestaa Origen, establezca la zona de origen en l3-fiable.
3.

En la pestaa Usuario, aada el perfil HIP y el usuario/grupo


que se debe evaluar.
Haga clic en Aadir en la seccin Perfiles HIP y seleccione
el perfil HIP MissingPatch.
Haga clic en Aadir en la seccin Usuario de origen y
seleccione el grupo (Finanzas o Tcnico segn la regla que est
creando).

Gua del administrador de GlobalProtect

4.

Haga clic en ACEPTAR para guardar la regla.

5.

Confirmar la configuracin de la puerta de enlace.

169

Configuracin de puerta de enlace externa e interna combinada

Configuraciones rpidas
de GlobalProtect

Configuracin de puerta de enlace externa e interna


combinada
En una configuracin de puerta de enlace interna y externa combinada, configure puertas de enlace
independientes para el acceso de VPN y para el acceso a sus recursos internos confidenciales. Con esta
configuracin, los agentes realizan la deteccin de host interno para determinar si se encuentran en una red
interna o externa. Si el agente determina que la red es externa, tratar de conectar a las puertas de enlace externas
que se indican en su configuracin cliente y establecer una conexin de VPN (tnel) con la puerta de enlace
con la prioridad ms alta y el menor tiempo de respuesta.
Como las polticas de seguridad se definen de forma independiente en cada puerta de enlace, dispondr de un
control granular sobre los recursos a los que tendrn acceso los usuarios externos e internos. Adems, tambin
tendr un control granular sobre a qu puertas de enlace tendrn acceso los usuarios configurando el portal para
implementar las distintas configuraciones cliente segn la pertenencia a un grupo/usuario o la coincidencia del
perfil HIP.
En este ejemplo, los portales y las tres puertas de enlace (una externa y dos internas) se implementan en
cortafuegos distintos. La puerta de enlace externa en gpvpn.acme.com proporciona acceso de VPN remoto a la
red corporativa mientras las puertas de enlace internas proporcionan acceso granular a recursos especializados
del centro de datos segn la pertenencia a un grupo u otro. Adems, las comprobaciones HIP se utilizan para
garantizar que los hosts que tienen acceso al centro de datos tienen los parches de seguridad actualizados.
Ilustracin: Implementacin de GlobalProtect con puertas de enlace internas y externas

170

Gua del administrador de GlobalProtect

Configuraciones rpidas
de GlobalProtect

Configuracin de puerta de enlace externa e interna combinada

Configuracin rpida: Configuracin de puerta de enlace externa e interna combinada de GlobalProtect

Paso 1

Nota

Creacin de interfaces y zonas para


GlobalProtect.

En el cortafuegos que aloja la puerta de enlace del portal


(gp.acme.com):

En esta configuracin, debe configurar las Seleccione Red > Interfaces > Ethernet y configure ethernet1/2
como interfaz de Ethernet de capa 3 con la direccin IP
interfaces en el cortafuegos que aloja un
198.51.100.42 y asgnela a la zona de seguridad l3-nofiable y el
portal y en todos los cortafuegos que
enrutador virtual predeterminado.
alojan una puerta de enlace.
Utilice el enrutador virtual predeterminado Cree un registro A DNS que asigne la direccin IP
198.51.100.42 en gp.acme.com.
para que todas las configuraciones de la
interfaz eviten tener que crear el
Seleccione Red > Interfaces > Tnel y aada la interfaz tunnel.2.
enrutamiento entre zonas.
A continuacin, adala a la nueva zona denominada corp-vpn.
Asgnela al enrutador virtual predeterminado.
Habilite la identificacin de usuario en la zona corp-vpn.
En el cortafuegos que aloja la puerta de enlace externa
(gpvpn.acme.com):
Seleccione Red > Interfaces > Ethernet y configure ethernet1/5
como interfaz de Ethernet de capa 3 con la direccin IP 192.0.2.4
y asgnela a la zona de seguridad l3-nofiable y el enrutador virtual
predeterminado.
Cree un registro A DNS que asigne la direccin IP 192.0.2.4 en
gpvpn.acme.com.
Seleccione Red > Interfaces > Tnel y aada la interfaz tunnel.3.
A continuacin, adala a la nueva zona denominada corp-vpn.
Asgnela al enrutador virtual predeterminado.
Habilite la identificacin de usuario en la zona corp-vpn.
En el cortafuegos que aloja las puertas de enlace internas
(california.acme.com y newyork.acme.com):
Seleccione Red > Interfaces > Ethernet y configure la interfaz de
Ethernet de capa 3 con direcciones IP en la red interna y asgnelas
a la zona de seguridad l3-fiable y al enrutador virtual predeterminado.
Cree un registro A DNS que asigne las direcciones IP internas
california.acme.com y newyork.acme.com.
Habilite la identificacin de usuarios en la zona l3-fiable.

Gua del administrador de GlobalProtect

171

Configuracin de puerta de enlace externa e interna combinada

Configuraciones rpidas
de GlobalProtect

Configuracin rpida: Configuracin de puerta de enlace externa e interna combinada de GlobalProtect

Paso 2

Adquiera e instale una licencia de portal


de GlobalProtect en el cortafuegos que
aloja las suscripciones de portal y de
puerta de enlace en cada cortafuegos que
aloje una puerta de enlace (interna y
externa).

Despus de adquirir la licencia del portal y las suscripciones de la


puerta de enlace y recibir su cdigo de activacin, instale la licencia
en el cortafuegos que aloja el portal e instale las suscripciones de la
puerta de enlace en los cortafuegos que alojan sus puertas de enlace
de la siguiente forma:
1. Seleccione Dispositivo > Licencias.
2.

Seleccione Activar caracterstica mediante cdigo de


autorizacin.

3.

Cuando se le indique, introduzca el Cdigo de autorizacin y


haga clic en Aceptar.

4.

Compruebe que la licencia y las suscripciones se hayan activado


correctamente.

Pngase en contacto con su ingeniero de ventas o distribuidor de


Palo Alto Networks si no tiene todas las licencias necesarias. Si desea
ms informacin sobre licencias, consulte Acerca de las licencias de
GlobalProtect.
Paso 3

Obtenga certificados de servidor para el


portal GlobalProtect y todas las puertas
de enlace de GlobalProtect.

El flujo de trabajo recomendado es el siguiente:


1. En el cortafuegos que aloja el portal:
a. Importe un certificado de servidor desde una CA externa
conocida.

Para conectarse al portal por primera vez,


los clientes finales deben confiar en el
certificado de CA raz utilizado para
emitir el certificado de servidor del portal.

b. Cree el certificado de CA raz para la emisin de certificados


autofirmados de los componentes de GlobalProtect.

Puede utilizar certificados autofirmados


en las puertas de enlace e implementar el
2.
certificado de CA raz para los agentes en
la configuracin cliente. Se recomienda
generar todos los certificados del
cortafuegos que aloja el portal e
implementarlos en las puertas de enlace.
Paso 4

c. Genere un nuevo certificado de servidor autofirmado.


Repita este paso para cada puerta de enlace.
En todos los cortafuegos que alojan una puerta de enlace:
a. Implemente los certificados de servidor autofirmados.

Defina cmo autenticar a los usuarios en el Puede utilizar cualquier combinacin de perfiles de certificado o perfiles
portal y las puertas de enlace.
de autenticacin como sea necesario para garantizar la seguridad del
portal y las puertas de enlace. Los portales y las puertas de enlace
individuales tambin pueden utilizar distintos esquemas de
autenticacin. Consulte las siguientes secciones para obtener
instrucciones detalladas:
Configuracin de autenticacin externa (perfil de autenticacin)
Configuracin de la autenticacin de certificado de cliente
(perfil del certificado)
Configuracin de la autenticacin en dos fases (basada en token
u OTP)
Necesitar hacer referencia al perfil del certificado o perfiles de
autenticacin que ha definido en las configuraciones de puerta de enlace
y portal.

172

Gua del administrador de GlobalProtect

Configuraciones rpidas
de GlobalProtect

Configuracin de puerta de enlace externa e interna combinada

Configuracin rpida: Configuracin de puerta de enlace externa e interna combinada de GlobalProtect

Paso 5

Cree los perfiles HIP que necesitar para 1.


aplicar la poltica de seguridad en el acceso
a la puerta de enlace.
Consulte Uso de informacin del host en
la aplicacin de polticas para obtener ms
informacin sobre las evaluaciones HIP.

2.

Cree objetos HIP para filtrar los datos del host sin procesar
recopilados por los agentes. Por ejemplo, si est interesado en
avisar a usuarios no actualizados sobre los parches que
necesitan, puede que quiera crear un objeto HIP con el que
coincidir si el software de gestin de parches est instalado y que
todos los parches con una gravedad determinada estn
actualizados.

Cree los perfiles HIP que tiene pensado usar en sus polticas.
Por ejemplo, si quiere asegurarse de que solo los usuarios de
Windows con parches actualizados puedan acceder a sus
aplicaciones internas, puede que desee adjuntar el siguiente
perfil HIP que coincidir con los hosts a los que NO les falte
ningn parche:

Paso 6

Configure las puertas de enlace internas.

Seleccione Red > GlobalProtect > Puertas de enlace y agregue la


siguiente configuracin:
Interfaz
Direccin IP
Certificado de servidor

Perfil de autenticacin o Perfil de configuracin


Observe que no es necesario configurar los ajustes de la
configuracin cliente en las configuraciones de la puerta de enlace
(a no ser que desee establecer las notificaciones HIP) porque las
conexiones de tnel no son necesarias. Consulte Configuracin de
una puerta de enlace para ver instrucciones detalladas sobre cmo
crear configuraciones de puerta de enlace.

Gua del administrador de GlobalProtect

173

Configuracin de puerta de enlace externa e interna combinada

Configuraciones rpidas
de GlobalProtect

Configuracin rpida: Configuracin de puerta de enlace externa e interna combinada de GlobalProtect

Paso 7

Configuracin del portal de


GlobalProtect.

Seleccione Red > GlobalProtect > Portales y aada la siguiente


configuracin:
1. Configuracin del acceso al portal:

Aunque este ejemplo muestra cmo crear


una configuracin cliente nica que se
implementar para todos los agentes, puede
elegir crear configuraciones separadas para
distintos usos y, a continuacin,
implementarlas segn el nombre del
grupo/usuario o el sistema operativo en el 2.
que se ejecuta el agente/aplicacin
(Android, iOS, Mac o Windows).

Interfaz: ethernet1/2
Direccin IP: 10.31.34.13
Certificado de servidor: GP-server-cert.pem emitido por Go Daddy

con CN=gp.acme.com
Creacin de una configuracin de cliente de GlobalProtect:
Deteccin de host interno: habilitada
Utilizar registro nico: habilitado
Mtodo de conexin: inicio de sesin de usuario
Direccin de puerta de enlace: gpvpn.acme.com
Direccin de puerta de enlace interna: california.acme.com,

newyork.acme.com
Usuario/grupo de usuarios: cualquiera

3.
Paso 8

Paso 9

Implementacin del software del agente


de GlobalProtect.

Seleccione Dispositivo > Cliente de GlobalProtect.


En este ejemplo, utilice el procedimiento para Alojamiento de
actualizaciones de agente en el portal.

En aquellos cortafuegos que alojan una puerta de enlace de GlobalProtect externa, cree una poltica de seguridad
(Polticas > Seguridad) que habilite el flujo del trfico entre la zona corp-vpn y la zona l3-fiable. Adems, para
permitir le acceso granular a sus recursos de centro de datos internos, cree polticas HIP y basadas en usuario/grupo.
Para obtener visibilidad, cree reglas que permitan a todos los usuarios un acceso de navegacin Web a la zona
l3-nofiable usando perfiles de seguridad predeterminados que le protejan de amenazas conocidas.

Paso 10 Guarde la configuracin de


GlobalProtect.

174

Compile la configuracin del portal.

Haga clic en Compilar en el portal y en todas las puertas de enlace.

Gua del administrador de GlobalProtect