globalprotect adminguide 61-spanish

8/20/2019 GlobalProtect AdminGuide 61-Spanish

1/244

Palo Alto Networks®

Guía del administrador de GlobalProtectVersión 6.1


2/244

ii

Información de contacto

Sede de la empresa:

Guía del administrador

4401 Great America Parkway

Santa Clara, CA 95054

http://www.paloaltonetworks.com/contact/contact/

Acerca de esta guía

Esta guía le explica los procesos de configuración y mantenimiento de la infraestructura de GlobalProtect. Para obtenermás información, consulte los siguientes recursos:

Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en elcortafuegos, consulte https://www.paloaltonetworks.com/documentation.

Para acceder a la base de conocimientos, documentación al completo, foros de debate y vídeos, consultehttps://live.paloaltonetworks.com.

Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistenciatécnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.

Para leer las notas sobre la última versión, vaya la página de descarga de software enhttps://support.paloaltonetworks.com/Updates/SoftwareUpdates.

Para enviar sus comentarios sobre la documentación, diríjase a: [email protected].

Palo Alto Networks, Inc.

www.paloaltonetworks.com

© 2014 Palo Alto Networks. Todos los derechos reservados.

Palo Alto Networks y PAN-OS son marcas comerciales registradas de Palo Alto Networks, Inc.

Fecha de revisión: abril 8, 2015

https://www.paloaltonetworks.com/documentationhttps://live.paloaltonetworks.com/https://support.paloaltonetworks.com/https://support.paloaltonetworks.com/Updates/SoftwareUpdateshttps://support.paloaltonetworks.com/Updates/SoftwareUpdateshttps://support.paloaltonetworks.com/Updates/SoftwareUpdateshttps://support.paloaltonetworks.com/https://live.paloaltonetworks.com/https://www.paloaltonetworks.com/documentation


3/244

Guía del administrador de GlobalProtect iii

Contenido

Descripción general de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

Acerca de los componentes de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2Portal GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Gestor de seguridad móvil de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

¿Qué versiones de sistema operativo del cliente admite GlobalProtect? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Acerca de las licencias de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Configuración de la infraestructura de GlobalProtect. . . . . . . . . . . . . . . . . . . .9

Creación de interfaces y zonas para GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Habilitación de SSL entre componentes de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Acerca de la implementación de certificados GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Recomendaciones para certificados de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Implementación de certificados de servidores en los componentes de GlobalProtect . . . . . . . . . . . . . 16

Configuración de la autenticación de usuario en GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Acerca de la autenticación de usuarios de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Configuración de autenticación externa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Configuración de la autenticación de certificado de cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Configuración de la autenticación en dos fases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Configuración de la autenticación para clientes strongSwan Ubuntu y CentOS. . . . . . . . . . . . . . . . . . 33

Habilitación de la asignación de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Configuración de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Tareas de requisitos previos para la configuración de la puerta de enlace de GlobalProtect . . . . . . . . 40Configuración de una puerta de enlace de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Configuración del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Tareas de requisitos previos para la configuración del portal de GlobalProtect . . . . . . . . . . . . . . . . . . 45

Configuración del acceso al portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Definición de las configuraciones de cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Personalización del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Personalización de las páginas de inicio de sesión, bienveniday ayuda del portal de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Implementación del software cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Implementación del software del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Descarga e instalación de la aplicación móvil de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Implementación de la configuración del agente de forma transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Ajustes personalizables del agente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Implementación de los ajustes del agente para los clientes de Windows. . . . . . . . . . . . . . . . . . . . . . . . 69

Implementación de los ajustes del agente para los clientes de Mac . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

Use la aplicación iOS de GlobalProtect con un MDM de terceros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Ejemplo de configuración de VPN a nivel de dispositivo de la aplicación GlobalProtect iOS . . . . . . 76

Ejemplo de configuración de VPN a nivel de aplicación de la aplicación GlobalProtect iOS . . . . . . . 77

Referencia: Funciones criptográficas del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

http://deployment_toc.pdf/http://deployment_toc.pdf/http://deployment_toc.pdf/http://deployment_toc.pdf/


4/244

iv Guía del administrador de GlobalProtect

Configuración del gestor de seguridad móvil de GlobalProtect . . . . . . . . . . 81

Recomendaciones de implementación del gestor de seguridad móvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Configuración del acceso de gestión al gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

Registro, licencia y actualización del gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Registro del dispositivo GP-100 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Activación/recuperación de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88Instalación de las actualizaciones de contenido y software de Panorama . . . . . . . . . . . . . . . . . . . . . . . 89

Configuración del gestor de seguridad móvil para la gestión de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . 91

Configuración del gestor de seguridad móvil para el registro de dispositivos. . . . . . . . . . . . . . . . . . . . 91

Configuración del gestor de seguridad móvil para la inscripción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

Configuración del acceso de puerta de enlace al gestor de seguridad móvil. . . . . . . . . . . . . . . . . . . . . . . . 102

Definición de políticas de implementación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

Acerca de la implementación de la política del gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . 106

Recomendaciones sobre las políticas del gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . 109

Integración del gestor de seguridad móvil con su directorio LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . 112

Definición de objetos y perfiles HIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

Creación de perfiles de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

Creación de políticas de implementación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

Verificación de la configuración del gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

Configuración del acceso administrativo en el gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . 141

Configuración de la autenticación administrativa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

Creación de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

Gestión de dispositivos móviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos . . . . . . . . . . . 150

Etiquetar dispositivos manualmente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

Preetiquetado de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

Supervisión de dispositivos móviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Administración de dispositivos remotos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

Interacción con dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

Reacción ante la pérdida o sustracción de un dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

Eliminación de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

Creación de políticas de seguridad para aplicación de tráfico de dispositivos móviles. . . . . . . . . . . . . . . . 161

Gestión de datos y aplicaciones comerciales conuna tienda de aplicaciones empresariales . . . . . . . . . . . . . . . . . . . . . . . . . 163

Descripción general de la tienda de aplicaciones empresariales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

Conceptos de la tienda de aplicaciones empresariales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

Aplicaciones gestionadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 Aplicaciones requeridas y opcionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

Programa de compras por volumen de Apple (PCV). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

Adición de aplicaciones gestionadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

Adición de una aplicación empresarial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

Adición de aplicaciones de Google Play o Apple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

Adiciones de aplicaciones del PCV como aplicaciones gestionadas . . . . . . . . . . . . . . . . . . . . . . . . . . 172


5/244


6/244

vi Guía del administrador de GlobalProtect


7/244

Guía del administrador de GlobalProtect 1

Descripción general de GlobalProtect

Ya se trate de comprobar el correo electrónico desde casa o de actualizar documentos de empresa desde elaeropuerto, la mayoría de los empleados de hoy en día trabajan fuera de los límites físicos de la empresa. Este

aumento de la movilidad de los trabajadores hace crecer la productividad y la flexibilidad al tiempo que introduceriesgos de seguridad significativos. Cada vez que un usuario abandona las instalaciones de la empresa con suportátil o dispositivo móvil, está sorteando el cortafuegos de la empresa y las políticas asociadas diseñadas paraproteger tanto al usuario como la red. GlobalProtect resuelve los retos planteados por los usuarios itinerantesextendiendo las mismas políticas de última generación basadas en cortafuegos que se aplican a todos losusuarios dentro del perímetro físico de la empresa, independientemente de su ubicación.

Las siguientes secciones ofrecen información conceptual acerca de la oferta de Palo Alto NetworksGlobalProtect mediante la descripción de los componentes de GlobalProtect y las posibles situaciones deimplementación:

Acerca de los componentes de GlobalProtect

¿Qué versiones de sistema operativo del cliente admite GlobalProtect?

Acerca de las licencias de GlobalProtect


8/244

2 Guía del administrador de GlobalProtect

Acerca de los componentes de GlobalProtect Descripción general de GlobalProtect

Acerca de los componentes de GlobalProtect

GlobalProtect ofrece una completa infraestructura para la gestión de su fuerza de trabajo itinerante paragarantizar a todos sus usuarios un acceso seguro, independientemente de los dispositivos que usen o de dondese encuentren. Esta infraestructura incluye los siguientes componentes:

Portal GlobalProtect

Puertas de enlace de GlobalProtect

Cliente de GlobalProtect

Gestor de seguridad móvil de GlobalProtect

Portal GlobalProtect

El portal de GlobalProtect proporciona las funciones de gestión para su infraestructura de GlobalProtect. Todos los sistemas clientes que participan en la red de GlobalProtect reciben información de configuración

desde el portal, incluida información sobre las puertas de enlace disponibles, así como certificados cliente quepueden ser necesarios para conectarse a las puertas de enlace de GlobalProtect o a su gestor de seguridad móvil. Además, el portal controla el comportamiento y la distribución del software del agente de GlobalProtect paralos portátiles con Mac y Windows. (En dispositivos móviles, la aplicación GlobalProtect se distribuye a travésde la Apple App Store para los dispositivos iOS o mediante Google Play para dispositivos Android.) Si estáusando la función Perfil de información del host (HIP), el portal también define qué información se recopiladesde el host, incluyendo cualquier información personalizada que necesite. La Configuración del portal deGlobalProtect se realiza en una interfaz de cualquier cortafuegos de última generación de Palo Alto Networks.

Puertas de enlace de GlobalProtect

Las puertas de enlace de GlobalProtect permiten aplicar la seguridad al tráfico de agentes / aplicaciones deGlobalProtect. Asimismo, si la función HIP está habilitada, la puerta de enlace HIP genera un informe a partirde los datos sin procesar del host enviados por los clientes y puede usar dicha información para la aplicación depolíticas.

Puertas de enlace externas: Permiten a los usuarios remotos acceder a la red privada virtual (VPN) oaplicar la seguridad.

Puertas de enlace internas: Una interfaz en la red interna configurada como una puerta de enlace deGlobalProtect que permite aplicar la política de seguridad para el acceso a recursos internos. Al usarla juntocon el ID de usuario o las comprobaciones HIP, una puerta de enlace interna permite ofrecer un método

preciso y seguro para identificar y controlar el tráfico por usuario o estado del dispositivo. Las puertas deenlace internas son útiles en entornos confidenciales que requieren acceso autenticado a los recursos críticos.Puede configurar una puerta de enlace interna tanto en el modo de túnel como de no túnel.

La Configuración de las puertas de enlace de GlobalProtect se realiza en una interfaz de cualquiercortafuegos de última generación de Palo Alto Networks. Puede ejecutar tanto una puerta de enlace y unportal en el mismo cortafuegos como múltiples puertas de enlace distribuidas por toda su empresa.


9/244


Descripción general de GlobalProtect Acerca de los componentes de GlobalProtect

Cliente de GlobalProtect

El software del cliente de GlobalProtect se ejecuta en sistemas de usuarios finales y habilita el acceso a losrecursos de su red a través de los portales y las puertas de enlace de GlobalProtect que ha implementado. Haydos tipos de clientes de GlobalProtect:

El agente de GlobalProtect: Se ejecuta en sistemas Windows y Mac OS y se implementa desde el portalde GlobalProtect. El comportamiento del agente (p. ej., qué pestañas pueden ver los usuarios, pueden losusuarios desinstalar el agente o no) se determina en la configuración del cliente que defina en el portal.Consulte Definición de las configuraciones de cliente de GlobalProtect, Personalización del agente deGlobalProtect y Implementación del software del agente de GlobalProtect para obtener más información.

La aplicación de GlobalProtect: Se ejecuta en dispositivos iOS y Android. Los usuarios deben obtener laaplicación GlobalProtect de la tienda App Store de Apple (para iOS) o de Google Play (para Android).

Consulte ¿Qué versiones de sistema operativo del cliente admite GlobalProtect? para obtener más información.

El siguiente diagrama ilustra el modo en que los portales, puertas de enlace y agentes / aplicaciones deGlobalProtect se coordinan para ofrecer a todos sus usuarios un acceso seguro, independientemente de los

dispositivos que usen o de donde se encuentren.


10/244


Acerca de los componentes de GlobalProtect Descripción general de GlobalProtect

Gestor de seguridad móvil de GlobalProtect

El gestor de seguridad móvil de GlobalProtect ofrece gestión, visibilidad, e implementación de configuraciónautomatizada para dispositivos móviles (tanto los de la empresa como del empleado) en su red. Dado que elgestor de seguridad móvil forma parte de la solución móvil de GlobalProtect, la puerta de enlace de

GlobalProtect puede aprovechar la información de los dispositivos gestionados y usar la información ampliadadel host recopilada por el gestor de seguridad móvil para ofrecer a los dispositivos gestionados una aplicaciónmejorada de las políticas de seguridad. Las puertas de enlace recuperan los perfiles HIP extendidos del gestorde seguridad móvil y usan la información para aplicar políticas de seguridad para los dispositivos que se conectana su red. El gestor de seguridad móvil de GlobalProtect amplía la seguridad a los dispositivos móviles para quelos usuarios puedan acceder y usar con seguridad las aplicaciones desde sus dispositivos. Los datos comercialesestán contenidos en las aplicaciones y cuentas comerciales de los dispositivos móviles, y al mismo tiempo semantiene la experiencia de usuario nativa y los datos personales del usuario están separados y se mantienen enla intimidad.

Las políticas de implementación que crea en el gestor de seguridad móvil ofrecen aprovisionamiento decuentas simplificado para que los usuarios de dispositivos móviles puedan acceder a las aplicaciones de laempresa (tales como las configuraciones VPN y correo electrónico). También puede realizar ciertas acciones,tales como bloquear el dispositivo, hacer que emita una alarma para ayudar a localizarlo o incluso borrarlo siduda de la seguridad del mismo.

Para comunicarse con un dispositivo, el gestor de seguridad móvil envía una notificación push medianteOTA. En el caso de dispositivos iOS, envía notificaciones push mediante el servicio Notificaciones Push de Apple (APN) y en el de dispositivos Android las envía mediante Mensajería de Google Cloud (GCM).Cuando un dispositivo recibe una notificación push, la comprueba estableciendo una conexión HTTPS conla interfaz de comprobación del dispositivo en el gestor de seguridad móvil.

Apruebe las aplicaciones que podrán utilizar los usuarios para fines comerciales en sus dispositivos móviles.Las aplicaciones que apruebe y añada al gestor de seguridad móvil como aplicaciones gestionadas se puedenenviar a sus usuarios a través de la implementación de políticas. Los usuarios pueden examinar y luego

instalar las aplicaciones que tengan asignadas en la tienda de aplicaciones empresariales de la aplicaciónGlobalProtect.

Habilite configuraciones de seguridad para aplicaciones gestionadas con el gestor de seguridad móvil demodo que los datos comerciales estén contenidos solo en aplicaciones y cuentas gestionadas en undispositivo móvil, y que el tráfico de las aplicaciones gestionadas se enrute a través de la VPN corporativa(pero no el tráfico personal).

Cuando un dispositivo se registra en el gestor de seguridad móvil, envía información del host que incluyeinformación adicional además de la recopilada por la puerta de enlace de GlobalProtect, incluyendo una listade todas las aplicaciones instaladas gestionadas, una lista de aplicaciones instaladas no gestionadas (se puededeshabilitar), la ubicación del dispositivo en el momento del registro (se puede deshabilitar), si el dispositivo

tiene un código de acceso establecido o si está modificado o desbloqueado. Además, si el gestor de seguridadmóvil tiene una suscripción WildFire, puede detectar si un dispositivo contiene software malintencionado(solo dispositivos Android).

Al aprovechar los datos HIP extendidos que recopila el gestor de seguridad móvil, puede crear una políticade seguridad muy granular para usuarios de dispositivos móviles en sus puertas de enlace de GlobalProtect.


11/244


Descripción general de GlobalProtect Acerca de los componentes de GlobalProtect

Consulte Configuración del gestor de seguridad móvil de GlobalProtect para obtener más información.

Tráco de

Internet

Tráco

corporativo

Envío de puertade enlace

Envío demanual

Recopilación deApp Store

Estado de dispositivo para

política de seguridad

Gestionar dispositivo e informar

sobre estado de dispositivo

Firmas de malware móvil

Puertas de

enlace de

GlobalProtect

Gestor de seguridad

móvil de GlobalProtect

WildFire


12/244


¿Qué versiones de sistema operativo del cliente admite GlobalProtect? Descripción general de GlobalProtect

¿Qué versiones de sistema operativo del cliente admite

GlobalProtect?

En la siguiente tabla se resume la compatibilidad con GlobalProtect de los dispositivos de sobremesa, portátilesy móviles, así como las versiones mínimas de agentes / aplicaciones GlobalProtect y PAN-OS necesarias para

la compatibilidad:

Los usuarios deben obtener la aplicación GlobalProtect de la tienda App Store de Apple (para iOS) o de GooglePlay (para Android). Para obtener información sobre cómo distribuir el agente GlobalProtect, consulteImplementación del software del agente de GlobalProtect.

Versiones de clientes de OS compatibles Versión mínima de

agente / aplicación

Versión mínima de PAN-OS

Apple Mac OS 10.6

Apple Mac OS 10.7

Apple Mac OS 10.8

Apple Mac OS 10.9

Apple Mac OS 10.10

1.1

1.1

1.1.6

1.2

2.1

4.1.0 o superior

Windows XP (32 bits)

Windows Vista (32 bits y 64 bits)

Windows 7 (32 bits y 64 bits)

Windows 8 (32 bits y 64 bits)

Windows 8,1 (32 bits y 64 bits)

Windows Surface Pro

1.0

1.0

1.0

1.2

1.2

1.2

4.0 o posterior

Apple iOS 6.0*

Apple iOS 7.0*

Apple iOS 8.0*

App 1.3

App 1.3

App 2.1

4.1.0 o superior

Google Android 4.0.3 o posterior* App 1.3 4.1.6 o superior

Clientes IPsec de X-Auth de terceros:

• Cliente IPsec integrado en iOS

• Cliente IPsec integrado en Android

• VPNC en Ubuntu Linux 10.04 y CentOS 6

• strongSwan en Ubuntu Linux y CentOS**

N/D

N/D

5.0 o posterior

6.1 o posterior

* La app 2.x es necesaria para que un dispositivo pueda ser gestionado por el gestor de seguridad móvil de GlobalProtect

y el cortafuegos debe ejecutar PAN-OS 6.0 o posterior.

**Para obtener información sobre cómo habilitar el acceso de clientes de strongSwan Ubuntu y CentOS a la VPN deGlobalProtect, consulte Configuración de la autenticación para clientes strongSwan Ubuntu y CentOS.


13/244


Descripción general de GlobalProtect Acerca de las licencias de GlobalProtect

Acerca de las licencias de GlobalProtect

Si tan solo quiere usar GlobalProtect para proporcionar una solución de red privada virtual (VPN), segura o deacceso remoto a través de una única puerta de enlace externa, no necesita licencia de GlobalProtect. Sinembargo, para usar algunas de las funciones más avanzadas, como múltiples puertas de enlace, aplicacionesmóviles, gestión de seguridad móvil, comprobaciones de información del host o puertas de enlace internas,

puede que necesite adquirir una o más de las siguientes licencias:

Licencia de portal: Una licencia perpetua que debe instalarse una única vez en el cortafuegos que ejecuteel portal para habilitar la compatibilidad con la puerta de enlace interna, múltiples puertas de enlace (internaso externas) o comprobaciones HIP.

Suscripción de puerta de enlace: Una suscripción anual que habilita las comprobaciones de HIP y lasactualizaciones de contenido asociadas. Esta licencia debe instalarse en cada cortafuegos que contengapuertas de enlace que realicen comprobaciones HIP. Asimismo, la licencia de puerta de enlace habilita lacompatibilidad con aplicaciones móviles de GlobalProtect para iOS y Android.

Licencia del gestor de seguridad móvil de GlobalProtect en el dispositivo GP-100: Una licencia

perpetua de instalación única para el gestor de seguridad móvil basada en el número de dispositivos móvilesque se van a gestionar. Esta licencia solo es necesaria si pretende gestionar más de 500 dispositivos móviles.Hay disponibles licencias perpetuas para 1000, 2000, 5000, 10 000, 25 000, 50 000 o 100 000 dispositivosmóviles.

Suscripción a WildFire en el gestor de seguridad móvil de GlobalProtect para el dispositivo GP-100:Usada junto con el gestor de seguridad móvil de GlobalProtect para la detección de softwaremalintencionado APK en los dispositivos Android gestionados. Para habilitar el uso de detección desoftware malintencionado con el gestor de seguridad móvil de GlobalProtect, debe adquirir una suscripcióna WildFire que se corresponda con la capacidad de la licencia del gestor de seguridad móvil de GlobalProtect.


14/244


Acerca de las licencias de GlobalProtect Descripción general de GlobalProtect

Consulte Activación de licencias para obtener información sobre la instalación de licencias en el cortafuegos.Consulte la Activación/recuperación de licencias para obtener información sobre la instalación de licencias enel gestor de seguridad móvil.

Característica Requisitos de licencia del

cortafuegos

Requisitos de licencia del

gestor de seguridad móvil

Licencia de

portal

Suscripción de

puerta de

enlace

Licencia de

capacidad del

gestor de

seguridad móvil

Suscripción a

WildFire

Puerta de enlace única externa (Windows y Mac)

Una o varias puertas de enlace internas

Varias puertas de enlace externas

Comprobaciones HIP

Aplicación móvil para iOS o Android

Gestor de seguridad móvil (requiere aplicación

móvil de GlobalProtect para iOS o Android)

Detección de software malintencionadoAPK Android del gestor de seguridad móvil

https://www.paloaltonetworks.com/documentation/document-search.html?q=%22activate+licenses%22https://www.paloaltonetworks.com/documentation/document-search.html?q=%22activate+licenses%22


15/244


Configuración de la infraestructura de

GlobalProtect

Para que GlobalProtect funcione, debe configurar la infraestructura básica que permite que todos loscomponentes se comuniquen. Básicamente, esto implica configurar las interfaces y zonas que a las que seconectarán los usuarios finales de GlobalProtect para acceder al portal y las puertas de enlace. Puesto que loscomponentes de GlobalProtect se comunican a través de canales seguros, debe adquirir e implementar todoslos certificados SSL necesarios de los distintos componentes. Las siguientes secciones le guiarán a través de lospasos básicos para configurar la infraestructura de GlobalProtect:

Creación de interfaces y zonas para GlobalProtect

Habilitación de SSL entre componentes de GlobalProtect

Configuración de la autenticación de usuario en GlobalProtect

Habilitación de la asignación de grupo

Configuración de las puertas de enlace de GlobalProtect

Configuración del portal de GlobalProtect

Implementación del software cliente de GlobalProtect

Implementación de la configuración del agente de forma transparente

Use la aplicación iOS de GlobalProtect con un MDM de terceros

Referencia: Funciones criptográficas del agente de GlobalProtect


16/244


Creación de interfaces y zonas para GlobalProtect Configuración de la infraestructura de GlobalProtect

Creación de interfaces y zonas para GlobalProtect

Debe configurar las siguientes interfaces y zonas para la infraestructura de GlobalProtect:

Portal de GlobalProtect: Requiere una interfaz de bucle o capa 3 para que se conecten los clientes deGlobalProtect. Si el portal y la puerta de enlace se encuentran en el mismo cortafuegos, pueden usar la misma

interfaz. El portal debe estar en una zona accesible desde fuera de su red, por ejemplo: no fiable.

Puertas de enlace de GlobalProtect: Los requisitos de interfaz y zona para la puerta de enlace dependende si está configurando una puerta de enlace externa o una puerta de enlace interna, como se indica acontinuación:

– Puertas de enlace externas: Requieren una interfaz de bucle o capa 3 y una interfaz de túnel lógicapara que el cliente se conecte con el fin de establecer un túnel VPN. La interfaz de capa 3/bucleinvertido debe encontrarse en una zona externa, como una no fiable. La interfaz de túnel puede estaren la misma zona que la interfaz que se conecta a sus recursos internos, por ejemplo, fiable, o bien, paramejorar la seguridad y la visibilidad, puede crear una zona separada, como corp-vpn. Si crea una zonaseparada para su interfaz de túnel, necesitará crear políticas de seguridad que habiliten el f lujo del tráficoentre la zona VPN y la zona fiable.

– Puertas de enlace internas: Requiere una interfaz de bucle o de capa 3 en su zona fiable. Tambiénpuede crear una interfaz de túnel para acceder a sus puertas de enlace internas, pero no es necesario.

Si desea más información sobre portales y puertas de enlace, consulte Acerca de los componentes deGlobalProtect.

Puede encontrar consejos sobre el uso de la interfaz de bucle para proporcionar acceso a

GlobalProtect a través de diferentes puertos y direcciones en Can GlobalProtect Portal Page be

Configured to be Accessed on any Port? (¿Se puede configurar la página del portal de

GlobalProtect para acceder desde cualquier dispositivo?)

https://live.paloaltonetworks.com/docs/DOC-3457https://live.paloaltonetworks.com/docs/DOC-3457https://live.paloaltonetworks.com/docs/DOC-3457https://live.paloaltonetworks.com/docs/DOC-3457https://live.paloaltonetworks.com/docs/DOC-3457https://live.paloaltonetworks.com/docs/DOC-3457


17/244


Configuración de la infraestructura de GlobalProtect Creación de interfaces y zonas para GlobalProtect

Configuración de interfaces y zonas para GlobalProtect

Paso 1 Configure una interfaz de capa 3 paracada portal o puerta de enlace que

pretenda implementar.

Si la puerta de enlace y el portal seencuentran en el mismocortafuegos, puede usar una sola

interfaz para ambos.

Se recomienda usar direcciones IP

estáticas para el portal y la puerta deenlace.

1. Seleccione Red > Interfaces > Ethernet o Red > Interfaces >Bucle invertido y, a continuación, seleccione la interfaz quequiere configurar para GlobalProtect. En este ejemplo, estamosconfigurando ethernet1/1 como la interfaz del portal.

2. (Solo Ethernet) Seleccione Capa3 en el menú desplegable Tipode interfaz.

3. En la pestaña Configurar, seleccione la zona a la que pertenecela interfaz del portal o la puerta de enlace, como se indica acontinuación:

• Coloque los portales y las puertas de enlace externas en unazona no fiable para acceder mediante hosts desde fuera de su

red, como l3-nofiable.

• Coloque puertas de enlace internas en una zona interna,

como l3-fiable.

• Si aún no ha creado la zona, seleccione Nueva zona desde el

menú desplegable Zona de seguridad. En el cuadro dediálogo Zona, defina un Nombre para una nueva zona y, acontinuación, haga clic en ACEPTAR.

4. En el menú desplegable Enrutador virtual, seleccionepredeterminado.

5. Para asignar una dirección IP a la interfaz, seleccione la pestaña

IPv4, haga clic en Añadir en la sección IP e introduzca ladirección IP y la máscara de red para asignarlas a la interfaz, por

ejemplo, 208.80.56.100/24.

6. Para guardar la configuración de la interfaz, haga clic en

Aceptar.


18/244


Creación de interfaces y zonas para GlobalProtect Configuración de la infraestructura de GlobalProtect

Paso 2 En los cortafuegos donde se alojenpuertas de enlace de GlobalProtect,

configure la interfaz de túnel lógica quefinalizará los túneles VPN establecidos

por los agentes de GlobalProtect.No se requieren direcciones IP en la

interfaz de túnel a menos querequiera enrutamiento dinámico.

Además, asignar una dirección IP ala interfaz de túnel puede resultar

útil para solucionar problemas deconexión.

Asegúrese de habilitar User-ID en lazona donde finalizan los túneles de VPN.

1. Seleccione Red > Interfaces > Túnel y haga clic en Añadir.

2. En el campo Nombre de interfaz, especifique un sufijonumérico, como .2.

3. En la pestaña Configurar, amplíe el menú desplegable Zona de

seguridad para definir la zona del siguiente modo:

• Para usar una zona fiable como punto de finalización deltúnel, seleccione la zona del menú desplegable.

• (Recomendado) Si quiere crear una zona separada para lafinalización del túnel de VPN, haga clic en Nueva zona. Enel cuadro de diálogo Zona, defina un Nombre para la nuevazona (por ejemplo, vpn-corp), seleccione la casilla de

verificación Habilitar identificación de usuarios y, acontinuación, haga clic en ACEPTAR.

4. En el menú desplegable Enrutador virtual, seleccionepredeterminado.

5. (Opcional) Si quiere asignar una dirección IP a la interfaz detúnel, seleccione la pestaña IPv4, haga clic en Añadir en lasección IP e introduzca la dirección IP y la máscara de red paraasignarlas a la interfaz, por ejemplo: 10.31.32.1/32.

6. Para guardar la configuración de la interfaz, haga clic enAceptar.

Paso 3 Si ha creado una zona separada para la

finalización del túnel de las conexiones VPN, cree una política de seguridad para

habilitar el flujo de tráfico entre la zona VPN y su zona fiable.

Por ejemplo, la siguiente regla de política habilita el tráfico entre la zona

corp-vpn y la zona l3-fiable.

.

Paso 4 Guarde la configuración.

Si ha habilitado el acceso de gestión

a la interfaz donde se aloja el portal,debe añadir :4443 a la URL. Por ejemplo,para acceder a la interfaz web del portal

configurado en este ejemplo, debería

introducir lo siguiente:

https://208.80.56.100:4443

O bien, si ha configurado un registroDNS para FQDN, como gp.acme.com,

debería introducir:

https://gp.acme.com:4443

Haga clic en Confirmar.

Configuración de interfaces y zonas para GlobalProtect (Continuación)


19/244


Configuración de la infraestructura de GlobalProtect Habilitación de SSL entre componentes de GlobalProtect

Habilitación de SSL entre componentes de GlobalProtect

Toda la interacción entre los componentes de GlobalProtect se realiza a través de una conexión SSL. Por lotanto, debe generar o instalar los certificados necesarios antes de configurar cada componente, de modo quepueda hacer referencia a los certificados adecuados en las configuraciones. En las siguientes secciones sedescriben los métodos compatibles de implementación de certificados, las descripciones y las directrices de

recomendaciones para los diversos certificados de GlobalProtect, además de ofrecer instrucciones para lageneración e implementación de los certificados necesarios.

Acerca de la implementación de certificados GlobalProtect

Recomendaciones para certificados de GlobalProtect

Implementación de certificados de servidores en los componentes de GlobalProtect

Acerca de la implementación de certificados GlobalProtect

Hay tres enfoques básicos para la Implementación de certificados de servidores en los componentes deGlobalProtect:

(Recomendado) Combinación de certificados de terceros y certificados autofirmados: Puesto quelos clientes finales accederán al portal antes de la configuración de GlobalProtect, el cliente debe confiar enel certificado para establecer una conexión HTTPS. Del mismo modo, si está usando el gestor de seguridadmóvil de GlobalProtect, ocurre lo mismo con los dispositivos móviles que acceden al gestor de seguridadmóvil para su inscripción. Por lo tanto, el método recomendado consiste en adquirir el certificado deservidor del portal y el certificado de servidor para la interfaz de registro del dispositivo del gestor deseguridad móvil desde un certificado de CA fiable en el que ya confíen la mayoría de clientes finales con elfin de prevenir errores de certificado. Una vez que el cliente se conecta correctamente, el portal puede enviarcualquier otro certificado requerido (por ejemplo, el certificado de CA raíz para la puerta de enlace) al clientefinal.

Entidad de certificación empresarial: Si ya cuenta con su propia entidad de certificación empresarial,puede usar esta CA interna para emitir certificados de cada uno de los componentes de GlobalProtect y, acontinuación, importarlos desde los cortafuegos donde se alojan su portal y sus puertas de enlace y desde elgestor de seguridad móvil. En este caso, debe asegurarse de que los dispositivos móviles o sistemas delusuario final confíen en el certificado de CA raíz usado para emitir los certificados para los servicios deGlobalProtect a los que deben conectarse.

Certificados autofirmados: Puede generar un certificado de CA autofirmado en el portal y usarlo paraemitir certificados de todos los componentes de GlobalProtect. Sin embargo, esta solución es menos seguraque otras opciones y, por lo tanto, no se recomienda. Si aun así elige esta opción, los usuarios finales veránun error de certificado la primera vez que se conecten al portal. Para evitar esto, puede implementar

manualmente un certificado de CA raíz autofirmado para todos los sistemas de usuarios finales o usar algúntipo de implementación centralizada, como un objeto de directiva de grupo (GPO) de Active Directory.


20/244


Habilitación de SSL entre componentes de GlobalProtect Configuración de la infraestructura de GlobalProtect

Recomendaciones para certificados de GlobalProtect

En la siguiente tabla se resumen los certificados SSL que necesitará dependiendo de las funciones que pretenda usar:

Tabla: Requisitos de certificados para GlobalProtect

Certificado Uso Proceso de emisión / Recomendaciones

Certificado de CA Usado para firmar certificadosemitidos para los componentes

de GlobalProtect.

Si pretende usar certificados autofirmados, es recomendablegenerar un certificado de CA en el portal y, a continuación, usar

dicho certificado para emitir los certificados necesarios paraGlobalProtect.

Certificado de servidor

del portalHabilita a los

agentes / aplicaciones deGlobalProtect para que

establezcan una conexiónHTTPS con el portal.

El campo de nombre común

(CN) y, si es aplicable, denombre alternativo del asunto

(SAN) del certificado debencoincidir exactamente con ladirección IP o con el nombre de

dominio completo (FQDN) dela interfaz donde está alojado el

portal.

• Se recomienda usar un certificado emitido por una CA

externa conocida. Es la opción más segura y garantiza que losclientes finales puedan establecer una relación de confianza

con el portal sin necesidad de que implemente el certificadode CA raíz.

• Si no usa una CA pública conocida, debería exportar el

certificado de CA raíz usado para generar el certificado deservidor del portal a todos los sistemas cliente que usen

GlobalProtect con el fin de evitar que los usuarios finales vean advertencias de certificados durante la conexión inicialal portal.

• Si está implementando un portal y una única puerta de enlaceen la misma interfaz / dirección IP para un acceso básico a

VPN, debe usar un certificado de servidor único para amboscomponentes.

Certificado de servidor

de la puerta de enlaceHabilita a losagentes / aplicaciones deGlobalProtect para que

establezcan una conexiónHTTPS con la puerta de enlace.

El campo de nombre común

(CN) y, si es aplicable, denombre alternativo del asunto

(SAN) del certificado debencoincidir exactamente con elFQDN o la dirección IP de la

interfaz donde pretendeconfigurar la puerta de enlace.

• Cada puerta de enlace debe tener su propio certificado deservidor.

• Se recomienda generar un certificado de CA en el portal y

usar dicho certificado para generar todos los certificados depuertas de enlace.

• El portal puede distribuir el certificado de CA raíz de lapuerta de enlace a todos los agentes en la configuración delcliente, de modo que no sea necesario que una CA pública

emita todos los certificados de puerta de enlace.

• Si no implementa los certificados CA raíz para puertas deenlace GlobalProtect en la configuración cliente, el

agente/aplicación no realizará comprobaciones decertificados cuando se conecta, haciendo que la conexión sea

vulnerable a los ataques de intermediario

(man-in-the-middle).• Si está implementando un portal y una única puerta de enlace

en la misma interfaz / dirección IP para un acceso básico a

VPN, debe usar un certificado de servidor único para amboscomponentes. Se recomienda usar un certificado emitido poruna CA pública.


21/244



(Opcional) Certificado

de clienteSirve para habilitar laautenticación mutua entre los

agentes de GlobalProtect y laspuertas de enlace o el portal.

Además de habilitar laautenticación mutua alestablecer una sesión HTTPS

entre el cliente y elportal / puerta de enlace,

también puede usar certificadosde cliente para autenticar ausuarios finales.

• Para simplificar la implementación de certificados de cliente,configure el portal para que implemente el certificado de

cliente a los agentes al realizarse correctamente el inicio desesión. En esta configuración, todos los agentes de

GlobalProtect que usen la misma configuración compartenun único certificado de cliente; el objetivo de este certificado

es asegurarse de que solo los clientes de su organizacióntengan permiso para conectarse.

• Puede usar otros mecanismos para implementar certificados

de clientes exclusivos para cada sistema de cliente que seusarán en la autenticación del usuario final.

• Tal vez deba probar su configuración primero sin elcertificado de cliente y, a continuación, añadir el certificadodel cliente cuando esté seguro de que el resto de ajustes de la

configuración son correctos.

(Opcional) Certificado

de máquina Garantiza que solo se puedanconectar a GlobalProtect losequipos fiables. Además, loscertificados de máquina son

necesarios para el uso delmétodo de conexión anterior al

inicio de sesión, lo que permiteel establecimiento de túneles

VPN antes de que el usuarioinicie sesión.

Si pretende usar la función anterior al inicio de sesión, debeutilizar su propia infraestructura PKI para implementar loscertificados de máquina en cada sistema de cliente antes dehabilitar el acceso a GlobalProtect. Para obtener más

información, consulte VPN de acceso remoto con funciónanterior al inicio de sesión.

Certificados de servidor

del gestor de seguridad

móvil

• Permite a los dispositivos

móviles establecer sesionesHTTPS con el gestor de

seguridad móvil para suinscripción o registro.

• Permite a las puertas de enlaceconectarse al gestor deseguridad móvil para

recuperar informes HIP paralos dispositivos móviles

gestionados.

• El campo de nombre común(CN) y, si es aplicable, de

nombre alternativo del asunto

(SAN) del certificado debencoincidir exactamente con ladirección IP o con el nombrede dominio completo

(FQDN) de la interfaz.

• Puesto que los dispositivos deben confiar en el gestor de

seguridad móvil para inscribirse, se recomienda adquirir uncertificado para la interfaz de registro del dispositivo del

gestor de seguridad móvil desde una CA fiable y conocida. Sino utiliza una CA fiable para emitir certificados de la interfaz

de registro del dispositivo del gestor de seguridad móvil,tendrá que implementar el certificado de CA raíz del gestor de

seguridad móvil para dispositivos móviles a través de laconfiguración del portal (a fin de habilitar el dispositivo para

que establezca una conexión SSL con el gestor de seguridadmóvil para su inscripción).

• Si la interfaz de registro del dispositivo está en una interfaz

diferente a la que se conectan las puertas de enlace para larecuperación de HIP, necesitará certificados de servidorseparados para cada interfaz.

Si desea información detallada, consulte Configuración delgestor de seguridad móvil de GlobalProtect.

Certificado Uso Proceso de emisión / Recomendaciones


22/244


23/244



Implementación de certificados de servidores en los componentes de

GlobalProtect

El siguiente flujo de trabajo muestra los pasos recomendados para implementar certificados SSL en loscomponentes de GlobalProtect:

Implementación de certificados de servidores SSL en los componentes de GlobalProtect

• Importe un certificado de servidor desde una CAexterna conocida.

Use un certificado de servidor de una CAexterna conocida para el portal deGlobalProtect y el gestor de seguridad

móvil. De este modo puede asegurarse deque los clientes finales podrán establecer

una conexión HTTPS sin recibiradvertencias de certificado.

El campo de nombre común (CN) y, si esaplicable, de nombre alternativo del asunto(SAN) del certificado deben coincidirexactamente con el nombre de dominio

completo (FQDN) o la dirección IP de lainterfaz donde pretende configurar el

portal o la interfaz de registro deldispositivo en el gestor de seguridad móvil.

Admite coincidencias con comodines.

Para importar un certificado y una clave desde una CA pública,asegúrese de que se puede acceder a los archivos de clave ycertificado desde su sistema de gestión y de que tiene la frase de

contraseña para descifrar la clave privada. A continuación, siga estospasos:

1. Seleccione Dispositivo > Gestión de certificados >Certificados > Certificados de dispositivos.

2. Haga clic en Importar e introduzca un nombre de certificado.

3. Introduzca la ruta y el nombre en el Archivo de certificado que

recibió de la CA o seleccioneExaminar

para buscar el archivo.4. Seleccione Clave privada cifrada y certificado (PKCS12) como

Formato de archivo.

5. Seleccione la casilla de verificación Importar clave privada.

6. Introduzca la ruta y el nombre en el archivo PKCS#12, en el

campo Archivo de clave o seleccione Examinar paraencontrarla.

7. Vuelva a introducir la frase de contraseña que se usó para cifrarla clave privada y después haga clic en ACEPTAR para importarel certificado y la clave.

• Cree el certificado de CA raíz para la emisión decertificados autofirmados de los componentes de

GlobalProtect.

Cree el certificado de CA raíz en el portal y

úselo para emitir certificados de servidorpara puertas de enlace y, de maneraopcional, clientes.

Para usar certificados autofirmados, primero debe crear uncertificado de CA raíz que servirá para firmar los certificados de

componentes de GlobalProtect del siguiente modo:

1. Para crear un certificado de CA raíz, seleccione Dispositivo >Gestión de certificados > Certificados > Certificados dedispositivos y, a continuación, haga clic en Generar.

2. Introduzca un Nombre de certificado, comoGlobalProtect_CA. El nombre de certificado no puede

contener espacios.

3. No seleccione ningún valor en el campo Firmado por (esto eslo que indica que está autofirmado).

4. Seleccione la casilla de verificación Autoridad del certificado y,a continuación, haga clic en Aceptar para generar el certificado.


24/244


Habilitación de SSL entre componentes de GlobalProtect Configuración de la infraestructura de GlobalProtect

• Genere un nuevo certificado de servidorautofirmado.

Use la CA raíz en el portal para generarcertificados de servidor para cada puerta de

enlace que pretende implementar y, demanera opcional, para la interfaz de gestióndel gestor de seguridad móvil (si esta es la

interfaz que usarán las puertas de enlacepara recuperar los informes HIP).

En los certificados de servidor de la puertade enlace, los valores en los camposNombre común (CN) y Nombre

alternativo del asunto (SAN) en elcertificado deben ser idénticos. De lo

contrario, el agente de GlobalProtectdetectará la discrepancia al comprobar la

cadena de confianza del certificado y noconfiará en el certificado. Los certificados

autofirmados solo contendrán un campoSAN si añade un atributo de certificadoNombre de host.

1. Seleccione Dispositivo > Gestión de certificados >Certificados > Certificados de dispositivos y, a continuación,haga clic en Generar.

2. Introduzca un nombre de certificado. El nombre de certificado

no puede contener espacios.3. Introduzca el FQDN (recomendado) o la dirección IP de la

interfaz donde pretende configurar la puerta de enlace en elcampo Nombre común.

4. En el campo Firmado por, seleccione el GlobalProtect_CA queha creado anteriormente.

5. En la sección Atributos del certificado, haga clic en Añadir ydefina los atributos para identificar de forma exclusiva la puerta

de enlace. Tenga en cuenta que si añade un atributo Nombre dehost (que cumplimenta el campo SAN del certificado), debecoincidir exactamente con el valor que haya definido en elcampo Nombre común.

6. Haga clic en Aceptar para generar el certificado.

7. Confirme los cambios.

• Implemente los certificados de servidorautofirmados.

Prácticas recomendadas:

• Exporte los certificados de servidorautofirmados emitidos por la CA raíz al

portal e impórtelos desde las puertas deenlace.

• Asegúrese de emitir un único certificadode servidor para cada puerta de enlace.

• Al usar certificados autofirmados, debe

distribuir el certificado de CA raíz a losclientes finales en las configuraciones declientes del portal.

1. En el portal, seleccione Dispositivo > Gestión de certificados >Certificados > Certificados de dispositivos, seleccione elcertificado de puerta de enlace que quiere implementar y haga

clic en Exportar.

2. Seleccione Clave privada cifrada y certificado (PKCS12) en elmenú desplegable Formato de archivo.

3. Introduzca dos veces una frase de contraseña para cifrar la

clave privada y, a continuación, haga clic en ACEPTAR paradescargar el archivo PKCS12 en su ordenador.

4. En la puerta de enlace, seleccione Dispositivo > Gestión decertificados > Certificados > Certificados de dispositivo yhaga clic en Importar.

5. Introduzca un nombre de certificado.

6. Introduzca la ruta y el nombre en el archivo de certificado queacaba de descargar del portal o seleccione Examinar para buscarel archivo.

7. Seleccione Clave privada cifrada y certificado (PKCS12) comoFormato de archivo.

8. Introduzca la ruta y nombre en el archivo PKCS#12 en elcampo Archivo de clave o seleccione Examinar paraencontrarla.

9. Vuelva a introducir la frase de contraseña que usó para cifrarla clave privada cuando la exportó desde el portal y después hagaclic en ACEPTAR para importar el certificado y la clave.

10. Compilar los cambios en la puerta de enlace.

Implementación de certificados de servidores SSL en los componentes de GlobalProtect (Continuación)


25/244


Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect

Configuración de la autenticación de usuario en

GlobalProtect

El portal y la puerta de enlace requieren las credenciales autenticación del usuario final antes de que permitir alagente / aplicación de GlobalProtect acceder a los recursos de GlobalProtect. Puesto que el portal y la puerta

de enlace le piden que especifique qué mecanismos de autenticación se usarán, debe configurar la autenticaciónantes de continuar con la configuración del portal y la puerta de enlace. En las siguientes secciones se detallanlos mecanismos de autenticación admitidos y el modo de configurarlos:

Acerca de la autenticación de usuarios de GlobalProtect

Configuración de autenticación externa

Configuración de la autenticación de certificado de cliente

Configuración de la autenticación en dos fases

Configuración de la autenticación para clientes strongSwan Ubuntu y CentOS

Acerca de la autenticación de usuarios de GlobalProtect

La primera vez que un agente / aplicación de GlobalProtect se conecta al portal, se solicita al usuario que seautentique en el portal para poder descargar la configuración de GlobalProtect, que incluye una lista de puertasde enlace a las que se puede conectar el agente, la ubicación del gestor de seguridad móvil y, de manera opcional,un certificado de cliente para conectarse a las puertas de enlace. Cuando se haya descargado correctamente laconfiguración y se haya guardado en caché, el agente / aplicación trata de conectarse a una de las puertas deenlace especificadas en la configuración o al gestor de seguridad móvil. Puesto que estos componentes ofrecenacceso a sus recursos y configuraciones de red, también requieren la autenticación del usuario final.

El nivel de seguridad requerido en el portal, en el gestor de seguridad móvil y en las puertas de enlace (e incluso

de una puerta de enlace a otra) varía en función de la confidencialidad de los recursos que cada uno protege;GlobalProtect ofrece un marco de autenticación flexible que le permite elegir el perfil de autenticación o el perfilde certificado adecuado para cada componente.

Las siguientes secciones describen las funciones de autenticación disponibles en el portal y la

puerta de enlace. Para obtener información detallada acerca de la configuración de la

autenticación, consulte Configuración del gestor de seguridad móvil para la inscripción.


26/244


Configuración de la autenticación de usuario en GlobalProtect Configuración de la infraestructura de GlobalProtect

Métodos de autenticación de GlobalProtect admitidos

Método de

autenticación

Descripción

Autenticación local Tanto las credenciales de cuenta de usuario como los mecanismos de autenticación se

encuentran en el cortafuegos. Este mecanismo de autenticación no es adaptable, ya querequiere una cuenta para cada usuario final de GlobalProtect y, por lo tanto, solo serecomienda para implementaciones muy pequeñas.

Autenticación externa Las funciones de autenticación de usuarios se externalizan a un servicio LDAP, Kerberos o

RADIUS existente (incluyendo la compatibilidad con mecanismos de autenticación en dosfases basada en token, tales como la autenticación OTP [contraseña de un solo uso]). Parahabilitar la autenticación externa, primero debe crear un perfil de servidor que defina la

configuración de acceso al servicio de autenticación externa y, a continuación, crear un perfilde autenticación que haga referencia al perfil de servidor. Entonces tendrá que hacer

referencia al perfil de autenticación en la configuración del portal, la puerta de enlace o elgestor de seguridad móvil. Puede usar diferentes perfiles de autenticación para cada

componente de GlobalProtect. Consulte Configuración de autenticación externa paraobtener información detallada sobre cómo realizar esta configuración. Consulte un ejemplode configuración en VPN de acceso remoto (Perfil de autenticación).

Autenticación de

certificación de clienteEl portal o la puerta de enlace usan un certificado de cliente para obtener el nombre de usuario yautenticar al usuario antes de permitirle acceder al sistema. Con este tipo de autenticación, debe

emitir un certificado de cliente para cada usuario final; los certificados que emita deben contenerel nombre de usuario en uno de los campos del certificado, como el campo Nombre de asunto. Sise ha configurado el perfil del certificado en el portal de GlobalProtect, el cliente debe presentar

un certificado para conectarse. Esto significa que los certificados deben implantarse previamenteen clientes finales antes de su conexión inicial al portal.

Además, el perfil del certificado especifica el campo del certificado del que obtener el nombre de

usuario. Si el perfil del certificado especifica Asunto en Campo nombre de usuario, el certificado

presentado por el cliente debe contener un nombre común para poder conectarse. Si el perfil delcertificado especifica un Asunto alternativo con un Correo electrónico o Nombre principal comoCampo de nombre de usuario, el certificado presentado por el cliente debe contener los camposcorrespondientes, que se usarán como nombre de usuario cuando el agente de GlobalProtect se

autentique en el portal o la puerta de enlace.

GlobalProtect también es compatible con una tarjeta de acceso común (CAC) y autenticación contarjetas inteligentes, que se basan en un perfil del certificado. En este caso, el perfil del certificado

debe contener el certificado de CA raíz que emitió el certificado en la tarjeta inteligente/CAC.

Si usa la autenticación de certificado de cliente, no debería configurar un certificado de cliente en

la configuración del portal, ya que lo proporcionará el sistema del cliente cuando se conecte elusuario final. En VPN de acceso remoto (Perfil del certificado) puede ver un ejemplo de cómo

configurar una autenticación de certificado de cliente.


27/244



¿Cómo sabe el agente qué credenciales proporcionar al portal y la puerta de enlace?

Por defecto, el agente de GlobalProtect intenta usar las mismas credenciales de inicio de sesión para la puerta de enlacey el portal. En el caso más sencillo, si la puerta de enlace y el portal usan el mismo perfil de autenticación o perfil decertificado, el agente se conectará a la puerta de enlace de forma transparente. Sin embargo, si el portal y la puerta deenlace requieren credenciales diferentes (tales como OTP exclusivas), este comportamiento predeterminadoprovocaría retrasos en la conexión a la puerta de enlace porque esta no avisaría al usuario para que se autenticase hastaque hubiera intentado autenticarse sin éxito mediante las credenciales proporcionadas por el agente.

Hay dos opciones para modificar el comportamiento de la autenticación predeterminada del agente en unaconfiguración basada en el cliente:

Autenticación de cookies en el portal: El agente usa cookies cifradas para la autenticación en el portal al

actualizar una configuración que se ha almacenado previamente en caché (se solicitará la autenticación del usuariosiempre que se trate de la configuración inicial o al expirar una cookie). De este modo se simplifica el proceso deautenticación para usuarios finales, puesto que ya no tendrán que iniciar sesión sucesivamente tanto en el portalcomo en la puerta de enlace o introducir varias OTP para autenticarse en ambas. Además, esto permite el uso deuna contraseña temporal para habilitar el acceso VPN tras la caducidad de la contraseña.

Deshabilitación del reenvío de credenciales a algunas o todas las puertas de enlace: El agente nointentará usar sus credenciales del portal para iniciar sesión en la puerta de enlace, lo que permite a la puerta deenlace solicitar inmediatamente su propio conjunto de credenciales. Esta opción acelera el proceso deautenticación cuando el portal y la puerta de enlace requieren credenciales distintas (ya se trate de OTP distintas ocredenciales de inicio de sesión completamente diferentes). También puede optar por usar una contraseñadiferente solo para puertas de enlace manuales. Con esta opción, el agente reenviará credenciales a puertas de

enlace automáticas pero no a las manuales, lo que le permite tener la misma seguridad en sus portales y en laspuertas de enlace automáticas, y al mismo tiempo solicitar una OTP como segundo factor o una contraseñadiferente para acceder a esas puertas de enlace, que permiten acceder a los recursos más importantes de suempresa.

Si desea un ejemplo de cómo usar estas opciones, consulte Habilitación de la autenticación en dos fases mediantecontraseñas de un solo uso (OTP).

Autenticación en dos fases Puede habilitar la autenticación en dos fases configurando tanto un perfil de certificado como unperfil de autenticación y añadir ambos a la configuración de portal o puerta de enlace. Tenga en

cuenta que con la autenticación en dos fases, el cliente deberá autenticarse correctamente en

ambos mecanismos para poder acceder al sistema. Además, si el perfil de certificado especifica un Campo nombre de usuario desde el que obtener

el nombre de usuario del certificado, el nombre de usuario se usará automáticamente para laautenticación en el servicio de autenticación externo especificado en el perfil de autenticación. Por

ejemplo, si en el perfil del certificado Campo nombre de usuario se ha definido como Asunto, el valor en el campo de nombre común del certificado se usará por defecto como el nombre deusuario cuando el usuario intente autenticarse en el servidor de autenticación. Si no quiere obligar

a los usuarios a autenticarse con un nombre de usuario desde el certificado, asegúrese de que elperfil del certificado se ha establecido en Ninguno para Campo nombre de usuario. Consulte un

ejemplo de configuración en VPN de acceso remoto con autenticación de dos factores.

Método de

autenticación

Descripción


28/244



Configuración de autenticación externa

En el siguiente flujo de trabajo se describe el modo de configurar el portal o la puerta de enlace para laautenticación de usuarios mediante un servicio de autenticación existente. GlobalProtect admite la autenticaciónexterna mediante LDAP, Kerberos o RADIUS.

Si desea obtener más información, consulte Métodos de autenticación de GlobalProtect admitidos o consulteun vídeo.

GlobalProtect también es compatible con la autenticación local. Para usar este método de

autenticación, cree una base de datos de usuarios locales que contenga los usuarios y grupos a

los que quiere permitir el acceso a la VPN (Dispositivo > Base de datos de usuario local) yhaga una referencia en el perfil de autenticación.

Configuración de la autenticación de usuarios externa

Paso 1 Cree un perfil de servidor.

El perfil de servidor indica al cortafuegoscómo conectar con un servicio de

autenticación externo y acceder a lascredenciales de autenticación de losusuarios.

Si está usando LDAP para conectarsea Active Directory (AD), debe crear

un perfil de servidor LDAP diferentepara cada dominio de AD.

1. Seleccione Dispositivo > Perfiles de servidor y seleccione eltipo de perfil ( LDAP, Kerberos o RADIUS ).

2. Haga clic en Añadir e introduzca un Nombre para el perfil,

como GP-User-Auth.3. (Solo LDAP) Seleccione el Tipo de servidor LDAP al que se esté

conectando.

4. Haga clic en Añadir en la sección Servidores e introduzca lainformación requerida para el servicio de autenticación, incluido

el Nombre, Dirección IP (o FQDN) y Puerto del servidor.

5. (Solo RADIUS y LDAP) Especifique la configuración para

habilitar la autenticación del cortafuegos en el servicio deautenticación del siguiente modo:

• RADIUS: Introduzca el Secreto compartido al añadir laentrada del servidor.

• LDAP: Introduzca el valor de Enlazar DN y Enlazarcontraseña.

6. (Solo LDAP y Kerberos) Especifique dónde buscar a los

usuarios en el servicio del directorio:

• LDAP: DN de Base especifica el punto en el árbol del LDAPdonde empezar a buscar usuarios y grupos. Este campodebería cumplimentarse automáticamente al introducir elpuerto y la dirección del servidor. De no ser así, compruebe

la ruta de servicio al servidor LDAP.

• Kerberos: Introduzca el nombre del Dominio de Kerberos.

7. Especifique el nombre del Dominio (sin puntos, por ejemploacme, no acme.com ). Este valor se añadirá al nombre de usuario

en la dirección IP para las asignaciones de usuarios a los ID deusuario.

8. Haga clic en Aceptar para guardar el perfil de servidor.

https://paloaltonetworks.com/documentation/Videos/gp-qc1-video.htmlhttps://paloaltonetworks.com/documentation/Videos/gp-qc1-video.htmlhttps://paloaltonetworks.com/documentation/Videos/gp-qc1-video.htmlhttps://paloaltonetworks.com/documentation/Videos/gp-qc1-video.html


29/244



Paso 2 Cree un perfil de autenticación.

El perfil de autenticación especifica quéperfil de servidor se usa para la

autenticación de usuarios. Puede adjuntar

un perfil de autenticación a unaconfiguración de portal o puerta de

enlace.

Prácticas recomendadas:

•Para permitir que los usuarios seconecten y cambien sus contraseñas

caducadas sin intervenciónadministrativa, considere usar el

método de conexión anterior alinicio de sesión. Consulte VPN de

acceso remoto con función anterioral inicio de sesión para obtenerinformación detallada.

•Si los usuarios dejan caducar sus

contraseñas, puede asignar unacontraseña de LDAP temporal que

permita a los usuarios iniciar sesiónen la VPN. En este caso, la

contraseña temporal puede usarsepara autenticar el portal, pero elinicio de sesión de la puerta de

enlace puede fallar porque la mismacontraseña temporal no puede

reutilizarse. Para evitarlo, defina el

Modificador de autenticación en laconfiguración del portal ( Red >GlobalProtect > Portal ) comoAutenticación de cookies paraactualización de configuración para permitir que el agente use unacookie para autenticarse en el portal

y la contraseña temporal paraautenticar la puerta de enlace.

1. Seleccione Dispositivo > Perfil de autenticación y haga clic enAñadir un nuevo perfil.

2. Introduzca un Nombre para el perfil y, a continuación,seleccione el tipo de Autenticación ( LDAP, Kerberos o

RADIUS ).3. Seleccione el Perfil de servidor que creó en el Paso 1.

4. (LDAP AD) Introduzca sAMAccountName como el Atributode inicio de sesión.

5. (LDAP) Defina Aviso de caducidad de contraseña, que indicael número de días con antelación con la que se comunica a los

usuarios la caducidad de la contraseña. Por defecto, a losusuarios se les notificará siete días antes de la caducidad de la

contraseña. Como los usuarios deben cambiar sus contraseñasantes de su caducidad para garantizar un acceso continuado al VPN, asegúrese de que ofrece un periodo de notificación que es

adecuado para su base de usuarios.

6. Haga clic en ACEPTAR.

Paso 3 Guarde la configuración. Haga clic en Confirmar.

Configuración de la autenticación de usuarios externa (Continuación)


30/244




Con la autenticación de certificado del cliente, el agente/aplicación debe presentar un certificado de cliente paraconectarse al portal o puerta de enlace de GlobalProtect. El siguiente flujo de trabajo muestra cómo estableceresta configuración. Para obtener más información, consulte Acerca de la autenticación de usuarios de

GlobalProtect. Para ver una configuración de ejemplo, consulte VPN de acceso remoto (Perfil del certificado).


Paso 1 Emita certificados de cliente paramáquinas/usuarios de GlobalProtect.

El método de emisión de certificados decliente depende del modo en que esté

usando la autenticación de clientes:

• Para autenticar usuarios

individuales: Debe emitir uncertificado de cliente exclusivo para

cada usuario de GlobalProtect eimplementarlos en los sistemas delcliente antes de habilitar

GlobalProtect.

• Para validar que el sistema del

cliente pertenece a su organización:Use su propia infraestructura de clave

pública (PKI) para emitir y distribuircertificados de máquina a cada sistema

de cliente (recomendado) o genere uncertificado de máquina autofirmadopara su exportación. Es un requisito

anterior al inicio de sesión. Esta opción

requiere que configure además unperfil de autenticación para autenticaral usuario. Consulte Autenticación en

dos fases.

• Para validar que un usuario

pertenece a su organización: En estecaso, puede usar un único certificado

de cliente para todos los agentes, o biengenerar certificados separados para

implementarlos con una configuraciónde cliente en particular. Use el

procedimiento de este paso para emitircertificados de cliente autofirmadospara tal fin.

Para emitir certificados exclusivos para clientes o máquinasindividuales, use su CA de empresa o una CA pública. Sin embargo,

si quiere usar certificados de cliente para validar que el usuariopertenece a su organización, genere un certificado de cliente

autofirmado como se especifica a continuación:

1. Cree el certificado de CA raíz para la emisión de certificados

autofirmados de los componentes de GlobalProtect.

2. Seleccione Dispositivo > Gestión de certificados >Certificados > Certificados de dispositivos y, a continuación,

haga clic en Generar.3. Introduzca un nombre de certificado. El nombre de certificado

no puede contener espacios.

4. En el campo Nombre común, introduzca un nombre paraidentificar este certificado como certificado de agente; por

ejemplo, Clientes_Windows_GP. Dado que este mismocertificado se implementará a todos los agentes usando la misma

configuración, no es necesario identificar de forma exclusivausuarios finales o sistemas específicos.

5. (Opcional) En la sección Atributos del certificado, haga clic enAñadir y defina los atributos que identifican a los clientes deGlobalProtect como pertenecientes a su organización si forma

parte de sus requisitos de seguridad.

6. En el campo Firmado por, seleccione su CA raíz.

7. Haga clic en Aceptar para generar el certificado.


31/244



Paso 2 Instale certificados en el almacén decertificados personales de los sistemas

cliente.

Si está usando certificados de usuario o

certificados de máquina exclusivos, cadacertificado debe instalarse en el almacén

de certificados personales del sistemacliente antes de la primera conexión al

portal / puerta de enlace. Instalecertificados de máquina en el almacén de

certificados del equipo local en Windowsy en el llavero del sistema de Mac OS.Instale certificados de usuario en el

almacén de certificados del usuario actualen Windows y en el llavero personal de

Mac OS.

Por ejemplo, para instalar un certificado en un sistema Windows usandoMicrosoft Management Console:

1. Desde la línea de comandos, introduzca mmc para iniciar la consola.

2. Seleccione Archivo > Agregar o quitar complemento.

3. Seleccione Certificados, haga clic en Agregar y, a continuación,seleccione una de las siguientes opciones, dependiendo delcertificado que esté importando:

• Cuenta de equipo: Seleccione esta opción si está importandoun certificado de máquina.

• Mi cuenta de usuario: Seleccione esta opción si estáimportando un certificado de usuario.

4. Expanda Certificados y seleccione Personal. A continuación, enla columna Acciones seleccione Personal > Acciones

adicionales > Todas las tareas > Importar y siga los pasos del Asistente para importación de certificados para importar el archivo

PKCS que ha obtenido de la CA.

5. Desplácese hasta el archivo de certificado .p12 para importar(seleccione Intercambio de información personal como el tipode archivo que busca) e introduzca la contraseña que usó paracifrar la clave privada. Seleccione Personal como el almacén decertificados.

Configuración de la autenticación de certificado de cliente (Continuación)


32/244



Paso 3 Compruebe que se ha añadido elcertificado al almacén de certificados

personales.

Compruebe que el certificado que acaba de instalar está realmenteallí.

Paso 4 Importe el certificado de CA raíz usado

para emitir los certificados de clientesdesde el cortafuegos.

Este paso solo es necesario si loscertificados de clientes fueron emitidos por

una CA externa, como una CA pública ouna CA PKI de empresa. Si usa certificados

autofirmados, el portal / puerta de enlace yaconfía en la CA raíz.

1. Descargue el certificado de CA raíz usado para emitir los

certificados de clientes (formato Base64).2. Importe el certificado de CA raíz desde la CA que generó los

certificados de cliente al cortafuegos:

a. Seleccione Dispositivo > Gestión de certificados >Certificados > Certificados de dispositivos y haga clic enImportar.

b. Introduzca un Nombre de certificado que identifique alcertificado como su certificado de CA de cliente.

c. Seleccione Examinar para desplazarse al Archivo delcertificado que descargó de la CA.

d. Seleccione Certificado codificado en Base64 (PEM) comoFormato de archivo

y, a continuación, haga clic enAceptar

.e. Seleccione el certificado que acaba de importar en la pestaña

Certificados de dispositivos para abrirlo.

f. Seleccione CA raíz de confianza y, a continuación, haga clicen Aceptar.

Paso 5 Cree un perfil de certificado de cliente.

Si está configurando el portal o

puerta de enlace con autenticaciónen dos fases, se usará como nombre

de usuario el nombre de usuario delcertificado de cliente cuando se

autentique al usuario en su serviciode autenticación externo. De estemodo se garantiza que el usuario

que se está registrando es enrealidad el usuario para el que se

emitió el certificado.

1. Seleccione Dispositivo > Certificados > Gestión de certificados> Perfil del certificado, haga clic en Añadir e introduzca unNombre de perfil.

2. Seleccione un valor para el Campo de nombre de usuario paraespecificar qué campo en el certificado contendrá la

información de identidad del usuario.

3. En el campo Certificados de CA, haga clic en Añadir, seleccioneel certificado de CA raíz de confianza que importó en el Paso 4 y, a continuación, haga clic en ACEPTAR.

Paso 6 Guarde la configuración. Haga clic en Confirmar.

Configuración de la autenticación de certificado de cliente (Continuación)


33/244



Configuración de la autenticación en dos fases

Si necesita una autenticación sólida para proteger sus recursos más importantes o para cumplir con requisitosnormativos, como PCI, SDX o HIPAA, configure GlobalProtect para usar un servicio de autenticación que useun esquema de autenticación en dos fases como contraseñas de un solo uso (OTP), tokens, tarjetas inteligentes

o una combinación de autenticación externa y autenticación de certificado de cliente. Un esquema deautenticación en dos fases requiere dos elementos: algo que conozca el usuario final (como un PIN o unacontraseña) y algo que el usuario tenga (hardware o de token/OTP, tarjeta inteligente o certificado).

Las siguientes secciones ofrecen ejemplos de cómo configurar una autenticación en dos fases en GlobalProtect:

Habilitación de la autenticación en dos fases

Habilitación de la autenticación en dos fases mediante contraseñas de un solo uso (OTP)

Habilitación de autenticación en dos fases mediante tarjetas inteligentes


El siguiente flujo de trabajo muestra cómo configurar la autenticación de clientes de GlobalProtect que requiereque el usuario se autentique tanto con un perfil de certificado como con un perfil de autenticación. El usuariodebe autenticarse correctamente usando ambos métodos para poder conectarse al portal/puerta de enlace. Sidesea información más detallada sobre esta configuración, consulte VPN de acceso remoto con autenticaciónde dos factores.


34/244




Paso 1 Cree un perfil de servidor.

El perfil de servidor indica al cortafuegoscómo conectar con un servicio de

autenticación externo y acceder a lascredenciales de autenticación de los

usuarios.

Si está usando LDAP para

conectarse a Active Directory (AD),debe crear un perfil de servidor

LDAP diferente para cada dominiode AD.

1. Seleccione Dispositivo > Perfiles de servidor y seleccione eltipo de perfil ( LDAP, Kerberos o RADIUS ).

2. Haga clic en Añadir e introduzca un Nombre para el perfil,

como GP-User-Auth.3. (Solo LDAP) Seleccione el Tipo de servidor LDAP al que se esté

conectando.

4. Haga clic en Añadir en la sección Servidores e introduzca lainformación requerida para el servicio de autenticación, incluidoel Nombre, Dirección IP (o FQDN) y Puerto del servidor.

5. (Solo RADIUS y LDAP) Especifique la configuración parahabilitar la autenticación del cortafuegos en el servicio deautenticación del siguiente modo:

• RADIUS: Introduzca el Secreto compartido al añadir laentrada del servidor.

• LDAP: Introduzca el valor de Enlazar DN y Enlazar

contraseña.

6. (Solo LDAP y Kerberos) Especifique dónde buscar a losusuarios en el servicio del directorio:

• LDAP: DN de Base especifica el punto en el árbol del LDAPdonde empezar a buscar usuarios y grupos. Este campodebería cumplimentarse automáticamente al introducir el

puerto y la dirección del servidor. De no ser así, compruebela ruta de servicio al servidor LDAP.

• Kerberos: Introduzca el nombre del Dominio de Kerberos.

7. Especifique el nombre del Dominio (sin puntos, por ejemploacme, no acme.com ). Este valor se añadirá al nombre de usuario

en la dirección IP para las asignaciones de usuarios a los ID deusuario.

8. Haga clic en Aceptar para guardar el perfil de servidor.

Paso 2 Cree un perfil de autenticación.

El perfil de autenticación especifica quéperfil de servidor se usa para la

autenticación de usuarios. Puede adjuntarun perfil de autenticación a unaconfiguración de portal o puerta de

enlace.

1. Seleccione Dispositivo > Perfil de autenticación y haga clic enAñadir un nuevo perfil.

2. Introduzca un Nombre para el perfil y, a continuación,seleccione el tipo de Autenticación ( LDAP, Kerberos oRADIUS ).

3. Seleccione el Perfil de servidor que creó en el Paso 1.

4. (LDAP AD) Introduzca sAMAccountName como el Atributode inicio de sesión.

5. Haga clic en ACEPTAR.


35/244


Configuración de la infraes

globalprotect adminguide 61-spanish

Documents