Palo Alto Networks

Gua del administrador de GlobalProtectVersin 6.0

Informacin de contactoSede de la empresa:

Palo Alto Networks

4401 Great America Parkway

Santa Clara, CA 95054

http://www.paloaltonetworks.com/contact/contact/

Acerca de esta gua

Esta gua le explica los procesos de configuracin y mantenimiento de la infraestructura de GlobalProtect. Para obtener ms informacin, consulte los siguientes recursos:

Para obtener informacin sobre funciones adicionales e instrucciones sobre cmo configurar las funciones en el cortafuegos, consulte https://www.paloaltonetworks.com/documentation.

Para acceder a la base de conocimientos, documentacin al completo, foros de debate y vdeos, consulte https://live.paloaltonetworks.com.

Para ponerse en contacto con el equipo de asistencia tcnica, obtener informacin sobre los programas de asistencia tcnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.

Para leer las notas sobre la ltima versin, vaya la pgina de descarga de software en https://support.paloaltonetworks.com/Updates/SoftwareUpdates.

Para enviar sus comentarios sobre la documentacin, dirjase a: documentation@paloaltonetworks.com.

Palo Alto Networks, Inc.www.paloaltonetworks.com 2014 Palo Alto Networks. Todos los derechos reservados.

Palo Alto Networks, PAN-OS y Panorama son marcas comerciales de Palo Alto Networks, Inc. Todas las dems marcas comerciales son propiedad de sus respectivos propietarios.

810-000237-00A ii

Contenido

Descripcin general de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1Acerca de los componentes de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Portal GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2Puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2Cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Gestor de seguridad mvil de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Qu clientes son compatibles? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Acerca de las licencias de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Configuracin de la infraestructura de GlobalProtect. . . . . . . . . . . . . . . . . . . .7Creacin de interfaces y zonas para GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Habilitacin de SSL entre componentes de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Acerca de la implementacin de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Recomendaciones para certificados de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Implementacin de certificados de servidores en los componentes de GlobalProtect . . . . . . . . . . . . . 14

Configuracin de la autenticacin de usuario en GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Acerca de la autenticacin de usuarios de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Configuracin de autenticacin externa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Configuracin de la autenticacin de certificado de cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Configuracin de la autenticacin en dos fases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Habilitacin de la asignacin de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Configuracin de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Configuracin de una puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Configuracin del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Configuracin del acceso al portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Definicin de las configuraciones de clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Personalizacin del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Personalizacin de las pginas de inicio de sesin de portal, bienvenida y ayuda . . . . . . . . . . . . . . . . . 49

Implementacin del software cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Implementacin del software del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Implementacin de la configuracin del agente de forma transparente. . . . . . . . . . . . . . . . . . . . . . . . . 55Descarga e instalacin de la aplicacin mvil de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Configuracin del gestor de seguridad mvil de GlobalProtect . . . . . . . . . . .61Recomendaciones de implementacin del gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Configuracin del acceso de gestin al gestor de seguridad mvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Registro, licencia y actualizacin del gestor de seguridad mvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

Registro del dispositivo GP-100. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Gua del administrador de GlobalProtect iii

Activacin/recuperacin de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Instalacin de las actualizaciones de contenido y software de Panorama . . . . . . . . . . . . . . . . . . . . . . . 68

Configuracin del gestor de seguridad mvil para la gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . 70Configuracin del gestor de seguridad mvil para el registro de dispositivos. . . . . . . . . . . . . . . . . . . . 70Configuracin del gestor de seguridad mvil para la inscripcin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Configuracin del acceso de puerta de enlace al gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . 80Definicin de polticas de implementacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Acerca de la implementacin de la poltica del gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . 83Recomendaciones sobre las polticas del gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Integracin del gestor de seguridad mvil con su directorio LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Definicin de objetos y perfiles HIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Creacin de perfiles de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Creacin de polticas de implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Verificacin de la configuracin del gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Configuracin del acceso administrativo en el gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . 112

Configuracin de la autenticacin administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Creacin de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Gestin de dispositivos mviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119Agrupacin de dispositivos por etiqueta para simplificar la administracin de dispositivos . . . . . . . . . . . 120

Etiquetar dispositivos manualmente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120Preetiquetado de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

Supervisin de dispositivos mviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Administracin de dispositivos remotos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

Interaccin con dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128Reaccin ante la prdida o sustraccin de un dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129Eliminacin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Creacin de polticas de seguridad para aplicacin de trfico de dispositivos mviles. . . . . . . . . . . . . . . . 131

Uso de informacin del host en la aplicacin de polticas. . . . . . . . . . . . . . 133Acerca de la informacin del host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Qu datos recopila el agente? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Cmo usa la puerta de enlace la informacin del host para aplicar las polticas . . . . . . . . . . . . . . . . . 136Cmo pueden saber los usuarios si sus sistemas cumplen los requisitos? . . . . . . . . . . . . . . . . . . . . . 136

Configuracin de la aplicacin de polticas basadas en HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

Configuraciones rpidas de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . 145VPN de acceso remoto (Perfil de autenticacin) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146VPN de acceso remoto (Perfil del certificado) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149VPN de acceso remoto con autenticacin de dos factores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152Configuracin de VPN siempre activada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156VPN de acceso remoto con funcin anterior al inicio de sesin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157Configuracin de varias puertas de enlace de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161GlobalProtect para comprobacin de HIP interna y acceso basado en usuario. . . . . . . . . . . . . . . . . . . . . 165Configuracin de puerta de enlace externa e interna combinada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170iv Gua del administrador de GlobalProtect

Descripcin general de GlobalProtect

Ya se trate de comprobar el correo electrnico desde casa o de actualizar documentos de empresa desde el aeropuerto, la mayora de los empleados de hoy en da trabajan fuera de los lmites fsicos de la empresa. Este aumento de la movilidad de los trabajadores hace crecer la productividad y la flexibilidad al tiempo que introduce riesgos de seguridad significativos. Cada vez que un usuario abandona las instalaciones de la empresa con su porttil o dispositivo mvil, est sorteando el cortafuegos de la empresa y las polticas asociadas diseadas para proteger tanto al usuario como la red. GlobalProtect resuelve los retos planteados por los usuarios itinerantes extendiendo las mismas polticas de ltima generacin basadas en cortafuegos que se aplican a todos los usuarios dentro del permetro fsico de la empresa, independientemente de su ubicacin.

Las siguientes secciones ofrecen informacin conceptual acerca de la oferta de Palo Alto Networks GlobalProtect mediante la descripcin de los componentes de GlobalProtect y las posibles situaciones de implementacin: Acerca de los componentes de GlobalProtect Qu clientes son compatibles? Acerca de las licencias de GlobalProtectGua del administrador de GlobalProtect 1

Acerca de los componentes de GlobalProtect Descripcin general de GlobalProtectAcerca de los componentes de GlobalProtectGlobalProtect ofrece una completa infraestructura para la gestin de su fuerza de trabajo itinerante para garantizar a todos sus usuarios un acceso seguro, independientemente de los dispositivos que usen o de donde se encuentren. Esta infraestructura incluye los siguientes componentes: Portal GlobalProtect Puertas de enlace de GlobalProtect Cliente de GlobalProtect Gestor de seguridad mvil de GlobalProtect

Portal GlobalProtect

El portal GlobalProtect proporciona las funciones de gestin para su infraestructura de GlobalProtect. Todos los sistemas clientes que participan en la red de GlobalProtect reciben informacin de configuracin desde el portal, incluida informacin sobre las puertas de enlace disponibles, as como certificados cliente que pueden ser necesarios para conectarse a las puertas de enlace de GlobalProtect o a su gestor de seguridad mvil. Adems, el portal controla el comportamiento y la distribucin del software del agente de GlobalProtect para los porttiles con Mac y Windows. (En dispositivos mviles, la aplicacin GlobalProtect se distribuye a travs de la App Store de Apple para los dispositivos iOS o mediante Google Play para dispositivos Android.) Si est usando la funcin Perfil de informacin del host (HIP), el portal tambin define qu informacin se recopila desde el host, incluyendo cualquier informacin personalizada que necesite. El portal se configura en una interfaz de cualquier cortafuegos de ltima generacin de Palo Alto Networks.

Puertas de enlace de GlobalProtect

Las puertas de enlace de GlobalProtect permiten aplicar la seguridad al trfico de agentes / aplicaciones de GlobalProtect. Asimismo, si la funcin HIP est habilitada, la puerta de enlace HIP genera un informe a partir de los datos sin procesar del host enviados por los clientes y puede usar dicha informacin para la aplicacin de polticas.

Puertas de enlace externas: Permiten a los usuarios remotos acceder a la red privada virtual (VPN) o aplicar la seguridad.

Puertas de enlace internas: Una interfaz en la red interna configurada como una puerta de enlace de GlobalProtect que permite aplicar la poltica de seguridad para el acceso a recursos internos. Al usarla junto con el ID de usuario o las comprobaciones HIP, una puerta de enlace interna permite ofrecer un mtodo preciso y seguro para identificar y controlar el trfico por usuario o estado del dispositivo. Las puertas de enlace internas son tiles en entornos confidenciales que requieren acceso autenticado a los recursos crticos. Puede configurar una puerta de enlace interna tanto en el modo de tnel como de no tnel.Las puertas de enlace se configuran en una interfaz de cualquier cortafuegos de ltima generacin de Palo Alto Networks. Puede ejecutar tanto una puerta de enlace y un portal en el mismo cortafuegos como mltiples puertas de enlace distribuidas por toda su empresa.2 Gua del administrador de GlobalProtect

Descripcin general de GlobalProtect Acerca de los componentes de GlobalProtect Cliente de GlobalProtect

El software del cliente de GlobalProtect se ejecuta en sistemas de usuarios finales y habilita el acceso a los recursos de su red a travs de los portales y las puertas de enlace de GlobalProtect que ha implementado. Hay dos tipos de clientes de GlobalProtect:

El agente de GlobalProtect: Se ejecuta en sistemas Windows y Mac OS y se implementa desde el portal de GlobalProtect. El comportamiento del agente (p. ej., qu pestaas pueden ver los usuarios, pueden los usuarios desinstalar el agente o no) se determina en la configuracin del cliente que defina en el portal.

La aplicacin de GlobalProtect: Se ejecuta en dispositivos iOS y Android.

Consulte Qu clientes son compatibles? para obtener ms informacin.

El siguiente diagrama ilustra el modo en que los portales, puertas de enlace y agentes / aplicaciones de GlobalProtect se coordinan para ofrecer a todos sus usuarios un acceso seguro, independientemente de los dispositivos que usen o de donde se encuentren.Gua del administrador de GlobalProtect 3

Acerca de los componentes de GlobalProtect Descripcin general de GlobalProtectGestor de seguridad mvil de GlobalProtect

El gestor de seguridad mvil de GlobalProtect ofrece gestin, visibilidad, e implementacin de configuracin automatizada para dispositivos mviles (tanto los de la empresa como del empleado) en su red. Dado que el gestor de seguridad mvil forma parte de la solucin mvil de GlobalProtect, la puerta de enlace de GlobalProtect puede aprovechar la informacin de los dispositivos gestionados y usar la informacin ampliada del host recopilada por el gestor de seguridad mvil para ofrecer a los dispositivos gestionados una aplicacin mejorada de las polticas de seguridad. Las puertas de enlace recuperan los perfiles HIP extendidos del gestor de seguridad mvil y usan la informacin para aplicar polticas de seguridad para los dispositivos que se conectan a su red.

Las polticas de implementacin que crea en el gestor de seguridad mvil ofrecen aprovisionamiento de cuentas simplificado para que los usuarios de dispositivos mviles puedan acceder a las aplicaciones de la empresa (tales como las configuraciones VPN y correo electrnico). Tambin puede realizar ciertas acciones, tales como bloquear el dispositivo, hacer que emita una alarma para ayudar a localizarlo o incluso borrarlo si duda de la seguridad del mismo.

Para comunicarse con un dispositivo, el gestor de seguridad mvil enva una notificacin push mediante OTA. En el caso de dispositivos iOS, enva notificaciones push mediante el servicio Notificaciones Push de Apple (APN) y en el de dispositivos Android las enva mediante Mensajera de Google Cloud (GCM). Cuando un dispositivo recibe una notificacin push, la comprueba estableciendo una conexin HTTPS con la interfaz de comprobacin del dispositivo en el gestor de seguridad mvil.

Cuando un dispositivo se registra en el gestor de seguridad mvil, enva informacin del host que incluye informacin adicional adems de la recopilada por la puerta de enlace de GlobalProtect, incluyendo una lista de todas las aplicaciones instaladas, la ubicacin del dispositivo en el momento del registro (se puede deshabilitar), si el dispositivo tiene un cdigo de acceso establecido o si est modificado o desbloqueado. Adems, si el gestor de seguridad mvil tiene una suscripcin WildFire, puede detectar si un dispositivo contiene software malintencionado (solo dispositivos Android).

Al aprovechar los datos HIP extendidos que recopila el gestor de seguridad mvil, puede crear una poltica de seguridad muy granular para usuarios de dispositivos mviles en sus puertas de enlace de GlobalProtect.4 Gua del administrador de GlobalProtect

Descripcin general de GlobalProtect Qu clientes son compatibles? Qu clientes son compatibles?En la siguiente tabla se resume la compatibilidad con GlobalProtect de los siguientes dispositivos de sobremesa, porttiles y mviles, as como las versiones mnimas de agentes / aplicaciones GlobalProtect y PAN-OS necesarias para la compatibilidad:

Versiones de clientes de OS compatibles Versin mnima de agente / aplicacin

Versin mnima de PAN-OS

Apple Mac OS 10.6Apple Mac OS 10.7Apple Mac OS 10.8Apple Mac OS 10.9

1.11.11.1.61.2

4.1.0 o posterior

Windows XP (32 bits) Windows Vista (32 bits y 64 bits)Windows 7 (32 bits y 64 bits)Windows 8 (32 bits y 64 bits)Windows 8.1 (32 bits y 64 bits)Windows Surface Pro

1.01.01.01.21.21.2

4.0 o posterior

Apple iOS 6.0 o posterior* App 1.3 4.1.0 o posterior

Google Android 4.0.3 o posterior* App 1.3 4.1.6 o posterior

Clientes IPsec de X-Auth de terceros: VPNC en Ubuntu Linux 10.04 y CentOS 6 Cliente IPsec integrado en iOS

Cliente IPsec integrado en Android

N/D 5.0 o posterior

* La app 2.0 es necesaria para que un dispositivo pueda ser gestionado por el gestor de seguridad mvil de GlobalProtect y el cortafuegos debe ejecutar PAN-OS 6.0.Gua del administrador de GlobalProtect 5

Acerca de las licencias de GlobalProtect Descripcin general de GlobalProtectAcerca de las licencias de GlobalProtectSi tan solo quiere usar GlobalProtect para proporcionar una solucin de red privada virtual (VPN), segura o de acceso remoto a travs de una nica puerta de enlace externa, no necesita licencia de GlobalProtect. Sin embargo, para usar algunas de las funciones ms avanzadas, como mltiples puertas de enlace, aplicaciones mviles, gestin de seguridad mvil, comprobaciones de informacin del host o puertas de enlace internas, puede que necesite adquirir una o ms de las siguientes licencias:

Licencia de portal: Una licencia perpetua que debe instalarse una nica vez en el cortafuegos que ejecute el portal para habilitar la compatibilidad con la puerta de enlace interna, mltiples puertas de enlace (internas o externas) o comprobaciones HIP.

Suscripcin de puerta de enlace: Una suscripcin anual que habilita las comprobaciones de HIP y las actualizaciones de contenido asociadas. Esta licencia debe instalarse en cada cortafuegos que contenga puertas de enlace que realicen comprobaciones HIP. Asimismo, la licencia de puerta de enlace habilita la compatibilidad con aplicaciones mviles de GlobalProtect para iOS y Android.

Licencia del gestor de seguridad mvil de GlobalProtect en el dispositivo GP-100: Una licencia perpetua de instalacin nica para el gestor de seguridad mvil basada en el nmero de dispositivos mviles que se van a gestionar. Esta licencia solo es necesaria si pretende gestionar ms de 500 dispositivos mviles. Hay disponibles licencias perpetuas para 1000, 2000, 5000, 10 000, 25 000, 50 000 o 100 000 dispositivos mviles.

Suscripcin a WildFire en el gestor de seguridad mvil de GlobalProtect para el dispositivo GP-100: Usada junto con el gestor de seguridad mvil de GlobalProtect para la deteccin de software malintencionado APK en los dispositivos Android gestionados. Para habilitar el uso de deteccin de software malintencionado con el gestor de seguridad mvil de GlobalProtect, debe adquirir una suscripcin a WildFire que se corresponda con la capacidad de la licencia del gestor de seguridad mvil de GlobalProtect.

Funcin: Requisitos de licencia del cortafuegos

Requisitos de licencia del gestor de seguridad mvil

Licencia de portal

Suscripcin de puerta de enlace

Licencia de capacidad del gestor de seguridad mvil

Suscripcin a WildFire

Puerta de enlace nica externa (Windows y Mac)

Una o varias puertas de enlace internas

Varias puertas de enlace externas

Comprobaciones HIP

Aplicacin mvil para iOS o Android

Gestor de seguridad mvil (requiere aplicacin mvil de GlobalProtect para iOS o Android)

Deteccin de software malintencionado APK Android del gestor de seguridad mvil

6 Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect

Para que GlobalProtect funcione, debe configurar la infraestructura bsica que permite que todos los componentes se comuniquen. Bsicamente, esto implica configurar las interfaces y zonas que a las que se conectarn los usuarios finales de GlobalProtect para acceder al portal y las puertas de enlace. Puesto que los componentes de GlobalProtect se comunican a travs de canales seguros, debe adquirir e implementar todos los certificados SSL necesarios de los distintos componentes. Las siguientes secciones le guiarn a travs de los pasos bsicos para configurar la infraestructura de GlobalProtect: Creacin de interfaces y zonas para GlobalProtect Habilitacin de SSL entre componentes de GlobalProtect Configuracin de la autenticacin de usuario en GlobalProtect Habilitacin de la asignacin de grupo Configuracin de las puertas de enlace de GlobalProtect Configuracin del portal de GlobalProtect Implementacin del software cliente de GlobalProtectGua del administrador de GlobalProtect 7

Creacin de interfaces y zonas para GlobalProtect Configuracin de la infraestructura de GlobalProtectCreacin de interfaces y zonas para GlobalProtectDebe configurar las siguientes interfaces y zonas para la infraestructura de GlobalProtect:

Portal de GlobalProtect: Requiere una interfaz de bucle o capa 3 para que se conecten los clientes de GlobalProtect. Si el portal y la puerta de enlace se encuentran en el mismo cortafuegos, pueden usar la misma interfaz. El portal debe estar en una zona accesible desde fuera de su red, por ejemplo: no fiable.

Puertas de enlace de GlobalProtect: Los requisitos de interfaz y zona para la puerta de enlace dependen de si est configurando una puerta de enlace externa o una puerta de enlace interna, como se indica a continuacin: Puertas de enlace externas: Requieren una interfaz de bucle o capa 3 y una interfaz de tnel lgica para

que el cliente se conecte con el fin de establecer un tnel VPN. La interfaz de bucle / capa 3 debe encontrarse en una zona externa, como no fiable. La interfaz de tnel puede estar en la misma zona que la interfaz que se conecta a sus recursos internos, por ejemplo, fiable, o bien, para mejorar la seguridad y la visibilidad, puede crear una zona separada, como corp-vpn. Si crea una zona separada para su interfaz de tnel, necesitar crear polticas de seguridad que habiliten el flujo del trfico entre la zona VPN y la zona fiable.

Puertas de enlace internas: Requiere una interfaz de bucle o de capa 3 en su zona fiable. Tambin puede crear una interfaz de tnel para acceder a sus puertas de enlace internas, pero no es necesario.

Si desea ms informacin sobre portales y puertas de enlace, consulte Acerca de los componentes de GlobalProtect.

Puede encontrar consejos sobre el uso de la interfaz de bucle para proporcionar acceso a GlobalProtect a travs de diferentes puertos y direcciones en Can GlobalProtect Portal Page be Configured to be Accessed on any Port? (Se puede configurar la pgina del portal de GlobalProtect para acceder desde cualquier dispositivo?)

Configuracin de interfaces y zonas para GlobalProtect

Paso 1 Configure una interfaz de capa 3 para cada portal o puerta de enlace que pretenda implementar.

Nota Si la puerta de enlace y el portal se encuentran en el mismo cortafuegos, puede usar una sola interfaz para ambos.

Nota Se recomienda usar direcciones IP estticas para el portal y la puerta de enlace.

1. Seleccione Red > Interfaces > Ethernet o Red > Interfaces > Bucle invertido y, a continuacin, seleccione la interfaz que quiere configurar para GlobalProtect. En este ejemplo, estamos configurando ethernet1/1 como la interfaz del portal.

2. (Solo Ethernet) Seleccione Capa3 en el men desplegable Tipo de interfaz.

3. En la pestaa Configurar, seleccione la zona a la que pertenece la interfaz del portal o la puerta de enlace, como se indica a continuacin: Coloque los portales y las puertas de enlace externas en una zona

no fiable para acceder mediante hosts desde fuera de su red, como l3-nofiable.

Coloque puertas de enlace internas en una zona interna, como l3-fiable.

Si an no ha creado la zona, seleccione Nueva zona desde el men desplegable Zona de seguridad. En el cuadro de dilogo Zona, defina un Nombre para una nueva zona y, a continuacin, haga clic en ACEPTAR.

4. En el men desplegable Enrutador virtual, seleccione predeterminado.

5. Para asignar una direccin IP a la interfaz, seleccione la pestaa IPv4, haga clic en Aadir en la seccin IP e introduzca la direccin IP y la mscara de red para asignarlas a la interfaz, por ejemplo: 208.80.56.100/24.

6. Para guardar la configuracin de la interfaz, haga clic en ACEPTAR.8 Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect Creacin de interfaces y zonas para GlobalProtect Paso 2 En los cortafuegos donde se alojen puertas de enlace de GlobalProtect, configure la interfaz de tnel lgica que finalizar los tneles VPN establecidos por los agentes de GlobalProtect.

Nota No se requieren direcciones IP en la interfaz de tnel a menos que requiera enrutamiento dinmico. Adems, asignar una direccin IP a la interfaz de tnel puede resultar til para solucionar problemas de conexin.

Nota Asegrese de habilitar ID de usuario en la zona donde finalizan los tneles VPN.

1. Seleccione Red > Interfaces > Tnel y haga clic en Aadir.2. En el campo Nombre de interfaz, especifique un sufijo

numrico, como.2.3. En la pestaa Configurar, ample el men desplegable Zona de

seguridad para definir la zona del siguiente modo: Para usar una zona fiable como punto de finalizacin del

tnel, seleccione la zona del men desplegable.

(Recomendado) Si quiere crear una zona separada para la finalizacin del tnel VPN, haga clic en Nueva zona. En el cuadro de dilogo Zona, defina un Nombre para la nueva zona (por ejemplo, vpn-corp), seleccione la casilla de verificacin Habilitar identificacin de usuarios y, a continuacin, haga clic en ACEPTAR.

4. En el men desplegable Enrutador virtual, seleccione predeterminado.

5. (Opcional) Si quiere asignar una direccin IP a la interfaz de tnel, seleccione la pestaa IPv4, haga clic en Aadir en la seccin IP e introduzca la direccin IP y la mscara de red para asignarlas a la interfaz, por ejemplo: 10.31.32.1/32.

6. Para guardar la configuracin de la interfaz, haga clic en Aceptar.

Paso 3 Si ha creado una zona separada para la finalizacin del tnel de las conexiones VPN, cree una poltica de seguridad para habilitar el flujo de trfico entre la zona VPN y su zona fiable. Por ejemplo, la siguiente regla de poltica habilita el trfico entre la zona corp-vpn y la zona l3-fiable.

Paso 4 Guarde la configuracin.Nota Si ha habilitado el acceso de gestin a

la interfaz donde se aloja el portal, debe aadir :4443 a la URL. Por ejemplo, para acceder a la interfaz web del portal configurado en este ejemplo, debera introducir lo siguiente:https://208.80.56.100:4443

O bien, si ha configurado un registro DNS para FQDN, como gp.acme.com, debera introducir:https://gp.acme.com:4443

Haga clic en Compilar.

Configuracin de interfaces y zonas para GlobalProtect (Continuacin)Gua del administrador de GlobalProtect 9

Habilitacin de SSL entre componentes de GlobalProtect Configuracin de la infraestructura de GlobalProtectHabilitacin de SSL entre componentes de GlobalProtectToda la interaccin entre los componentes de GlobalProtect se realiza a travs de una conexin SSL. Por lo tanto, debe generar o instalar los certificados necesarios antes de configurar cada componente, de modo que pueda hacer referencia a los certificados adecuados en las configuraciones. En las siguientes secciones se describen los mtodos compatibles de implementacin de certificados, las descripciones y las directrices de recomendaciones para los diversos certificados de GlobalProtect, adems de ofrecer instrucciones para la generacin e implementacin de los certificados necesarios. Acerca de la implementacin de certificados Recomendaciones para certificados de GlobalProtect Implementacin de certificados de servidores en los componentes de GlobalProtect

Acerca de la implementacin de certificados

Hay tres mtodos bsicos para implementar certificados para GlobalProtect:

(Recomendado) Combinacin de certificados de terceros y certificados autofirmados: Puesto que los clientes finales accedern al portal antes de la configuracin de GlobalProtect, el cliente debe confiar en el certificado para establecer una conexin HTTPS. Del mismo modo, si est usando el gestor de seguridad mvil de GlobalProtect, ocurre lo mismo con los dispositivos mviles que acceden al gestor de seguridad mvil para su inscripcin. Por lo tanto, el mtodo recomendado consiste en adquirir el certificado de servidor del portal y el certificado de servidor para la interfaz de registro del dispositivo del gestor de seguridad mvil desde un certificado de CA fiable en el que ya confen la mayora de clientes finales con el fin de prevenir errores de certificado. Una vez conectado correctamente, el portal puede enviar cualquier otro certificado requerido (por ejemplo, el certificado de CA raz para la puerta de enlace) al cliente final.

Autoridad de certificacin empresarial: Si ya cuenta con su propia autoridad de certificacin empresarial, puede usar esta CA interna para emitir certificados de cada uno de los componentes de GlobalProtect y, a continuacin, importarlos desde los cortafuegos donde se alojan su portal y sus puertas de enlace y desde el gestor de seguridad mvil. En este caso, debe asegurarse de que los dispositivos mviles o sistemas del usuario final confen en el certificado de CA raz usado para emitir los certificados para los servicios de GlobalProtect a los que deben conectarse.

Certificados autofirmados: Puede generar un certificado de CA autofirmado en el portal y usarlo para emitir certificados de todos los componentes de GlobalProtect. Sin embargo, esta solucin es menos segura que otras opciones y, por lo tanto, no se recomienda. Si aun as elige esta opcin, los usuarios finales vern un error de certificado la primera vez que se conecten al portal. Para evitar esto, puede implementar manualmente un certificado de CA raz autofirmado para todos los sistemas de usuarios finales o usar algn tipo de implementacin centralizada, como un objeto de directiva de grupo (GPO) de Active Directory.10 Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect Habilitacin de SSL entre componentes de GlobalProtect Recomendaciones para certificados de GlobalProtect

En la siguiente tabla se resumen los certificados SSL que necesitar dependiendo de las funciones que pretenda usar:

Tabla: Requisitos de certificados para GlobalProtect

Certificado Uso Proceso de emisin / Recomendaciones

Certificado de CA Usado para firmar certificados emitidos para los componentes de GlobalProtect.

Si pretende usar certificados autofirmados, es recomendable generar un certificado de CA en el portal y, a continuacin, usar dicho certificado para emitir los certificados necesarios para GlobalProtect.

Certificado de servidor del portal

Habilita a los agentes / aplicaciones de GlobalProtect para que establezcan una conexin HTTPS con el portal.El campo de nombre comn (CN) y, si es aplicable, de nombre alternativo del asunto (SAN) del certificado deben coincidir exactamente con la direccin IP o con el nombre de dominio completo (FQDN) de la interfaz donde est alojado el portal.

Se recomienda usar un certificado emitido por una CA externa conocida. Es la opcin ms segura y garantiza que los clientes finales puedan establecer una relacin de confianza con el portal sin necesidad de que implemente el certificado de CA raz.

Si no usa una CA pblica conocida, debera exportar el certificado de CA raz usado para generar el certificado de servidor del portal a todos los sistemas cliente que usen GlobalProtect con el fin de evitar que los usuarios finales vean advertencias de certificados durante la conexin inicial al portal.

Si est implementando un portal y una nica puerta de enlace en la misma interfaz / direccin IP para un acceso bsico a VPN, debe usar un certificado de servidor nico para ambos componentes.

Certificado de servidor de la puerta de enlace

Habilita a los agentes / aplicaciones de GlobalProtect para que establezcan una conexin HTTPS con el portal.El campo de nombre comn (CN) y, si es aplicable, de nombre alternativo del asunto (SAN) del certificado deben coincidir exactamente con el FQDN o la direccin IP de la interfaz donde pretende configurar la puerta de enlace.

Cada puerta de enlace debe tener su propio certificado de servidor.

Se recomienda generar un certificado de CA en el portal y usar dicho certificado para generar todos los certificados de puertas de enlace.

El portal puede distribuir el certificado de CA raz de la puerta de enlace a todos los agentes en la configuracin del cliente, de modo que no sea necesario que una CA pblica emita todos los certificados de puerta de enlace.

Si est implementando un portal y una nica puerta de enlace en la misma interfaz / direccin IP para un acceso bsico a VPN, debe usar un certificado de servidor nico para ambos componentes. Se recomienda usar un certificado emitido por una CA pblica.Gua del administrador de GlobalProtect 11

Habilitacin de SSL entre componentes de GlobalProtect Configuracin de la infraestructura de GlobalProtect(Opcional) Certificado de cliente

Sirve para habilitar la autenticacin mutua entre los agentes de GlobalProtect y las puertas de enlace o el portal. Adems de habilitar la autenticacin mutua al establecer una sesin HTTPS entre el cliente y el portal / puerta de enlace, tambin puede usar certificados de cliente para autenticar a usuarios finales.

Para simplificar la implementacin de certificados de cliente, configure el portal para que implemente el certificado de cliente a los agentes al realizarse correctamente el inicio de sesin. En esta configuracin, todos los agentes de GlobalProtect que usen la misma configuracin comparten un nico certificado de cliente; el objetivo de este certificado es asegurarse de que solo los clientes de su organizacin tengan permiso para conectarse.

Puede usar otros mecanismos para implementar certificados de clientes exclusivos para cada sistema de cliente que se usarn en la autenticacin del usuario final.

Tal vez deba probar su configuracin primero sin el certificado de cliente y, a continuacin, aadir el certificado del cliente cuando est seguro de que el resto de ajustes de la configuracin son correctos.

(Opcional) Certificado de mquina

Garantiza que solo se puedan conectar a GlobalProtect los equipos fiables. Adems, los certificados de mquina son necesarios para el uso del mtodo de conexin anterior al inicio de sesin, lo que permite el establecimiento de tneles VPN antes de que el usuario inicie sesin.

Si pretende usar la funcin anterior al inicio de sesin, debe utilizar su propia infraestructura PKI para implementar los certificados de mquina en cada sistema de cliente antes de habilitar el acceso a GlobalProtect. Para obtener ms informacin, consulte VPN de acceso remoto con funcin anterior al inicio de sesin.

Certificados de servidor del gestor de seguridad mvil

Permite a los dispositivos mviles establecer sesiones HTTPS con el gestor de seguridad mvil para su inscripcin o registro.

Permite a las puertas de enlace conectarse al gestor de seguridad mvil para recuperar informes HIP para los dispositivos mviles gestionados.

El campo de nombre comn (CN) y, si es aplicable, de nombre alternativo del asunto (SAN) del certificado deben coincidir exactamente con la direccin IP o con el nombre de dominio completo (FQDN) de la interfaz.

Puesto que los dispositivos deben confiar en el gestor de seguridad mvil para inscribirse, se recomienda adquirir un certificado para la interfaz de registro del dispositivo del gestor de seguridad mvil desde una CA fiable y conocida. Si no utiliza una CA fiable para emitir certificados de la interfaz de registro del dispositivo del gestor de seguridad mvil, tendr que implementar el certificado de CA raz del gestor de seguridad mvil para dispositivos mviles a travs de la configuracin del portal (a fin de habilitar el dispositivo para que establezca una conexin SSL con el gestor de seguridad mvil para su inscripcin).

Si la interfaz de registro del dispositivo est en una interfaz diferente a la que se conectan las puertas de enlace para la recuperacin de HIP, necesitar certificados de servidor separados para cada interfaz.

Si desea informacin detallada, consulte Configuracin del gestor de seguridad mvil de GlobalProtect.

Certificado Uso Proceso de emisin / Recomendaciones12 Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect Habilitacin de SSL entre componentes de GlobalProtect Certificado de gestor de seguridad mvil del servicio Notificaciones Push de Apple (APN)

Permite que el gestor de seguridad mvil enve notificaciones push a los dispositivos iOS gestionados.

Debe generar una solicitud de firma de certificado (CSR) para este certificado en el gestor de seguridad mvil y, a continuacin, enviarlo al portal de perfiles de datos de iOS de Apple (requiere inicio de sesin) para la firma.

Apple solo admite CSR firmados mediante SHA 1 Message Digest y claves de 2048 bits.

Consulte Configuracin del gestor de seguridad mvil para el registro de dispositivos para obtener informacin detallada sobre cmo realizar esta configuracin.

Certificados de identidad

Habilitan el gestor de seguridad mvil y, opcionalmente, la puerta de enlace para establecer sesiones SSL mutuamente autenticadas con dispositivos mviles.

El gestor de seguridad mvil gestiona la implementacin de certificados de identidad para los dispositivos que gestiona. Consulte Configuracin del gestor de seguridad mvil para la inscripcin para obtener informacin detallada sobre cmo realizar esta configuracin.

Certificado Uso Proceso de emisin / RecomendacionesGua del administrador de GlobalProtect 13

Habilitacin de SSL entre componentes de GlobalProtect Configuracin de la infraestructura de GlobalProtectImplementacin de certificados de servidores en los componentes de GlobalProtect

El siguiente flujo de trabajo muestra los pasos recomendados para implementar certificados SSL en los componentes de GlobalProtect:

Implementacin de certificados de servidores SSL en los componentes de GlobalProtect

Importe un certificado de servidor desde una CA externa conocida.

Recomendacin:Use un certificado de servidor de una CA externa conocida para el portal de GlobalProtect y el gestor de seguridad mvil. De este modo puede asegurarse de que los clientes finales podrn establecer una conexin HTTPS sin recibir advertencias de certificado.

Nota El campo de nombre comn (CN) y, si es aplicable, de nombre alternativo del asunto (SAN) del certificado deben coincidir exactamente con el nombre de dominio completo (FQDN) o la direccin IP de la interfaz donde pretende configurar el portal o la interfaz de registro del dispositivo en el gestor de seguridad mvil. Admite coincidencias con comodines.

Para importar un certificado y una clave desde una CA pblica, asegrese de que se puede acceder a los archivos de clave y certificado desde su sistema de gestin y de que tiene la frase de contrasea para descifrar la clave privada. A continuacin, siga estos pasos:1. Seleccione Configuracin > Gestin de certificados >

Certificados > Certificados de dispositivos.2. Haga clic en Importar e introduzca un nombre de certificado.3. Introduzca la ruta y el nombre en el Archivo de certificado que

recibi de la CA o seleccione Examinar para buscar el archivo.4. Seleccione Clave privada cifrada y certificado (PKCS12) como

Formato de archivo.5. Seleccione la casilla de verificacin Importar clave privada.6. Introduzca la ruta y el nombre en el archivo PKCS#12

en el campo Archivo de clave o seleccione Examinar para encontrarla.

7. Vuelva a introducir la frase de contrasea que se us para cifrar la clave privada y despus haga clic en ACEPTAR para importar el certificado y la clave.

Cree el certificado de CA raz para la emisin de certificados autofirmados de los componentes de GlobalProtect.

Recomendacin:Cree el certificado de CA raz en el portal y selo para emitir certificados de servidor para puertas de enlace y, de manera opcional, clientes.

Para usar certificados autofirmados, primero debe crear un certificado de CA raz que servir para firmar los certificados de componentes de GlobalProtect del siguiente modo:1. Para crear un certificado de CA raz, seleccione Dispositivo >

Gestin de certificados > Certificados > Certificados de dispositivos y, a continuacin, haga clic en Generar.

2. Introduzca un nombre de certificado, como GlobalProtect_CA. El nombre de certificado no puede puede contener espacios.

3. No seleccione ningn valor en el campo Firmado por (esto es lo que indica que est autofirmado).

4. Seleccione la casilla de verificacin Autoridad del certificado y, a continuacin, haga clic en Aceptar para generar el certificado.14 Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect Habilitacin de SSL entre componentes de GlobalProtect Genere un nuevo certificado de servidor autofirmado.

Recomendacin:Use la CA raz en el portal para generar certificados de servidor para cada puerta de enlace que pretende implementar y, de manera opcional, para la interfaz de gestin del gestor de seguridad mvil (si esta es la interfaz que usarn las puertas de enlace para recuperar los informes HIP).

Nota En los certificados de servidor de la puerta de enlace, los valores en los campos Nombre comn (CN) y Nombre alternativo del asunto (SAN) en el certificado deben ser idnticos. De lo contrario, el agente de GlobalProtect detectar la discrepancia al comprobar la cadena de confianza del certificado y no confiar en el certificado. Los certificados autofirmados solo contendrn un campo SAN si aade un atributo de certificado Nombre de host.

1. Seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos y, a continuacin, haga clic en Generar.

2. Introduzca un nombre de certificado. El nombre de certificado no puede puede contener espacios.

3. Introduzca el FQDN (recomendado) o la direccin IP de la interfaz donde pretende configurar la puerta de enlace en el campo Nombre comn.

4. En el campo Firmado por, seleccione GlobalProtect_CA, que cre en el paso anterior.

5. En la seccin Atributos del certificado, haga clic en Aadir y defina los atributos para identificar de forma exclusiva la puerta de enlace. Tenga en cuenta que si aade un atributo Nombre de host (que cumplimenta el campo SAN del certificado), debe coincidir exactamente con el valor que haya definido en el campo Nombre comn.

6. Haga clic en Aceptar para generar el certificado.7. Compile sus cambios.

Implemente los certificados de servidor autofirmados.

Recomendaciones: Exporte los certificados de servidor

autofirmados emitidos por la CA raz al portal e imprtelos desde las puertas de enlace.

Asegrese de emitir un nico certificado de servidor para cada puerta de enlace.

Al usar certificados autofirmados, debe distribuir el certificado de CA raz a los clientes finales en las configuraciones de clientes del portal.

1. En el portal, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos, seleccione el certificado de puerta de enlace que quiere implementar y haga clic en Exportar.

2. Seleccione Clave privada cifrada y certificado (PKCS12) en el men desplegable Formato de archivo.

3. Introduzca dos veces una frase de contrasea para cifrar la clave privada y, a continuacin, haga clic en ACEPTAR para descargar el archivo PKCS12 en su ordenador.

4. En la puerta de enlace, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivo y haga clic en Importar.

5. Introduzca un nombre de certificado.6. Introduzca la ruta y el nombre en el archivo de certificado que

acaba de descargar del portal o seleccione Examinar para buscar el archivo.

7. Seleccione Clave privada cifrada y certificado (PKCS12) como Formato de archivo.

8. Introduzca la ruta y nombre en el archivo PKCS#12 en el campo Archivo de clave o seleccione Examinar para encontrarla.

9. Vuelva a introducir la frase de contrasea que se us para cifrar la clave privada y despus haga clic en ACEPTAR para importar el certificado y la clave.

10. Compilar los cambios en la puerta de enlace.

Implementacin de certificados de servidores SSL en los componentes de GlobalProtect (Continuacin)Gua del administrador de GlobalProtect 15

Configuracin de la autenticacin de usuario en GlobalProtect Configuracin de la infraestructura de GlobalProtectConfiguracin de la autenticacin de usuario en GlobalProtectEl portal y la puerta de enlace requieren las credenciales autenticacin del usuario final antes de que permitir al agente / aplicacin de GlobalProtect acceder a los recursos de GlobalProtect. Puesto que el portal y la puerta de enlace le piden que especifique qu mecanismos de autenticacin se usarn, debe configurar la autenticacin antes de continuar con la configuracin del portal y la puerta de enlace. En las siguientes secciones se detallan los mecanismos de autenticacin admitidos y el modo de configurarlos: Acerca de la autenticacin de usuarios de GlobalProtect Configuracin de autenticacin externa Configuracin de la autenticacin de certificado de cliente Configuracin de la autenticacin en dos fases

Acerca de la autenticacin de usuarios de GlobalProtect

La primera vez que un agente / aplicacin de GlobalProtect se conecta al portal, se solicita al usuario que se autentique en el portal para poder descargar la configuracin de GlobalProtect, que incluye una lista de puertas de enlace a las que se puede conectar el agente, la ubicacin del gestor de seguridad mvil y, de manera opcional, un certificado de cliente para conectarse a las puertas de enlace. Cuando se haya descargado correctamente la configuracin y se haya guardado en cach, el agente / aplicacin trata de conectarse a una de las puertas de enlace especificadas en la configuracin o al gestor de seguridad mvil. Puesto que estos componentes ofrecen acceso a sus recursos y configuraciones de red, tambin requieren la autenticacin del usuario final.

El nivel de seguridad requerido en el portal, en el gestor de seguridad mvil y en las puertas de enlace (e incluso de una puerta de enlace a otra) vara en funcin de la confidencialidad de los recursos que cada uno protege; GlobalProtect ofrece un marco de autenticacin flexible que le permite elegir el perfil de autenticacin o el perfil de certificado adecuado para cada componente.

Las siguientes secciones describen las funciones de autenticacin disponibles en el portal y la puerta de enlace. Para obtener informacin detallada acerca de la configuracin de la autenticacin, consulte Configuracin del gestor de seguridad mvil para la inscripcin.16 Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect Configuracin de la autenticacin de usuario en GlobalProtect

Mtodos de autenticacin de GlobalProtect admitidosGlobalProtect es compatible con los siguientes mtodos de autenticacin:

Mtodo de autenticacin Descripcin

Autenticacin local Tanto las credenciales de cuenta de usuario como los mecanismos de autenticacin se encuentran en el cortafuegos. Este mecanismo de autenticacin no es adaptable, ya que requiere una cuenta para cada usuario final de GlobalProtect y, por lo tanto, solo se recomienda para implementaciones muy pequeas. Para obtener instrucciones sobre cmo crear cuentas de usuarios locales, consulte la gua de inicio de PAN-OS.

Autenticacin externa Las funciones de autenticacin de usuarios se externalizan a un servicio LDAP, Kerberos o RADIUS existente (incluyendo la compatibilidad con mecanismos de autenticacin en dos fases basada en token, tales como la autenticacin OTP [contrasea de un solo uso]). Para habilitar la autenticacin externa, primero debe crear un perfil de servidor que defina la configuracin de acceso al servicio de autenticacin externa y, a continuacin, crear un perfil de autenticacin que haga referencia al perfil de servidor. Entonces tendr que hacer referencia al perfil de autenticacin en la configuracin del portal, la puerta de enlace o el gestor de seguridad mvil. Puede usar diferentes perfiles de autenticacin para cada componente de GlobalProtect. Consulte un ejemplo de configuracin en VPN de acceso remoto (Perfil de autenticacin).

Autenticacin de certificacin de cliente

El portal o la puerta de enlace usan un certificado de cliente para obtener el nombre de usuario y autenticar al usuario antes de permitirle acceder al sistema. Con este tipo de autenticacin, debe emitir un certificado de cliente para cada usuario final; los certificados que emita deben contener el nombre de usuario en uno de los campos del certificado, como el campo Nombre de asunto. Si se ha configurado el perfil del certificado en el portal de GlobalProtect, el cliente debe presentar un certificado para conectarse. Esto significa que los certificados deben implantarse previamente en clientes finales antes de su conexin inicial al portal.Adems, el perfil del certificado especifica el campo del certificado del que obtener el nombre de usuario. Si el perfil del certificado especifica Asunto en Campo nombre de usuario, el certificado presentado por el cliente debe contener un nombre comn para poder conectarse. Si el perfil del certificado especifica un Asunto alternativo con un Correo electrnico o Nombre principal como Campo de nombre de usuario, el certificado presentado por el cliente debe contener los campos correspondientes, que se usarn como nombre de usuario cuando el agente de GlobalProtect se autentique en el portal o la puerta de enlace.GlobalProtect tambin es compatible con una tarjeta de acceso comn (CAC) y autenticacin con tarjetas inteligentes, que se basan en un perfil del certificado. En este caso, el perfil del certificado debe contener el certificado de CA raz que emiti el certificado en la tarjeta inteligente/CAC. Si usa la autenticacin de certificado de cliente, no debera configurar un certificado de cliente en la configuracin del portal, ya que lo proporcionar el sistema del cliente cuando se conecte el usuario final. En VPN de acceso remoto (Perfil del certificado) puede ver un ejemplo de cmo configurar una autenticacin de certificado de cliente.Gua del administrador de GlobalProtect 17

Configuracin de la autenticacin de usuario en GlobalProtect Configuracin de la infraestructura de GlobalProtectCmo sabe el agente qu credenciales proporcionar al portal y la puerta de enlace?

Por defecto, el agente de GlobalProtect intenta usar las mismas credenciales de inicio de sesin para la puerta de enlace y el portal. En el caso ms sencillo, si la puerta de enlace y el portal usan el mismo perfil de autenticacin o perfil de certificado, el agente se conectar a la puerta de enlace de forma transparente. Sin embargo, si el portal y la puerta de enlace requieren credenciales diferentes (tales como OTP exclusivas), este comportamiento predeterminado provocara retrasos en la conexin a la puerta de enlace porque esta no avisara al usuario para que se autenticase hasta que hubiera intentado autenticarse sin xito mediante las credenciales proporcionadas por el agente.

Hay dos opciones para modificar el comportamiento de la autenticacin predeterminada del agente en una configuracin basada en el cliente:

Autenticacin de cookies en el portal: El agente usa cookies cifradas para la autenticacin en el portal al actualizar una configuracin que se ha almacenado previamente en cach (se solicitar la autenticacin del usuario siempre que se trate de la configuracin inicial o al expirar una cookie). De este modo se simplifica el proceso de autenticacin para usuarios finales, puesto que ya no tendrn que iniciar sesin sucesivamente tanto en el portal como en la puerta de enlace o introducir varias OTP para autenticarse en ambas.

Deshabilitacin del reenvo de credenciales a algunas o todas las puertas de enlace: El agente no intentar usar sus credenciales del portal para iniciar sesin en la puerta de enlace, lo que permite a la puerta de enlace solicitar inmediatamente su propio conjunto de credenciales. Esta opcin acelera el proceso de autenticacin cuando el portal y la puerta de enlace requieren credenciales distintas (ya se trate de OTP distintas o credenciales de inicio de sesin completamente diferentes). Tambin puede optar por usar usar una contrasea diferente solo para puertas de enlace manuales. Con esta opcin, el agente reenviar credenciales a puertas de enlace automticas pero no a las manuales, lo que le permite tener la misma seguridad en sus portales y en las puertas de enlace automticas, y al mismo tiempo solicitar una OTP como segundo factor o una contrasea diferente para acceder a esas puertas de enlace, que permiten acceder a los recursos ms importantes de su empresa.

Autenticacin en dos fases Puede habilitar la autenticacin en dos fases configurando tanto un perfil de certificado como un perfil de autenticacin y aadir ambos a la configuracin de portal o puerta de enlace. Tenga en cuenta que con la autenticacin en dos fases, el cliente deber autenticarse correctamente en ambos mecanismos para poder acceder al sistema.Adems, si el perfil de certificado especifica un Campo nombre de usuario desde el que obtener el nombre de usuario del certificado, el nombre de usuario se usar automticamente para la autenticacin en el servicio de autenticacin externo especificado en el perfil de autenticacin. Por ejemplo, si en el perfil del certificado Campo nombre de usuario se ha definido como Asunto, el valor en el campo de nombre comn del certificado se usar por defecto como el nombre de usuario cuando el usuario intente autenticarse en el servidor de autenticacin. Si no quiere obligar a los usuarios a autenticarse con un nombre de usuario desde el certificado, asegrese de que el perfil del certificado se ha establecido en Ninguno para Campo nombre de usuario. Consulte un ejemplo de configuracin en VPN de acceso remoto con autenticacin de dos factores.

Mtodo de autenticacin Descripcin18 Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect Configuracin de la autenticacin de usuario en GlobalProtect Configuracin de autenticacin externa

En el siguiente flujo de trabajo se describe el modo de configurar el portal o la puerta de enlace para la autenticacin de usuarios mediante un servicio de autenticacin existente. GlobalProtect admite la autenticacin externa mediante LDAP, Kerberos o RADIUS.

GlobalProtect tambin es compatible con la autenticacin local. Para usar este mtodo de autenticacin, cree una base de datos de usuarios locales que contenga los usuarios y grupos a los que quiere permitir el acceso a la VPN (Dispositivo > Base de datos de usuario local) y haga una referencia en el perfil de autenticacin.

Configuracin de la autenticacin de usuarios externa

Paso 1 Cree un perfil de servidor.

El perfil de servidor indica al cortafuegos cmo conectar con un servicio de autenticacin externo y acceder a las credenciales de autenticacin de los usuarios.

Nota Si est usando LDAP para conectarse a Active Directory (AD), debe crear un perfil de servidor LDAP diferente para cada dominio de AD.

1. Seleccione Dispositivo > Perfiles de servidor y seleccione el tipo de perfil (LDAP, Kerberos o RADIUS).

2. Haga clic en Aadir e introduzca un Nombre para el perfil, como Aut-Usuarios-GP

3. (Solo LDAP) Seleccione el Tipo de servidor LDAP al que se est conectando.

4. Haga clic en Aadir en la seccin Servidores e introduzca la informacin requerida para el servicio de autenticacin, incluido el Nombre, Direccin IP (o FQDN) y Puerto del servidor.

5. (Solo RADIUS y LDAP) Especifique la configuracin para habilitar la autenticacin del cortafuegos en el servicio de autenticacin del siguiente modo: RADIUS: Introduzca el Secreto compartido al aadir la entrada

del servidor.

LDAP: Introduzca el valor de Enlazar DN y Enlazar contrasea.

6. (Solo LDAP y Kerberos) Especifique dnde buscar a los usuarios en el servicio del directorio: LDAP: DN de Base especifica el punto en el rbol del LDAP

donde empezar a buscar usuarios y grupos. Este campo debera cumplimentarse automticamente al introducir el puerto y la direccin del servidor. De no ser as, compruebe la ruta del servicio al servidor LDAP.

Kerberos: Introduzca el nombre del Dominio de Kerberos.7. Especifique el nombre del Dominio (sin puntos, por ejemplo acme,

no acme.com). Este valor se aadir al nombre de usuario en la direccin IP para las asignaciones de usuarios a los ID de usuario.

8. Haga clic en Aceptar para guardar el perfil de servidor.

Paso 2 Cree un perfil de autenticacin.

El perfil de autenticacin especifica qu perfil de servidor se usa para la autenticacin de usuarios. Puede adjuntar un perfil de autenticacin a una configuracin de portal o puerta de enlace.

1. Seleccione Dispositivo > Perfil de autenticacin y haga clic en Aadir un nuevo perfil.

2. Introduzca un Nombre para el perfil y, a continuacin, seleccione el tipo de Autenticacin (LDAP, Kerberos o RADIUS).

3. Seleccione el Perfil de servidor que cre en el Paso 1.4. (LDAP AD) Introduzca sAMAccountName como el Atributo de

inicio de sesin.5. Haga clic en ACEPTAR.

Paso 3 Guarde la configuracin. Haga clic en Compilar.Gua del administrador de GlobalProtect 19

Configuracin de la autenticacin de usuario en GlobalProtect Configuracin de la infraestructura de GlobalProtectConfiguracin de la autenticacin de certificado de cliente

Con la autenticacin de certificado del cliente, el agente / aplicacin debe presentar un certificado de cliente para conectarse al portal o puerta de enlace de GlobalProtect.

Configuracin de la autenticacin de certificado de cliente

Paso 1 Emita certificados de cliente para mquinas/usuarios de GlobalProtect.

El mtodo de emisin de certificados de cliente depende del modo en que est usando la autenticacin de clientes: Para autenticar usuarios

individuales: Debe emitir un certificado de cliente exclusivo para cada usuario de GlobalProtect e implementarlos en los sistemas del cliente antes de habilitar GlobalProtect.

Para validar que el sistema del cliente pertenece a su organizacin: Use su propia infraestructura de clave pblica (PKI) para emitir y distribuir certificados de mquina a cada sistema de cliente (recomendado) o genere un certificado de mquina autofirmado para su exportacin. Es un requisito anterior al inicio de sesin. Esta opcin requiere que configure adems un perfil de autenticacin para autenticar al usuario. Consulte Autenticacin en dos fases.

Para validar que un usuario pertenece a su organizacin: En este caso, puede usar un nico certificado de cliente para todos los agentes, o bien generar certificados separados para implementarlos con una configuracin de cliente en particular. Use el procedimiento de este paso para emitir certificados de cliente autofirmados para tal fin.

Para emitir certificados exclusivos para clientes o mquinas individuales, use su CA de empresa o una CA pblica. Sin embargo, si quiere usar certificados de cliente para validar que el usuario pertenece a su organizacin, genere un certificado de cliente autofirmado como se especifica a continuacin:1. Cree el certificado de CA raz para la emisin de certificados

autofirmados de los componentes de GlobalProtect.2. Seleccione Dispositivo > Gestin de certificados > Certificados >

Certificados de dispositivos y, a continuacin, haga clic en Generar.

3. Introduzca un nombre de certificado. El nombre de certificado no puede puede contener espacios.

4. En el campo Nombre comn, introduzca un nombre para identificar este certificado como certificado de agente; por ejemplo, Clientes_Windows_GP. Dado que este mismo certificado se implementar a todos los agentes usando la misma configuracin, no es necesario identificar de forma exclusiva usuarios finales o sistemas especficos.

5. (Opcional) En la seccin Atributos del certificado, haga clic en Aadir y defina los atributos que identifican a los clientes de Global Protect como pertenecientes a su organizacin si forma parte de sus requisitos de seguridad.

6. En el campo Firmado por, seleccione su CA raz.7. Haga clic en Aceptar para generar el certificado.20 Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect Configuracin de la autenticacin de usuario en GlobalProtect Paso 2 Instale certificados en el almacn de certificados personales de los sistemas cliente.

Si est usando certificados de usuario o certificados de mquina exclusivos, cada certificado debe instalarse en el almacn de certificados personales del sistema cliente antes de la primera conexin al portal / puerta de enlace. Instale certificados de mquina en el almacn de certificados del equipo local en Windows y en el llavero del sistema de Mac OS. Instale certificados de usuario en el almacn de certificados del usuario actual en Windows y en el llavero personal de Mac OS.

Por ejemplo, para instalar un certificado en un sistema Windows usando Microsoft Management Console:1. Desde la lnea de comandos, introduzca mmc para iniciar la consola.2. Seleccione Archivo > Agregar o quitar complemento.3. Seleccione Certificados, haga clic en Agregar y, a continuacin,

seleccione una de las siguientes opciones, dependiendo del certificado que est importando: Cuenta de equipo: Seleccione esta opcin si est importando

un certificado de mquina.

Mi cuenta de usuario: Seleccione esta opcin si est importando un certificado de usuario.

4. Expanda Certificados y seleccione Personal. A continuacin, en la columna Acciones seleccione Personal > Acciones adicionales > Todas las tareas > Importar y siga los pasos del Asistente para importacin de certificados para importar el archivo PKCS que ha obtenido de la CA.

5. Desplcese hasta el archivo de certificado .p12 para importar (seleccione Intercambio de informacin personal como el tipo de archivo que busca) e introduzca la contrasea que us para cifrar la clave privada. Seleccione Personal como el almacn de certificados.

Configuracin de la autenticacin de certificado de cliente (Continuacin)Gua del administrador de GlobalProtect 21

Configuracin de la autenticacin de usuario en GlobalProtect Configuracin de la infraestructura de GlobalProtect(Continuacin del Paso 2) 6. Compruebe que se ha aadido el certificado al almacn de certificados personales:

Paso 3 Importe el certificado de CA raz usado para emitir los certificados de clientes desde el cortafuegos.

Este paso solo es necesario si los certificados de clientes fueron emitidos por una CA externa, como una CA pblica o una CA PKI de empresa. Si usa certificados autofirmados, el portal / puerta de enlace ya confa en la CA raz.

1. Descargue el certificado de CA raz usado para emitir los certificados de clientes (formato Base64).

2. Importe el certificado de CA raz desde la CA que gener los certificados de cliente al cortafuegos:a. Seleccione Dispositivo > Gestin de certificados >

Certificados > Certificados de dispositivos y haga clic en Importar.

b. Introduzca un Nombre de certificado que identifique al certificado como su certificado de CA de cliente.

c. Desplcese hasta el archivo del certificado que descarg de la CA.

d. Seleccione Certificado codificado en Base64 (PEM) como Formato de archivo y, a continuacin, haga clic en Aceptar.

e. Seleccione el certificado que acaba de importar en la pestaa Certificados de dispositivos para abrirlo.

f. Seleccione CA raz de confianza y, a continuacin, haga clic en Aceptar.

Paso 4 Cree un perfil de certificado de cliente.Nota Si est configurando el portal o puerta de

enlace con autenticacin en dos fases, se usar como nombre de usuario el nombre de usuario del certificado de cliente cuando se autentique al usuario en su servicio de autenticacin externo. De este modo se garantiza que el usuario que se est registrando es en realidad el usuario para el que se emiti el certificado.

1. Seleccione Dispositivo > Certificados > Gestin de certificados > Perfil del certificado, haga clic en Aadir e introduzca un Nombre de perfil.

2. Seleccione un valor para el Campo de nombre de usuario para especificar qu campo en el certificado contendr la informacin de identidad del usuario.

3. En el campo Certificados de CA, haga clic en Aadir, seleccione el certificado de CA raz de confianza que import en el Paso 3 y, a continuacin, haga clic en ACEPTAR.

Paso 5 Guarde la configuracin. Haga clic en Confirmar.

Configuracin de la autenticacin de certificado de cliente (Continuacin)22 Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect Configuracin de la autenticacin de usuario en GlobalProtect Configuracin de la autenticacin en dos fases

Si necesita una autenticacin slida para proteger sus recursos ms importantes o para cumplir con requisitos normativos, como PCI, SDX o HIPAA, configure GlobalProtect para usar un servicio de autenticacin que use un esquema de autenticacin en dos fases como contraseas de un solo uso (OTP), tokens, tarjetas inteligentes o una combinacin de autenticacin externa y autenticacin de certificado de cliente. Un esquema de autenticacin en dos fases requiere dos elementos: algo que conozca el usuario final (como un PIN o una contrasea) y algo que el usuario tenga (hardware o de token/OTP, tarjeta inteligente o certificado).

Las siguientes secciones ofrecen ejemplos de cmo configurar una autenticacin en dos fases en GlobalProtect: Habilitacin de la autenticacin en dos fases Habilitacin de la autenticacin en dos fases mediante contraseas de un solo uso (OTP) Habilitacin de autenticacin en dos fases mediante tarjetas inteligentes

Habilitacin de la autenticacin en dos fases

El siguiente flujo de trabajo muestra cmo configurar la autenticacin de clientes de GlobalProtect que requiere que el usuario se autentique tanto con un perfil de certificado como con un perfil de autenticacin. El usuario debe autenticarse correctamente usando ambos mtodos para poder conectarse al portal/puerta de enlace. Si desea informacin ms detallada sobre esta configuracin, consulte VPN de acceso remoto con autenticacin de dos factores.Gua del administrador de GlobalProtect 23

Configuracin de la autenticacin de usuario en GlobalProtect Configuracin de la infraestructura de GlobalProtectHabilitacin de la autenticacin en dos fases

Paso 1 Cree un perfil de servidor.

El perfil de servidor indica al cortafuegos cmo conectar con un servicio de autenticacin externo y acceder a las credenciales de autenticacin de los usuarios.

Nota Si est usando LDAP para conectarse a Active Directory (AD), debe crear un perfil de servidor LDAP diferente para cada dominio de AD.

1. Seleccione Dispositivo > Perfiles de servidor y seleccione el tipo de perfil (LDAP, Kerberos o RADIUS).

2. Haga clic en Aadir e introduzca un Nombre para el perfil, como Aut-Usuarios-GP.

3. (Solo LDAP) Seleccione el Tipo de servidor LDAP al que se est conectando.

4. Haga clic en Aadir en la seccin Servidores e introduzca la informacin requerida para el servicio de autenticacin, incluido el Nombre, Direccin IP (o FQDN) y Puerto del servidor.

5. (Solo RADIUS y LDAP) Especifique la configuracin para habilitar la autenticacin del cortafuegos en el servicio de autenticacin del siguiente modo: RADIUS: Introduzca el Secreto compartido al aadir la

entrada del servidor.

LDAP: Introduzca el valor de Enlazar DN y Enlazar contrasea.

6. (Solo LDAP y Kerberos) Especifique dnde buscar a los usuarios en el servicio del directorio: LDAP: DN de Base especifica el punto en el rbol del

LDAP donde empezar a buscar usuarios y grupos. Este campo debera cumplimentarse automticamente al introducir el puerto y la direccin del servidor. De no ser as, compruebe la ruta del servicio al servidor LDAP.

Kerberos: Introduzca el nombre del Dominio de Kerberos.7. Especifique el nombre del Dominio (sin puntos, por

ejemploacme, no acme.com). Este valor se aadir al nombre de usuario en la direccin IP para las asignaciones de usuarios a los ID de usuario.

8. Haga clic en Aceptar para guardar el perfil de servidor.

Paso 2 Cree un perfil de autenticacin.

El perfil de autenticacin especifica qu perfil de servidor se usa para la autenticacin de usuarios. Puede adjuntar un perfil de autenticacin a una configuracin de portal o puerta de enlace.

1. Seleccione Dispositivo > Perfil de autenticacin y haga clic en Aadir un nuevo perfil.

2. Introduzca un Nombre para el perfil y, a continuacin, seleccione el tipo de Autenticacin (LDAP, Kerberos o RADIUS).

3. Seleccione el Perfil de servidor que cre en el Paso 1.4. (LDAP AD) Introduzca sAMAccountName como Atributo

de inicio de sesin.5. Haga clic en ACEPTAR.24 Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect Configuracin de la autenticacin de usuario en GlobalProtect Habilitacin de la autenticacin en dos fases mediante contraseas de un solo uso (OTP)

En el cortafuegos, el proceso de configuracin del acceso al servicio de autenticacin en dos fases es parecido al de configuracin de cualquier otro tipo de autenticacin: cree un perfil de servidor (normalmente en un servidor RADIUS), aada el perfil de servidor a un perfil de autenticacin y, a continuacin, haga referencia a ese perfil de autenticacin en la configuracin del dispositivo que llevar a cabo la autenticacin: en este caso, el portal o la puerta de enlace de GlobalProtect.

Por defecto, el agente proporcionar las mismas credenciales usadas para el inicio de sesin en el portal y la puerta de enlace. En el caso de la autenticacin OTP, este comportamiento har que la autenticacin falle inicialmente en la puerta de enlace y, debido al retraso que esto ocasiona en la solicitud de inicio de sesin al usuario, la OTP del usuario puede caducar. Para evitar esto, el portal permite la modificacin de este comportamiento mediante una configuracin para cada cliente, ya sea permitiendo al portal la autenticacin usando una cookie cifrada o evitando que el agente use con la puerta de enlace las mismas credenciales que us para el portal. Ambas opciones resuelven el problema habilitando a la puerta de enlace para que pueda solicitar las credenciales apropiadas inmediatamente.

Paso 3 Cree un perfil de certificado de cliente.Nota Si est configurando el portal o puerta de

enlace con autenticacin en dos fases, si el cliente contiene un campo de nombre de usuario, el valor del nombre de usuario se usar como nombre de usuario cuando se autentique al usuario en su servicio de autenticacin externo. De este modo se garantiza que el usuario que se est registrando es en realidad el usuario para el que se emiti el certificado.

1. Seleccione Dispositivo > Certificados > Gestin de certificados > Perfil del certificado, haga clic en Aadir e introduzca un Nombre de perfil.

2. Seleccione un valor para el Campo de nombre de usuario: Si est implementando un certificado de cliente desde el

portal, deje este campo definido como Ninguno.

Si est configurando un perfil de certificado para usarlo antes del inicio de sesin, deje este campo definido como Ninguno.

Si est usando el certificado de cliente para la autenticacin de usuarios individuales (incluyendo usuarios de tarjetas inteligentes), seleccione el campo del certificado que contendr la informacin de identidad del usuario.

3. En el campo Certificados de CA, haga clic en Aadir, seleccione el certificado de CA raz de confianza que import en el Paso 3 y, a continuacin, haga clic en ACEPTAR.

Paso 4 (Opcional) Emita certificados de cliente para mquinas/usuarios de GlobalProtect.

1. Utilice su PKI empresarial o CA pblica para emitir un certificado de cliente nico para cada usuario de GlobalProtect.

2. Instale certificados en el almacn de certificados personales de los sistemas cliente.

Paso 5 Guarde la configuracin de GlobalProtect. Haga clic en Confirmar.

(Continuacin) Habilitacin de la autenticacin en dos fasesGua del administrador de GlobalProtect 25

Configuracin de la autenticacin de usuario en GlobalProtect Configuracin de la infraestructura de GlobalProtectHabilitacin de la compatibilidad con OTP

Paso 1 Configure su servidor RADIUS para que interaccione con el cortafuegos.

Este procedimiento da por hecho que su servicio RADIUS ya est configurado para OTP o token y que los usuarios ya han implementado los dispositivos necesarios (como tokens de hardware).

Puede consultar instrucciones especficas en su servidor RADIUS. En la mayora de los casos, necesitar configurar un agente de autenticacin y una configuracin de cliente en el servidor RADIUS para habilitar la comunicacin entre el cortafuegos y el servidor RADIUS. Tambin deber definir el secreto compartido usado para cifrar las sesiones entre el cortafuegos y el servidor RADIUS.

Paso 2 En el cortafuegos que actuar como su puerta de enlace o portal, cree un perfil de servidor RADIUS.

Recomendacin:

Cuando cree el perfil de servidor RADIUS, introduzca siempre un nombre de dominio, ya que este valor servir de dominio predeterminado para la asignacin de ID de usuario si los usuarios no proporcionan uno al iniciar sesin.

1. Seleccione Dispositivo > Perfiles de servidor > RADIUS, haga clic en Aadir e introduzca un Nombre para el perfil.

2. Introduzca el nombre del Dominio de RADIUS. 3. Para aadir una entrada de servidor RADIUS, haga clic en

Aadir en la seccin Servidores y, a continuacin, introduzca la siguiente informacin: Un nombre descriptivo para identificar este Servidor

RADIUS

La Direccin IP del servidor RADIUS El Secreto compartido usado para cifrar sesiones entre el

cortafuegos y el servidor RADIUS

El nmero de Puerto desde el que el servidor RADIUS escuchar las solicitudes de autenticacin (por defecto, 1812)

4. Haga clic en Aceptar para guardar el perfil.

Paso 3 Cree un perfil de autenticacin. 1. Seleccione Dispositivo > Perfiles de autenticacin, haga clic en Aadir e introduzca un Nombre para el perfil. El nombre del perfil de autenticacin no puede contener espacios.

2. Seleccione RADIUS en el men desplegable Autenticacin.3. Seleccione el Perfil de servidor que ha creado para acceder a su

servidor RADIUS.4. Haga clic en ACEPTAR para guardar el perfil de autenticacin.

Paso 4 Asigne el perfil de autenticacin a la puerta de enlace o portal de GlobalProtect.

Esta seccin solo describe cmo aadir el perfil de autenticacin a la puerta de enlace o perfil de configuracin. Para obtener informacin sobre la configuracin de estos componentes, consulte Configuracin de las puertas de enlace de GlobalProtect y Configuracin del portal de GlobalProtect.

1. Seleccione Red > GlobalProtect > Puertas de enlace o Portales y seleccione la configuracin (o aada una).

2. En la pestaa General (en la puerta de enlace) o Configuracin portal (en el portal), seleccione el Perfil de autenticacin que acaba de crear.

3. Introduzca un Mensaje de autenticacin para guiar a los usuarios en cuanto a las credenciales de autenticacin que deben usar.

4. Haga clic en ACEPTAR para guardar la configuracin.26 Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect Configuracin de la autenticacin de usuario en GlobalProtect Paso 5 (Opcional) Modifique el comportamiento de autenticacin predeterminada en el portal.

Esta seccin solo describe cmo modificar el comportamiento de autenticacin del portal. Si desea informacin ms detallada, consulte Definicin de las configuraciones de clientes.

1. Seleccione Red > GlobalProtect > Puertas de enlace o Portales y seleccione la configuracin (o aada una).

2. Seleccione la pestaa Configuracin clientes y, a continuacin, seleccione o aada una configuracin de cliente.

3. En la pestaa General, seleccione uno de los siguientes valores del campo Modificador de autenticacin: Autenticacin de cookies para actualizacin de

configuracin: Permite al portal usar una cookie cifrada para la autenticacin de usuarios, de modo que no tengan que introducir mltiples OTP o credenciales.

Contrasea diferente para puerta de enlace externa: Evita que el agente reenve a la puerta de enlace las credenciales de usuario que us para la autenticacin en el portal con el fin de evitar fallos de autenticacin OTP.

4. Haga clic en ACEPTAR dos veces para guardar la configuracin.

Paso 6 Guarde la configuracin. Haga clic en Confirmar.

Paso 7 Verifique la configuracin.

En este paso se da por hecho que ya tiene configurada la puerta de enlace y el portal. Para obtener informacin sobre la configuracin de estos componentes, consulte Configuracin de las puertas de enlace de GlobalProtect y Configuracin del portal de GlobalProtect.

Desde un sistema cliente que ejecute el agente de GlobalProtect, trate de conectarse a una puerta de enlace o portal en el que haya habilitado la autenticacin. Debera ver dos mensajes parecidos a estos:El primero le solicitar un PIN (ya sea generado por el usuario o por el sistema):

El segundo le solicitar un token u OTP:

Habilitacin de la compatibilidad con OTP (Continuacin)Gua del administrador de GlobalProtect 27

Configuracin de la autenticacin de usuario en GlobalProtect Configuracin de la infraestructura de GlobalProtect

Habilitacin de autenticacin en dos fases mediante tarjetas inteligentesSi quiere habilitar a sus usuarios finales para que se autentiquen usando una tarjeta inteligente o una tarjeta de acceso comn (CAC), debe importar desde el portal o la puerta de enlace el certificado de CA raz que emiti los certificados contenidos en las tarjetas inteligentes / CAC del usuario final. Puede crear un perfil de certificado que incluya esa CA raz y la aplique a sus configuraciones de portal o puerta de enlace para habilitar el uso de tarjetas inteligentes en el proceso de autenticacin.

Habilitacin de autenticacin con tarjetas inteligentes

Paso 1 Configure su infraestructura para tarjetas inteligentes

Este procedimiento da por hecho que ha facilitado tarjetas inteligentes y lectores de tarjetas inteligentes a sus usuarios finales.

Puede consultar instrucciones especficas en la documentacin del software del proveedor de autenticacin de usuarios. En la mayora de los casos, la configuracin de la infraestructura para tarjetas inteligentes requiere la generacin de certificados para los usuarios finales y los servidores que participan en el sistema, que en este caso son los portales o puertas de enlace de GlobalProtect. Todos los certificados para usuarios finales y el portal o la puerta de enlace deben haber sido emitidos por la misma CA raz.

Paso 2 Importe el certificado de la CA raz que emiti los certificados contenidos en las tarjetas inteligentes de los usuarios finales.

Asegrese de que se puede acceder a los archivos de clave y certificado desde su sistema de gestin y de que tiene la frase de contrasea para descifrar la clave privada. A continuacin, siga estos pasos:1. Seleccione Configuracin > Gestin de certificados >

Certificados > Certificados de dispositivos.2. Haga clic en Importar e introduzca un nombre de certificado.3. Introduzca la ruta y el nombre en el Archivo de certificado que

recibi de la CA o seleccione Examinar para buscar el archivo.4. Seleccione Clave privada cifrada y certificado (PKCS12) como

Formato de archivo.5. Seleccione la casilla de verificacin Importar clave privada.6. Introduzca la ruta y el nombre en el archivo PKCS#12, en el campo

Archivo de clave o seleccione Examinar para encontrarla.7. Vuelva a introducir la frase de contrasea que se us para cifrar

la clave privada y despus haga clic en ACEPTAR para importar el certificado y la clave.

Paso 3 Cree el perfil de certificado.Nota Consulte la ayuda en lnea para obtener

detalles de otros campos de perfil de certificado, como si debe usar CRL u OCSP.

Cree el perfil de certificado en cada portal o puerta de enlace en la que pretenda usar autenticacin con tarjetas inteligentes o CAC:1. Seleccione Dispositivo > Certificados > Gestin de

certificados > Perfil del certificado, haga clic en Aadir e introduzca un Nombre de perfil.

2. Asegrese de definir el Campo de nombre de usuario como Ninguno.

3. En el campo Certificados de CA, haga clic en Aadir, seleccione el certificado de CA raz de confianza que import en el Paso 2 y, a continuacin, haga clic en ACEPTAR.

4. Haga clic en ACEPTAR para guardar el perfil del certificado.28 Gua del administrador de GlobalProtect

Configuracin de la infraestructura de GlobalProtect Configuracin de la autenticacin de usuario en GlobalProtect Paso 4 Asigne el perfil del certificado a la puerta de enlace o portal de GlobalProtect.

Esta seccin solo describe cmo aadir el perfil del certificado a la puerta de enlace o perfil de configuracin. Para obtener informacin sobre la configuracin de estos componentes, consulte Configuracin de las puertas de enlace de GlobalProtect y Configuracin del portal de GlobalProtect.

1. Seleccione Red > GlobalProtect > Puertas de enlace o Portales y seleccione la configuracin (o haga clic en Aadir para aadir una).

2. En la pestaa General (en la puerta de enlace) o Configuracin portal (en el portal), seleccione el Perfil del certificado que acaba de crear.

3. Introduzca un Mensaje de autenticacin para guiar a los usuarios en cuanto a las credenciales de autenticacin que deben usar.

4. Haga clic en ACEPTAR para guardar la configuracin.

Paso 5 Guarde la configuracin. Haga clic en Confirmar.

Paso 6 Verifique la configuracin. Desde un sistema cliente que ejecute el agente de GlobalProtect, trate de conectarse a una puerta de enlace o portal en el que haya configurado la autenticacin con tarjetas inteligentes. Cuando se le indique, inserte su tarjeta inteligente y compruebe que puede autenticarse correctamente en GlobalProtect.

Habilitacin de autenticacin con tarjetas inteligentes (Continuacin)Gua del administrador de GlobalProtect 29

Habilitacin de la asignacin de grupo Configuracin de la infraestructura de GlobalProtectHabilitacin de la asignacin de grupoDado que el agente o la aplicacin que se ejecuta en los sistemas de sus usuarios finales requieren la autenticacin correcta del usuario antes de tener acceso a GlobalProtect, se conoce la identidad de cada usuario de GlobalProtect. Sin embargo, si quiere tener la capacidad de definir configuraciones de GlobalProtect o polticas de seguridad basadas en la pertenencia a grupos, el cortafuegos debe recuperar la lista de grupos y la correspondiente lista de miembros de su servidor de directorios. Esto recibe el nombre de asignacin de grupos.

Para habilitar esta funcin, debe crear un perfil de servidor LDAP que indique al cortafuegos cmo conectarse al servidor de directorios y autenticarlo, as como el modo de buscar en el directorio la informacin de usuarios y grupos. Cuando el cortafuegos se haya conectado c