Está en la página 1de 178

Palo Alto Networks®

Guía del administrador de GlobalProtect
Versión 6.0

Información de contacto
Sede de la empresa:

Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054

http://www.paloaltonetworks.com/contact/contact/

Acerca de esta guía
Esta guía le explica los procesos de configuración y mantenimiento de la infraestructura de GlobalProtect. Para obtener
más información, consulte los siguientes recursos:

Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el
cortafuegos, consulte https://www.paloaltonetworks.com/documentation.

Para acceder a la base de conocimientos, documentación al completo, foros de debate y vídeos, consulte
https://live.paloaltonetworks.com.

Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistencia
técnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.

Para leer las notas sobre la última versión, vaya la página de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.

Para enviar sus comentarios sobre la documentación, diríjase a: documentation@paloaltonetworks.com.

Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2014 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks, PAN-OS y Panorama son marcas comerciales de Palo Alto Networks, Inc. Todas las demás marcas comerciales son
propiedad de sus respectivos propietarios.
810-000237-00A

ii

Contenido
Descripción general de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Acerca de los componentes de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Portal GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Gestor de seguridad móvil de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
¿Qué clientes son compatibles? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Acerca de las licencias de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Configuración de la infraestructura de GlobalProtect. . . . . . . . . . . . . . . . . . . .7
Creación de interfaces y zonas para GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Habilitación de SSL entre componentes de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Acerca de la implementación de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Recomendaciones para certificados de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Implementación de certificados de servidores en los componentes de GlobalProtect . . . . . . . . . . . . . 14
Configuración de la autenticación de usuario en GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Acerca de la autenticación de usuarios de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Configuración de autenticación externa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Configuración de la autenticación de certificado de cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Configuración de la autenticación en dos fases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Habilitación de la asignación de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Configuración de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Configuración de una puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Configuración del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Configuración del acceso al portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Definición de las configuraciones de clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Personalización del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Personalización de las páginas de inicio de sesión de portal, bienvenida y ayuda . . . . . . . . . . . . . . . . . 49
Implementación del software cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Implementación del software del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Implementación de la configuración del agente de forma transparente. . . . . . . . . . . . . . . . . . . . . . . . . 55
Descarga e instalación de la aplicación móvil de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Configuración del gestor de seguridad móvil de GlobalProtect . . . . . . . . . . . 61
Recomendaciones de implementación del gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Configuración del acceso de gestión al gestor de seguridad móvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Registro, licencia y actualización del gestor de seguridad móvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Registro del dispositivo GP-100. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

Guía del administrador de GlobalProtect

iii

. . . . . . . . . . . . . . 123 Administración de dispositivos remotos. . . 83 Acerca de la implementación de la política del gestor de seguridad móvil . 112 Configuración de la autenticación administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 VPN de acceso remoto con función anterior al inicio de sesión. . . . . . . . . . . . . . 70 Configuración del gestor de seguridad móvil para la inscripción. . . . . . Interacción con dispositivos . . . . . . . . . . . . . . . . . . . . . . . Cómo usa la puerta de enlace la información del host para aplicar las políticas . . . . . . . . . . . . . . . . . 86 Integración del gestor de seguridad móvil con su directorio LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Activación/recuperación de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Gestión de dispositivos móviles . . . . . . . . . . . 68 Configuración del gestor de seguridad móvil para la gestión de dispositivos . . . . . ¿Qué datos recopila el agente? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 GlobalProtect para comprobación de HIP interna y acceso basado en usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Etiquetar dispositivos manualmente . . . . . . . . . . . . . . . . . . 149 VPN de acceso remoto con autenticación de dos factores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Configuraciones rápidas de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Creación de políticas de implementación . . . . . . . . . . . . . 90 Creación de perfiles de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . 152 Configuración de VPN siempre activada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Configuración del acceso administrativo en el gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Supervisión de dispositivos móviles . . . . . . . . . . . . . . . . . . . . . . . . . 120 Preetiquetado de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 134 136 136 Configuración de la aplicación de políticas basadas en HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 iv Guía del administrador de GlobalProtect . . . . . . . . . . . . 80 Definición de políticas de implementación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Configuración del gestor de seguridad móvil para el registro de dispositivos. . . 112 Creación de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 Configuración de puerta de enlace externa e interna combinada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¿Cómo pueden saber los usuarios si sus sistemas cumplen los requisitos? . . . . . 128 128 129 130 Creación de políticas de seguridad para aplicación de tráfico de dispositivos móviles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Eliminación de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Instalación de las actualizaciones de contenido y software de Panorama . . . . . . . 157 Configuración de varias puertas de enlace de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Verificación de la configuración del gestor de seguridad móvil . . . . . . . . . . . . . . . . . . 131 Uso de información del host en la aplicación de políticas. . . . . . 75 Configuración del acceso de puerta de enlace al gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 Acerca de la información del host. 89 Definición de objetos y perfiles HIP. . . . . . . . . . . . . . . . . . . . . . . . Reacción ante la pérdida o sustracción de un dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 VPN de acceso remoto (Perfil del certificado) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Recomendaciones sobre las políticas del gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 VPN de acceso remoto (Perfil de autenticación) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

la mayoría de los empleados de hoy en día trabajan fuera de los límites físicos de la empresa. Cada vez que un usuario abandona las instalaciones de la empresa con su portátil o dispositivo móvil.Descripción general de GlobalProtect Ya se trate de comprobar el correo electrónico desde casa o de actualizar documentos de empresa desde el aeropuerto. GlobalProtect resuelve los retos planteados por los usuarios itinerantes extendiendo las mismas políticas de última generación basadas en cortafuegos que se aplican a todos los usuarios dentro del perímetro físico de la empresa. Las siguientes secciones ofrecen información conceptual acerca de la oferta de Palo Alto Networks GlobalProtect mediante la descripción de los componentes de GlobalProtect y las posibles situaciones de implementación:  Acerca de los componentes de GlobalProtect  ¿Qué clientes son compatibles?  Acerca de las licencias de GlobalProtect Guía del administrador de GlobalProtect 1 . independientemente de su ubicación. Este aumento de la movilidad de los trabajadores hace crecer la productividad y la flexibilidad al tiempo que introduce riesgos de seguridad significativos. está sorteando el cortafuegos de la empresa y las políticas asociadas diseñadas para proteger tanto al usuario como la red.

) Si está usando la función Perfil de información del host (HIP). independientemente de los dispositivos que usen o de donde se encuentren. el portal también define qué información se recopila desde el host. Asimismo. Puertas de enlace de GlobalProtect Las puertas de enlace de GlobalProtect permiten aplicar la seguridad al tráfico de agentes / aplicaciones de GlobalProtect. Las puertas de enlace se configuran en una interfaz de cualquier cortafuegos de última generación de Palo Alto Networks. Puede configurar una puerta de enlace interna tanto en el modo de túnel como de no túnel. Las puertas de enlace internas son útiles en entornos confidenciales que requieren acceso autenticado a los recursos críticos. incluida información sobre las puertas de enlace disponibles. la puerta de enlace HIP genera un informe a partir de los datos sin procesar del host enviados por los clientes y puede usar dicha información para la aplicación de políticas. El portal se configura en una interfaz de cualquier cortafuegos de última generación de Palo Alto Networks. Todos los sistemas clientes que participan en la red de GlobalProtect reciben información de configuración desde el portal. (En dispositivos móviles. Esta infraestructura incluye los siguientes componentes:  Portal GlobalProtect  Puertas de enlace de GlobalProtect  Cliente de GlobalProtect  Gestor de seguridad móvil de GlobalProtect Portal GlobalProtect El portal GlobalProtect proporciona las funciones de gestión para su infraestructura de GlobalProtect. Al usarla junto con el ID de usuario o las comprobaciones HIP. 2 Guía del administrador de GlobalProtect . Además.  Puertas de enlace externas: Permiten a los usuarios remotos acceder a la red privada virtual (VPN) o aplicar la seguridad. incluyendo cualquier información personalizada que necesite. así como certificados cliente que pueden ser necesarios para conectarse a las puertas de enlace de GlobalProtect o a su gestor de seguridad móvil. la aplicación GlobalProtect se distribuye a través de la App Store de Apple para los dispositivos iOS o mediante Google Play para dispositivos Android. Puede ejecutar tanto una puerta de enlace y un portal en el mismo cortafuegos como múltiples puertas de enlace distribuidas por toda su empresa. una puerta de enlace interna permite ofrecer un método preciso y seguro para identificar y controlar el tráfico por usuario o estado del dispositivo. el portal controla el comportamiento y la distribución del software del agente de GlobalProtect para los portátiles con Mac y Windows.  Puertas de enlace internas: Una interfaz en la red interna configurada como una puerta de enlace de GlobalProtect que permite aplicar la política de seguridad para el acceso a recursos internos. si la función HIP está habilitada.Acerca de los componentes de GlobalProtect Descripción general de GlobalProtect Acerca de los componentes de GlobalProtect GlobalProtect ofrece una completa infraestructura para la gestión de su fuerza de trabajo itinerante para garantizar a todos sus usuarios un acceso seguro.

Descripción general de GlobalProtect

Acerca de los componentes de GlobalProtect

Cliente de GlobalProtect
El software del cliente de GlobalProtect se ejecuta en sistemas de usuarios finales y habilita el acceso a los
recursos de su red a través de los portales y las puertas de enlace de GlobalProtect que ha implementado.
Hay dos tipos de clientes de GlobalProtect:

El agente de GlobalProtect: Se ejecuta en sistemas Windows y Mac OS y se implementa desde el portal
de GlobalProtect. El comportamiento del agente (p. ej., qué pestañas pueden ver los usuarios, pueden los
usuarios desinstalar el agente o no) se determina en la configuración del cliente que defina en el portal.

La aplicación de GlobalProtect: Se ejecuta en dispositivos iOS y Android.

Consulte ¿Qué clientes son compatibles? para obtener más información.
El siguiente diagrama ilustra el modo en que los portales, puertas de enlace y agentes / aplicaciones de
GlobalProtect se coordinan para ofrecer a todos sus usuarios un acceso seguro, independientemente de los
dispositivos que usen o de donde se encuentren.

Guía del administrador de GlobalProtect

3

Acerca de los componentes de GlobalProtect

Descripción general de GlobalProtect

Gestor de seguridad móvil de GlobalProtect
El gestor de seguridad móvil de GlobalProtect ofrece gestión, visibilidad, e implementación de configuración
automatizada para dispositivos móviles (tanto los de la empresa como del empleado) en su red. Dado que el gestor de
seguridad móvil forma parte de la solución móvil de GlobalProtect, la puerta de enlace de GlobalProtect puede
aprovechar la información de los dispositivos gestionados y usar la información ampliada del host recopilada por el
gestor de seguridad móvil para ofrecer a los dispositivos gestionados una aplicación mejorada de las políticas de
seguridad. Las puertas de enlace recuperan los perfiles HIP extendidos del gestor de seguridad móvil y usan la
información para aplicar políticas de seguridad para los dispositivos que se conectan a su red.

Las políticas de implementación que crea en el gestor de seguridad móvil ofrecen aprovisionamiento de cuentas
simplificado para que los usuarios de dispositivos móviles puedan acceder a las aplicaciones de la empresa (tales
como las configuraciones VPN y correo electrónico). También puede realizar ciertas acciones, tales como
bloquear el dispositivo, hacer que emita una alarma para ayudar a localizarlo o incluso borrarlo si duda de la
seguridad del mismo.

Para comunicarse con un dispositivo, el gestor de seguridad móvil envía una notificación push mediante OTA.
En el caso de dispositivos iOS, envía notificaciones push mediante el servicio Notificaciones Push de Apple
(APN) y en el de dispositivos Android las envía mediante Mensajería de Google Cloud (GCM). Cuando un
dispositivo recibe una notificación push, la comprueba estableciendo una conexión HTTPS con la interfaz de
comprobación del dispositivo en el gestor de seguridad móvil.

Cuando un dispositivo se registra en el gestor de seguridad móvil, envía información del host que incluye
información adicional además de la recopilada por la puerta de enlace de GlobalProtect, incluyendo una lista de
todas las aplicaciones instaladas, la ubicación del dispositivo en el momento del registro (se puede deshabilitar), si
el dispositivo tiene un código de acceso establecido o si está modificado o desbloqueado. Además, si el gestor de
seguridad móvil tiene una suscripción WildFire, puede detectar si un dispositivo contiene software
malintencionado (solo dispositivos Android).

Al aprovechar los datos HIP extendidos que recopila el gestor de seguridad móvil, puede crear una política de
seguridad muy granular para usuarios de dispositivos móviles en sus puertas de enlace de GlobalProtect.

4

Guía del administrador de GlobalProtect

Descripción general de GlobalProtect

¿Qué clientes son compatibles?

¿Qué clientes son compatibles?
En la siguiente tabla se resume la compatibilidad con GlobalProtect de los siguientes dispositivos de sobremesa,
portátiles y móviles, así como las versiones mínimas de agentes / aplicaciones GlobalProtect y PAN-OS
necesarias para la compatibilidad:
Versiones de clientes de OS compatibles

Versión mínima de
agente / aplicación

Versión mínima de PAN-OS

Apple Mac OS 10.6

1.1

4.1.0 o posterior

Apple Mac OS 10.7

1.1

Apple Mac OS 10.8

1.1.6

Apple Mac OS 10.9

1.2

Windows XP (32 bits)

1.0

Windows Vista (32 bits y 64 bits)

1.0

Windows 7 (32 bits y 64 bits)

1.0

Windows 8 (32 bits y 64 bits)

1.2

Windows 8.1 (32 bits y 64 bits)

1.2

Windows Surface Pro

1.2

Apple iOS 6.0 o posterior*

App 1.3

4.1.0 o posterior

Google Android 4.0.3 o posterior*

App 1.3

4.1.6 o posterior

Clientes IPsec de X-Auth de terceros:

N/D

5.0 o posterior

4.0 o posterior

• VPNC en Ubuntu Linux 10.04 y CentOS 6
• Cliente IPsec integrado en iOS
• Cliente IPsec integrado en Android
* La app 2.0 es necesaria para que un dispositivo pueda ser gestionado por el gestor de seguridad móvil de GlobalProtect
y el cortafuegos debe ejecutar PAN-OS 6.0.

Guía del administrador de GlobalProtect

5

 Licencia del gestor de seguridad móvil de GlobalProtect en el dispositivo GP-100: Una licencia perpetua de instalación única para el gestor de seguridad móvil basada en el número de dispositivos móviles que se van a gestionar. 25 000. aplicaciones móviles. puede que necesite adquirir una o más de las siguientes licencias:  Licencia de portal: Una licencia perpetua que debe instalarse una única vez en el cortafuegos que ejecute el portal para habilitar la compatibilidad con la puerta de enlace interna. 2000. no necesita licencia de GlobalProtect. Esta licencia debe instalarse en cada cortafuegos que contenga puertas de enlace que realicen comprobaciones HIP. Asimismo. comprobaciones de información del host o puertas de enlace internas. debe adquirir una suscripción a WildFire que se corresponda con la capacidad de la licencia del gestor de seguridad móvil de GlobalProtect. para usar algunas de las funciones más avanzadas.  Suscripción a WildFire en el gestor de seguridad móvil de GlobalProtect para el dispositivo GP-100: Usada junto con el gestor de seguridad móvil de GlobalProtect para la detección de software malintencionado APK en los dispositivos Android gestionados.  Suscripción de puerta de enlace: Una suscripción anual que habilita las comprobaciones de HIP y las actualizaciones de contenido asociadas. Hay disponibles licencias perpetuas para 1000. múltiples puertas de enlace (internas o externas) o comprobaciones HIP. como múltiples puertas de enlace. 5000. Función: Requisitos de licencia del cortafuegos Requisitos de licencia del gestor de seguridad móvil Licencia de portal Licencia de capacidad del gestor de seguridad móvil Suscripción de puerta de enlace Suscripción a WildFire Puerta de enlace única externa (Windows y Mac) Una o varias puertas de enlace internas Varias puertas de enlace externas Comprobaciones HIP Aplicación móvil para iOS o Android Gestor de seguridad móvil (requiere aplicación móvil de GlobalProtect para iOS o Android) Detección de software malintencionado APK Android del gestor de seguridad móvil 6               Guía del administrador de GlobalProtect . Sin embargo. la licencia de puerta de enlace habilita la compatibilidad con aplicaciones móviles de GlobalProtect para iOS y Android. Para habilitar el uso de detección de software malintencionado con el gestor de seguridad móvil de GlobalProtect. gestión de seguridad móvil.Acerca de las licencias de GlobalProtect Descripción general de GlobalProtect Acerca de las licencias de GlobalProtect Si tan solo quiere usar GlobalProtect para proporcionar una solución de red privada virtual (VPN). segura o de acceso remoto a través de una única puerta de enlace externa. 50 000 o 100 000 dispositivos móviles. Esta licencia solo es necesaria si pretende gestionar más de 500 dispositivos móviles. 10 000.

debe configurar la infraestructura básica que permite que todos los componentes se comuniquen. Puesto que los componentes de GlobalProtect se comunican a través de canales seguros. esto implica configurar las interfaces y zonas que a las que se conectarán los usuarios finales de GlobalProtect para acceder al portal y las puertas de enlace.Configuración de la infraestructura de GlobalProtect Para que GlobalProtect funcione. debe adquirir e implementar todos los certificados SSL necesarios de los distintos componentes. Básicamente. Las siguientes secciones le guiarán a través de los pasos básicos para configurar la infraestructura de GlobalProtect:  Creación de interfaces y zonas para GlobalProtect  Habilitación de SSL entre componentes de GlobalProtect  Configuración de la autenticación de usuario en GlobalProtect  Habilitación de la asignación de grupo  Configuración de las puertas de enlace de GlobalProtect  Configuración del portal de GlobalProtect  Implementación del software cliente de GlobalProtect Guía del administrador de GlobalProtect 7 .

usar una sola interfaz para ambos. La interfaz de túnel puede estar en la misma zona que la interfaz que se conecta a sus recursos internos.100/24. (Solo Ethernet) Seleccione Capa3 en el menú desplegable Tipo de interfaz. También puede crear una interfaz de túnel para acceder a sus puertas de enlace internas. por ejemplo. Puede encontrar consejos sobre el uso de la interfaz de bucle para proporcionar acceso a GlobalProtect a través de diferentes puertos y direcciones en Can GlobalProtect Portal Page be Configured to be Accessed on any Port? (¿Se puede configurar la página del portal de GlobalProtect para acceder desde cualquier dispositivo?) Si desea más información sobre portales y puertas de enlace. como se indica a continuación: • Coloque los portales y las puertas de enlace externas en una zona no fiable para acceder mediante hosts desde fuera de su red.80. 8 IP y la máscara de red para asignarlas a la interfaz. En la pestaña Configurar. Si la puerta de enlace y el portal se encuentran en el mismo cortafuegos. fiable. Si crea una zona separada para su interfaz de túnel. Para guardar la configuración de la interfaz. • Si aún no ha creado la zona. Guía del administrador de GlobalProtect . para el portal y la puerta de enlace. seleccione predeterminado. como l3-fiable. El portal debe estar en una zona accesible desde fuera de su red. • Coloque puertas de enlace internas en una zona interna. – Puertas de enlace internas: Requiere una interfaz de bucle o de capa 3 en su zona fiable. por ejemplo: 208. 5. puede 2. a continuación. como no fiable. pero no es necesario. Configuración de interfaces y zonas para GlobalProtect Paso 1 Nota Nota Configure una interfaz de capa 3 para cada 1. pueden usar la misma interfaz. portal o puerta de enlace que pretenda implementar. estamos configurando ethernet1/1 como la interfaz del portal. seleccione Nueva zona desde el menú desplegable Zona de seguridad. a continuación. o bien. Seleccione Red > Interfaces > Ethernet o Red > Interfaces > Bucle invertido y. Para asignar una dirección IP a la interfaz. consulte Acerca de los componentes de GlobalProtect. por ejemplo: no fiable. En el menú desplegable Enrutador virtual. necesitará crear políticas de seguridad que habiliten el flujo del tráfico entre la zona VPN y la zona fiable. haga clic en Añadir en la sección IP e introduzca la dirección 6. como se indica a continuación: – Puertas de enlace externas: Requieren una interfaz de bucle o capa 3 y una interfaz de túnel lógica para que el cliente se conecte con el fin de establecer un túnel VPN. En el cuadro de diálogo Zona. En este ejemplo. seleccione la pestaña IPv4. haga clic en ACEPTAR. Se recomienda usar direcciones IP estáticas 3.56. 4.  Puertas de enlace de GlobalProtect: Los requisitos de interfaz y zona para la puerta de enlace dependen de si está configurando una puerta de enlace externa o una puerta de enlace interna. puede crear una zona separada.Creación de interfaces y zonas para GlobalProtect Configuración de la infraestructura de GlobalProtect Creación de interfaces y zonas para GlobalProtect Debe configurar las siguientes interfaces y zonas para la infraestructura de GlobalProtect:  Portal de GlobalProtect: Requiere una interfaz de bucle o capa 3 para que se conecten los clientes de GlobalProtect. como corp-vpn. La interfaz de bucle / capa 3 debe encontrarse en una zona externa. defina un Nombre para una nueva zona y. para mejorar la seguridad y la visibilidad. Si el portal y la puerta de enlace se encuentran en el mismo cortafuegos. seleccione la zona a la que pertenece la interfaz del portal o la puerta de enlace. seleccione la interfaz que quiere configurar para GlobalProtect. haga clic en ACEPTAR. como l3-nofiable.

Configuración de la infraestructura de GlobalProtect

Creación de interfaces y zonas para GlobalProtect

Configuración de interfaces y zonas para GlobalProtect (Continuación)

Paso 2

Nota

Nota

En los cortafuegos donde se alojen
puertas de enlace de GlobalProtect,
configure la interfaz de túnel lógica que
finalizará los túneles VPN establecidos
por los agentes de GlobalProtect.

1.

Seleccione Red > Interfaces > Túnel y haga clic en Añadir.

2.

En el campo Nombre de interfaz, especifique un sufijo
numérico, como.2.

3.

En la pestaña Configurar, amplíe el menú desplegable Zona de
seguridad para definir la zona del siguiente modo:

No se requieren direcciones IP en la
interfaz de túnel a menos que requiera
enrutamiento dinámico. Además, asignar
una dirección IP a la interfaz de túnel
puede resultar útil para solucionar
problemas de conexión.

• Para usar una zona fiable como punto de finalización del
túnel, seleccione la zona del menú desplegable.
• (Recomendado) Si quiere crear una zona separada para la
finalización del túnel VPN, haga clic en Nueva zona. En el
cuadro de diálogo Zona, defina un Nombre para la nueva
zona (por ejemplo, vpn-corp), seleccione la casilla de
verificación Habilitar identificación de usuarios y, a
continuación, haga clic en ACEPTAR.

Asegúrese de habilitar ID de usuario en la
zona donde finalizan los túneles VPN.
4.

En el menú desplegable Enrutador virtual, seleccione
predeterminado.

5.

(Opcional) Si quiere asignar una dirección IP a la interfaz de
túnel, seleccione la pestaña IPv4, haga clic en Añadir en la
sección IP e introduzca la dirección IP y la máscara de red
para asignarlas a la interfaz, por ejemplo: 10.31.32.1/32.

6.

Para guardar la configuración de la interfaz, haga clic en
Aceptar.

Paso 3

Si ha creado una zona separada para la finalización del túnel de las conexiones VPN, cree una política de
seguridad para habilitar el flujo de tráfico entre la zona VPN y su zona fiable. Por ejemplo, la siguiente regla de
política habilita el tráfico entre la zona corp-vpn y la zona l3-fiable.

Paso 4

Guarde la configuración.

Nota

Si ha habilitado el acceso de gestión a
la interfaz donde se aloja el portal, debe
añadir :4443 a la URL. Por ejemplo,
para acceder a la interfaz web del portal
configurado en este ejemplo, debería
introducir lo siguiente:

Haga clic en Compilar.

https://208.80.56.100:4443

O bien, si ha configurado un registro
DNS para FQDN, como gp.acme.com,
debería introducir:
https://gp.acme.com:4443

Guía del administrador de GlobalProtect

9

Habilitación de SSL entre componentes de GlobalProtect

Configuración de la infraestructura de GlobalProtect

Habilitación de SSL entre componentes de GlobalProtect
Toda la interacción entre los componentes de GlobalProtect se realiza a través de una conexión SSL. Por lo
tanto, debe generar o instalar los certificados necesarios antes de configurar cada componente, de modo que
pueda hacer referencia a los certificados adecuados en las configuraciones. En las siguientes secciones se
describen los métodos compatibles de implementación de certificados, las descripciones y las directrices de
recomendaciones para los diversos certificados de GlobalProtect, además de ofrecer instrucciones para la
generación e implementación de los certificados necesarios.

Acerca de la implementación de certificados

Recomendaciones para certificados de GlobalProtect

Implementación de certificados de servidores en los componentes de GlobalProtect

Acerca de la implementación de certificados
Hay tres métodos básicos para implementar certificados para GlobalProtect:

(Recomendado) Combinación de certificados de terceros y certificados autofirmados: Puesto que los
clientes finales accederán al portal antes de la configuración de GlobalProtect, el cliente debe confiar en el
certificado para establecer una conexión HTTPS. Del mismo modo, si está usando el gestor de seguridad
móvil de GlobalProtect, ocurre lo mismo con los dispositivos móviles que acceden al gestor de seguridad
móvil para su inscripción. Por lo tanto, el método recomendado consiste en adquirir el certificado de
servidor del portal y el certificado de servidor para la interfaz de registro del dispositivo del gestor de
seguridad móvil desde un certificado de CA fiable en el que ya confíen la mayoría de clientes finales con el
fin de prevenir errores de certificado. Una vez conectado correctamente, el portal puede enviar cualquier
otro certificado requerido (por ejemplo, el certificado de CA raíz para la puerta de enlace) al cliente final.

Autoridad de certificación empresarial: Si ya cuenta con su propia autoridad de certificación empresarial,
puede usar esta CA interna para emitir certificados de cada uno de los componentes de GlobalProtect y, a
continuación, importarlos desde los cortafuegos donde se alojan su portal y sus puertas de enlace y desde el
gestor de seguridad móvil. En este caso, debe asegurarse de que los dispositivos móviles o sistemas del
usuario final confíen en el certificado de CA raíz usado para emitir los certificados para los servicios de
GlobalProtect a los que deben conectarse.

Certificados autofirmados: Puede generar un certificado de CA autofirmado en el portal y usarlo para
emitir certificados de todos los componentes de GlobalProtect. Sin embargo, esta solución es menos segura
que otras opciones y, por lo tanto, no se recomienda. Si aun así elige esta opción, los usuarios finales verán
un error de certificado la primera vez que se conecten al portal. Para evitar esto, puede implementar
manualmente un certificado de CA raíz autofirmado para todos los sistemas de usuarios finales o usar algún
tipo de implementación centralizada, como un objeto de directiva de grupo (GPO) de Active Directory.

10

Guía del administrador de GlobalProtect

Configuración de la infraestructura de GlobalProtect

Habilitación de SSL entre componentes de GlobalProtect

Recomendaciones para certificados de GlobalProtect
En la siguiente tabla se resumen los certificados SSL que necesitará dependiendo de las funciones que pretenda usar:
Tabla: Requisitos de certificados para GlobalProtect
Certificado

Uso

Proceso de emisión / Recomendaciones

Certificado de CA

Usado para firmar certificados Si pretende usar certificados autofirmados, es recomendable
emitidos para los componentes generar un certificado de CA en el portal y, a continuación, usar
de GlobalProtect.
dicho certificado para emitir los certificados necesarios para
GlobalProtect.

Certificado de servidor
del portal

• Se recomienda usar un certificado emitido por una CA
Habilita a los agentes /
externa conocida. Es la opción más segura y garantiza que los
aplicaciones de GlobalProtect
clientes finales puedan establecer una relación de confianza
para que establezcan una
con el portal sin necesidad de que implemente el certificado
conexión HTTPS con el portal.
de
CA raíz.
El campo de nombre común
(CN) y, si es aplicable, de
• Si no usa una CA pública conocida, debería exportar el
nombre alternativo del asunto
certificado de CA raíz usado para generar el certificado de
(SAN) del certificado deben
servidor del portal a todos los sistemas cliente que usen
coincidir exactamente con la
GlobalProtect con el fin de evitar que los usuarios finales
dirección IP o con el nombre
vean advertencias de certificados durante la conexión inicial
de dominio completo (FQDN)
al portal.
de la interfaz donde está alojado
• Si está implementando un portal y una única puerta de enlace
el portal.
en la misma interfaz / dirección IP para un acceso básico a
VPN, debe usar un certificado de servidor único para ambos
componentes.

Certificado de servidor
de la puerta de enlace

• Cada puerta de enlace debe tener su propio certificado de
Habilita a los agentes /
servidor.
aplicaciones de GlobalProtect
para que establezcan una
• Se recomienda generar un certificado de CA en el portal y
conexión HTTPS con el portal.
usar dicho certificado para generar todos los certificados de
El campo de nombre común
puertas de enlace.
(CN) y, si es aplicable, de
• El portal puede distribuir el certificado de CA raíz de la puerta
nombre alternativo del asunto
de enlace a todos los agentes en la configuración del cliente,
(SAN) del certificado deben
de modo que no sea necesario que una CA pública emita
coincidir exactamente con el
todos los certificados de puerta de enlace.
FQDN o la dirección IP de la
• Si está implementando un portal y una única puerta de enlace
interfaz donde pretende
en la misma interfaz / dirección IP para un acceso básico a
configurar la puerta de enlace.
VPN, debe usar un certificado de servidor único para ambos
componentes. Se recomienda usar un certificado emitido por
una CA pública.

Guía del administrador de GlobalProtect

11

• Para simplificar la implementación de certificados de cliente. Si pretende usar la función anterior al inicio de sesión. se recomienda adquirir un certificado para la interfaz de registro del dispositivo del gestor de seguridad móvil desde una CA fiable y conocida. consulte Configuración del dirección IP o con el nombre gestor de seguridad móvil de GlobalProtect. • Tal vez deba probar su configuración primero sin el certificado de cliente y. necesitará certificados de servidor nombre alternativo del asunto separados para cada interfaz. • Si la interfaz de registro del dispositivo está en una interfaz • El campo de nombre común diferente a la que se conectan las puertas de enlace para la (CN) y. En esta configuración. Para obtener más información. de recuperación de HIP. añadir el certificado del cliente cuando esté seguro de que el resto de ajustes de la configuración son correctos. configure el portal para que implemente el certificado de cliente a los agentes al realizarse correctamente el inicio de sesión. tendrá que implementar el certificado de CA raíz del gestor de seguridad móvil para dispositivos móviles a través de la configuración del portal (a fin de habilitar el dispositivo para que establezca una conexión SSL con el gestor de seguridad móvil para su inscripción). debe utilizar su propia infraestructura PKI para implementar los certificados de máquina en cada sistema de cliente antes de habilitar el acceso a GlobalProtect. consulte VPN de acceso remoto con función anterior al inicio de sesión. a continuación. lo que permite el establecimiento de túneles VPN antes de que el usuario inicie sesión. (Opcional) Certificado de máquina Garantiza que solo se puedan conectar a GlobalProtect los equipos fiables. todos los agentes de GlobalProtect que usen la misma configuración comparten un único certificado de cliente. Si no utiliza una CA fiable para emitir certificados de la interfaz de registro del dispositivo del gestor de seguridad móvil. si es aplicable. 12 Guía del administrador de GlobalProtect . (SAN) del certificado deben coincidir exactamente con la Si desea información detallada. el objetivo de este certificado es asegurarse de que solo los clientes de su organización tengan permiso para conectarse. los certificados de máquina son necesarios para el uso del método de conexión anterior al inicio de sesión. Certificados de servidor • Permite a los dispositivos del gestor de seguridad móviles establecer sesiones móvil HTTPS con el gestor de seguridad móvil para su inscripción o registro. • Puesto que los dispositivos deben confiar en el gestor de seguridad móvil para inscribirse. Además.Habilitación de SSL entre componentes de GlobalProtect Configuración de la infraestructura de GlobalProtect Certificado Uso Proceso de emisión / Recomendaciones (Opcional) Certificado de cliente Sirve para habilitar la autenticación mutua entre los agentes de GlobalProtect y las puertas de enlace o el portal. de dominio completo (FQDN) de la interfaz. • Permite a las puertas de enlace conectarse al gestor de seguridad móvil para recuperar informes HIP para los dispositivos móviles gestionados. también puede • Puede usar otros mecanismos para implementar certificados usar certificados de cliente para de clientes exclusivos para cada sistema de cliente que se autenticar a usuarios finales. usarán en la autenticación del usuario final. Además de habilitar la autenticación mutua al establecer una sesión HTTPS entre el cliente y el portal / puerta de enlace.

13 . a continuación. Consulte Configuración del gestor de seguridad móvil para la inscripción para obtener información detallada sobre cómo realizar esta configuración.Configuración de la infraestructura de GlobalProtect Habilitación de SSL entre componentes de GlobalProtect Certificado Uso Proceso de emisión / Recomendaciones Certificado de gestor de seguridad móvil del servicio Notificaciones Push de Apple (APN) Permite que el gestor de seguridad móvil envíe notificaciones push a los dispositivos iOS gestionados. Guía del administrador de GlobalProtect El gestor de seguridad móvil gestiona la implementación de certificados de identidad para los dispositivos que gestiona. enviarlo al portal de perfiles de datos de iOS de Apple (requiere inicio de sesión) para la firma. • Debe generar una solicitud de firma de certificado (CSR) para este certificado en el gestor de seguridad móvil y. Consulte Configuración del gestor de seguridad móvil para el registro de dispositivos para obtener información detallada sobre cómo realizar esta configuración. • Apple solo admite CSR firmados mediante SHA 1 Message Digest y claves de 2048 bits. la puerta de enlace para establecer sesiones SSL mutuamente autenticadas con dispositivos móviles. opcionalmente. Certificados de identidad Habilitan el gestor de seguridad móvil y.

de enlace y.Habilitación de SSL entre componentes de GlobalProtect Configuración de la infraestructura de GlobalProtect Implementación de certificados de servidores en los componentes de GlobalProtect El siguiente flujo de trabajo muestra los pasos recomendados para implementar certificados SSL en los componentes de GlobalProtect: Implementación de certificados de servidores SSL en los componentes de GlobalProtect • Importe un certificado de servidor desde una CA Para importar un certificado y una clave desde una CA pública. El nombre de certificado no puede puede contener espacios. Seleccione la casilla de verificación Autoridad del certificado y. Seleccione Configuración > Gestión de certificados > gestor de seguridad móvil. • Cree el certificado de CA raíz para la emisión de Para usar certificados autofirmados. de manera opcional. Introduzca la ruta y el nombre en el Archivo de certificado que recibió de la CA o seleccione Examinar para buscar el archivo. 5. A continuación. asegúrese de que se puede acceder a los archivos de clave y externa conocida. de nombre alternativo del asunto (SAN) del certificado deben coincidir exactamente con el nombre de dominio completo (FQDN) o la dirección IP de la interfaz donde pretende configurar el portal o la interfaz de registro del dispositivo en el gestor de seguridad móvil. 7. Seleccione la casilla de verificación Importar clave privada. Vuelva a introducir la frase de contraseña que se usó para cifrar la clave privada y después haga clic en ACEPTAR para importar el certificado y la clave. 4. Guía del administrador de GlobalProtect . Admite coincidencias con comodines. Introduzca la ruta y el nombre en el archivo PKCS#12 en el campo Archivo de clave o seleccione Examinar para encontrarla. Haga clic en Importar e introduzca un nombre de certificado. De este modo puede Certificados > Certificados de dispositivos. No seleccione ningún valor en el campo Firmado por (esto es lo que indica que está autofirmado). Seleccione Clave privada cifrada y certificado (PKCS12) como Formato de archivo. establecer una conexión HTTPS sin recibir advertencias de certificado. a continuación. si es aplicable. Introduzca un nombre de certificado. haga clic en Generar. 6. haga clic en Aceptar para generar el certificado. como GlobalProtect_CA. Para crear un certificado de CA raíz. clientes. 4. Nota El campo de nombre común (CN) y. certificado desde su sistema de gestión y de que tiene la frase de Recomendación: contraseña para descifrar la clave privada. 3. a continuación. siga estos Use un certificado de servidor de una CA externa pasos: conocida para el portal de GlobalProtect y el 1. 3. asegurarse de que los clientes finales podrán 2. primero debe crear un certificados autofirmados de los componentes de certificado de CA raíz que servirá para firmar los certificados de componentes de GlobalProtect del siguiente modo: GlobalProtect. 1. 14 Gestión de certificados > Certificados > Certificados de dispositivos y. seleccione Dispositivo > Recomendación: Cree el certificado de CA raíz en el portal y úselo para emitir certificados de servidor para puertas 2.

Configuración de la infraestructura de GlobalProtect

Habilitación de SSL entre componentes de GlobalProtect

Implementación de certificados de servidores SSL en los componentes de GlobalProtect (Continuación)

• Genere un nuevo certificado de servidor
autofirmado.
Recomendación:
Use la CA raíz en el portal para generar
certificados de servidor para cada puerta de
enlace que pretende implementar y, de manera
opcional, para la interfaz de gestión del gestor
de seguridad móvil (si esta es la interfaz que
usarán las puertas de enlace para recuperar los
informes HIP).
Nota

En los certificados de servidor de la puerta
de enlace, los valores en los campos
Nombre común (CN) y Nombre
alternativo del asunto (SAN) en el
certificado deben ser idénticos. De lo
contrario, el agente de GlobalProtect
detectará la discrepancia al comprobar la
cadena de confianza del certificado y no
confiará en el certificado. Los certificados
autofirmados solo contendrán un campo
SAN si añade un atributo de certificado
Nombre de host.

• Implemente los certificados de servidor
autofirmados.

1.

Seleccione Dispositivo > Gestión de certificados >
Certificados > Certificados de dispositivos y, a continuación,
haga clic en Generar.

2.

Introduzca un nombre de certificado. El nombre de certificado
no puede puede contener espacios.

3.

Introduzca el FQDN (recomendado) o la dirección IP de la interfaz
donde pretende configurar la puerta de enlace en el campo
Nombre común.

4.

En el campo Firmado por, seleccione GlobalProtect_CA, que creó
en el paso anterior.

5.

En la sección Atributos del certificado, haga clic en Añadir y defina
los atributos para identificar de forma exclusiva la puerta de enlace.
Tenga en cuenta que si añade un atributo Nombre de host (que
cumplimenta el campo SAN del certificado), debe coincidir
exactamente con el valor que haya definido en el campo Nombre
común.

6.

Haga clic en Aceptar para generar el certificado.

7.

Compile sus cambios.

1.

En el portal, seleccione Dispositivo > Gestión de certificados >
Certificados > Certificados de dispositivos, seleccione el
certificado de puerta de enlace que quiere implementar y haga clic
en Exportar.

2.

Seleccione Clave privada cifrada y certificado (PKCS12) en el
menú desplegable Formato de archivo.

3.

Introduzca dos veces una frase de contraseña para cifrar la clave
privada y, a continuación, haga clic en ACEPTAR para descargar el
archivo PKCS12 en su ordenador.

4.

En la puerta de enlace, seleccione Dispositivo > Gestión de
certificados > Certificados > Certificados de dispositivo y haga
clic en Importar.

5.

Introduzca un nombre de certificado.

6.

Introduzca la ruta y el nombre en el archivo de certificado que
acaba de descargar del portal o seleccione Examinar para buscar el
archivo.

7.

Seleccione Clave privada cifrada y certificado (PKCS12) como
Formato de archivo.

Recomendaciones:
• Exporte los certificados de servidor
autofirmados emitidos por la CA raíz al
portal e impórtelos desde las puertas de
enlace.
• Asegúrese de emitir un único certificado de
servidor para cada puerta de enlace.
• Al usar certificados autofirmados, debe
distribuir el certificado de CA raíz a los
clientes finales en las configuraciones de
clientes del portal.

8.

Introduzca la ruta y nombre en el archivo PKCS#12 en el campo
Archivo de clave o seleccione Examinar para encontrarla.

9.

Vuelva a introducir la frase de contraseña que se usó para cifrar
la clave privada y después haga clic en ACEPTAR para importar el
certificado y la clave.

10. Compilar los cambios en la puerta de enlace.

Guía del administrador de GlobalProtect

15

Configuración de la autenticación de usuario en GlobalProtect

Configuración de la infraestructura de GlobalProtect

Configuración de la autenticación de usuario en
GlobalProtect
El portal y la puerta de enlace requieren las credenciales autenticación del usuario final antes de que permitir al
agente / aplicación de GlobalProtect acceder a los recursos de GlobalProtect. Puesto que el portal y la puerta
de enlace le piden que especifique qué mecanismos de autenticación se usarán, debe configurar la autenticación
antes de continuar con la configuración del portal y la puerta de enlace. En las siguientes secciones se detallan
los mecanismos de autenticación admitidos y el modo de configurarlos:

Acerca de la autenticación de usuarios de GlobalProtect

Configuración de autenticación externa

Configuración de la autenticación de certificado de cliente

Configuración de la autenticación en dos fases

Acerca de la autenticación de usuarios de GlobalProtect
La primera vez que un agente / aplicación de GlobalProtect se conecta al portal, se solicita al usuario que se
autentique en el portal para poder descargar la configuración de GlobalProtect, que incluye una lista de puertas
de enlace a las que se puede conectar el agente, la ubicación del gestor de seguridad móvil y, de manera opcional,
un certificado de cliente para conectarse a las puertas de enlace. Cuando se haya descargado correctamente la
configuración y se haya guardado en caché, el agente / aplicación trata de conectarse a una de las puertas de
enlace especificadas en la configuración o al gestor de seguridad móvil. Puesto que estos componentes ofrecen
acceso a sus recursos y configuraciones de red, también requieren la autenticación del usuario final.
El nivel de seguridad requerido en el portal, en el gestor de seguridad móvil y en las puertas de enlace (e incluso
de una puerta de enlace a otra) varía en función de la confidencialidad de los recursos que cada uno protege;
GlobalProtect ofrece un marco de autenticación flexible que le permite elegir el perfil de autenticación o el perfil
de certificado adecuado para cada componente.
Las siguientes secciones describen las funciones de autenticación disponibles en el portal y la
puerta de enlace. Para obtener información detallada acerca de la configuración de la
autenticación, consulte Configuración del gestor de seguridad móvil para la inscripción.

16

Guía del administrador de GlobalProtect

Configuración de la infraestructura de GlobalProtect

Configuración de la autenticación de usuario en GlobalProtect

Métodos de autenticación de GlobalProtect admitidos
GlobalProtect es compatible con los siguientes métodos de autenticación:
Método de autenticación Descripción
Autenticación local

Tanto las credenciales de cuenta de usuario como los mecanismos de autenticación se
encuentran en el cortafuegos. Este mecanismo de autenticación no es adaptable, ya que
requiere una cuenta para cada usuario final de GlobalProtect y, por lo tanto, solo se
recomienda para implementaciones muy pequeñas. Para obtener instrucciones sobre cómo
crear cuentas de usuarios locales, consulte la guía de inicio de PAN-OS.

Autenticación externa

Las funciones de autenticación de usuarios se externalizan a un servicio LDAP, Kerberos o
RADIUS existente (incluyendo la compatibilidad con mecanismos de autenticación en dos fases
basada en token, tales como la autenticación OTP [contraseña de un solo uso]). Para habilitar la
autenticación externa, primero debe crear un perfil de servidor que defina la configuración de
acceso al servicio de autenticación externa y, a continuación, crear un perfil de autenticación que
haga referencia al perfil de servidor. Entonces tendrá que hacer referencia al perfil de autenticación
en la configuración del portal, la puerta de enlace o el gestor de seguridad móvil. Puede usar
diferentes perfiles de autenticación para cada componente de GlobalProtect. Consulte un ejemplo
de configuración en VPN de acceso remoto (Perfil de autenticación).

Autenticación de certificación El portal o la puerta de enlace usan un certificado de cliente para obtener el nombre de usuario y
de cliente
autenticar al usuario antes de permitirle acceder al sistema. Con este tipo de autenticación, debe

emitir un certificado de cliente para cada usuario final; los certificados que emita deben contener
el nombre de usuario en uno de los campos del certificado, como el campo Nombre de asunto.
Si se ha configurado el perfil del certificado en el portal de GlobalProtect, el cliente debe presentar
un certificado para conectarse. Esto significa que los certificados deben implantarse previamente
en clientes finales antes de su conexión inicial al portal.
Además, el perfil del certificado especifica el campo del certificado del que obtener el nombre de
usuario. Si el perfil del certificado especifica Asunto en Campo nombre de usuario, el certificado
presentado por el cliente debe contener un nombre común para poder conectarse. Si el perfil del
certificado especifica un Asunto alternativo con un Correo electrónico o Nombre principal como
Campo de nombre de usuario, el certificado presentado por el cliente debe contener los campos
correspondientes, que se usarán como nombre de usuario cuando el agente de GlobalProtect se
autentique en el portal o la puerta de enlace.
GlobalProtect también es compatible con una tarjeta de acceso común (CAC) y autenticación con
tarjetas inteligentes, que se basan en un perfil del certificado. En este caso, el perfil del certificado
debe contener el certificado de CA raíz que emitió el certificado en la tarjeta inteligente/CAC.
Si usa la autenticación de certificado de cliente, no debería configurar un certificado de cliente en
la configuración del portal, ya que lo proporcionará el sistema del cliente cuando se conecte el
usuario final. En VPN de acceso remoto (Perfil del certificado) puede ver un ejemplo de cómo
configurar una autenticación de certificado de cliente.

Guía del administrador de GlobalProtect

17

si el portal y la puerta de enlace requieren credenciales diferentes (tales como OTP exclusivas).Configuración de la autenticación de usuario en GlobalProtect Configuración de la infraestructura de GlobalProtect Método de autenticación Descripción Autenticación en dos fases Puede habilitar la autenticación en dos fases configurando tanto un perfil de certificado como un perfil de autenticación y añadir ambos a la configuración de portal o puerta de enlace. Consulte un ejemplo de configuración en VPN de acceso remoto con autenticación de dos factores. el agente de GlobalProtect intenta usar las mismas credenciales de inicio de sesión para la puerta de enlace y el portal. 18 Guía del administrador de GlobalProtect . el cliente deberá autenticarse correctamente en ambos mecanismos para poder acceder al sistema. En el caso más sencillo. y al mismo tiempo solicitar una OTP como segundo factor o una contraseña diferente para acceder a esas puertas de enlace. Hay dos opciones para modificar el comportamiento de la autenticación predeterminada del agente en una configuración basada en el cliente:  Autenticación de cookies en el portal: El agente usa cookies cifradas para la autenticación en el portal al actualizar una configuración que se ha almacenado previamente en caché (se solicitará la autenticación del usuario siempre que se trate de la configuración inicial o al expirar una cookie).  Deshabilitación del reenvío de credenciales a algunas o todas las puertas de enlace: El agente no intentará usar sus credenciales del portal para iniciar sesión en la puerta de enlace. Por ejemplo. este comportamiento predeterminado provocaría retrasos en la conexión a la puerta de enlace porque esta no avisaría al usuario para que se autenticase hasta que hubiera intentado autenticarse sin éxito mediante las credenciales proporcionadas por el agente. que permiten acceder a los recursos más importantes de su empresa. puesto que ya no tendrán que iniciar sesión sucesivamente tanto en el portal como en la puerta de enlace o introducir varias OTP para autenticarse en ambas. el valor en el campo de nombre común del certificado se usará por defecto como el nombre de usuario cuando el usuario intente autenticarse en el servidor de autenticación. lo que le permite tener la misma seguridad en sus portales y en las puertas de enlace automáticas. Con esta opción. ¿Cómo sabe el agente qué credenciales proporcionar al portal y la puerta de enlace? Por defecto. Sin embargo. el nombre de usuario se usará automáticamente para la autenticación en el servicio de autenticación externo especificado en el perfil de autenticación. si la puerta de enlace y el portal usan el mismo perfil de autenticación o perfil de certificado. si en el perfil del certificado Campo nombre de usuario se ha definido como Asunto. lo que permite a la puerta de enlace solicitar inmediatamente su propio conjunto de credenciales. De este modo se simplifica el proceso de autenticación para usuarios finales. el agente reenviará credenciales a puertas de enlace automáticas pero no a las manuales. si el perfil de certificado especifica un Campo nombre de usuario desde el que obtener el nombre de usuario del certificado. Además. También puede optar por usar usar una contraseña diferente solo para puertas de enlace manuales. Si no quiere obligar a los usuarios a autenticarse con un nombre de usuario desde el certificado. Esta opción acelera el proceso de autenticación cuando el portal y la puerta de enlace requieren credenciales distintas (ya se trate de OTP distintas o credenciales de inicio de sesión completamente diferentes). Tenga en cuenta que con la autenticación en dos fases. asegúrese de que el perfil del certificado se ha establecido en Ninguno para Campo nombre de usuario. el agente se conectará a la puerta de enlace de forma transparente.

Para usar este método de autenticación. El perfil de autenticación especifica qué perfil de servidor se usa para la autenticación 2. a continuación. Este valor se añadirá al nombre de usuario en la dirección IP para las asignaciones de usuarios a los ID de usuario. incluido el Nombre. Seleccione el Perfil de servidor que creó en el Paso 1. 1. Dirección IP (o FQDN) y Puerto del servidor. Kerberos o RADIUS). 19 . Haga clic en Añadir en la sección Servidores e introduzca la información requerida para el servicio de autenticación. GlobalProtect admite la autenticación externa mediante LDAP. Guía del administrador de GlobalProtect Especifique el nombre del Dominio (sin puntos. Configuración de la autenticación de usuarios externa Paso 1 Cree un perfil de servidor. Paso 3 Guarde la configuración. compruebe la ruta del servicio al servidor LDAP. 6. debe crear un perfil de servidor LDAP diferente para cada dominio de AD.com). 5. 4. 3. Introduzca un Nombre para el perfil y. por ejemplo acme. 2. Kerberos o RADIUS). (Solo LDAP y Kerberos) Especifique dónde buscar a los usuarios en el servicio del directorio: • LDAP: DN de Base especifica el punto en el árbol del LDAP donde empezar a buscar usuarios y grupos. El perfil de servidor indica al cortafuegos cómo conectar con un servicio de autenticación externo y acceder a las credenciales de autenticación de los usuarios. 7. GlobalProtect también es compatible con la autenticación local. Paso 2 Cree un perfil de autenticación. (LDAP AD) Introduzca sAMAccountName como el Atributo de inicio de sesión. Si está usando LDAP para conectarse a Active Directory (AD). 8. • Kerberos: Introduzca el nombre del Dominio de Kerberos. Este campo debería cumplimentarse automáticamente al introducir el puerto y la dirección del servidor. seleccione el tipo de Autenticación (LDAP. o puerta de enlace. Haga clic en Añadir e introduzca un Nombre para el perfil. cree una base de datos de usuarios locales que contenga los usuarios y grupos a los que quiere permitir el acceso a la VPN (Dispositivo > Base de datos de usuario local) y haga una referencia en el perfil de autenticación. 5.Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect Configuración de autenticación externa En el siguiente flujo de trabajo se describe el modo de configurar el portal o la puerta de enlace para la autenticación de usuarios mediante un servicio de autenticación existente. (Solo RADIUS y LDAP) Especifique la configuración para habilitar la autenticación del cortafuegos en el servicio de autenticación del siguiente modo: • RADIUS: Introduzca el Secreto compartido al añadir la entrada del servidor. como Aut-Usuarios-GP (Solo LDAP) Seleccione el Tipo de servidor LDAP al que se esté conectando. Nota 1. Puede adjuntar un perfil de autenticación a una configuración de portal 3. Haga clic en Compilar. Haga clic en Aceptar para guardar el perfil de servidor. De no ser así. Kerberos o RADIUS. Seleccione Dispositivo > Perfil de autenticación y haga clic en Añadir un nuevo perfil. 4. Haga clic en ACEPTAR. de usuarios. Seleccione Dispositivo > Perfiles de servidor y seleccione el tipo de perfil (LDAP. • LDAP: Introduzca el valor de Enlazar DN y Enlazar contraseña. no acme.

haga clic en Generar. Es un requisito anterior al inicio de sesión. Clientes_Windows_GP. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y. 20 Para emitir certificados exclusivos para clientes o máquinas individuales. Dado que este mismo certificado se implementará a todos los agentes usando la misma configuración. Guía del administrador de GlobalProtect . no es necesario identificar de forma exclusiva usuarios finales o sistemas específicos. si quiere usar certificados de cliente para validar que el usuario pertenece a su organización. Consulte Autenticación en dos fases. Use el procedimiento de este paso para emitir certificados de cliente autofirmados para tal fin. 4. use su CA de empresa o una CA pública. 5. Introduzca un nombre de certificado. 7. 6. En el campo Nombre común. Cree el certificado de CA raíz para la emisión de certificados autofirmados de los componentes de GlobalProtect. introduzca un nombre para identificar este certificado como certificado de agente. (Opcional) En la sección Atributos del certificado. puede usar un único certificado de cliente para todos los agentes. El método de emisión de certificados de cliente depende del modo en que esté usando la autenticación de clientes: • Para autenticar usuarios individuales: Debe emitir un certificado de cliente exclusivo para cada usuario de GlobalProtect e implementarlos en los sistemas del cliente antes de habilitar GlobalProtect. a continuación. seleccione su CA raíz. • Para validar que el sistema del cliente pertenece a su organización: Use su propia infraestructura de clave pública (PKI) para emitir y distribuir certificados de máquina a cada sistema de cliente (recomendado) o genere un certificado de máquina autofirmado para su exportación.Configuración de la autenticación de usuario en GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de certificado de cliente Con la autenticación de certificado del cliente. el agente / aplicación debe presentar un certificado de cliente para conectarse al portal o puerta de enlace de GlobalProtect. o bien generar certificados separados para implementarlos con una configuración de cliente en particular. Haga clic en Aceptar para generar el certificado. En el campo Firmado por. • Para validar que un usuario pertenece a su organización: En este caso. 3. El nombre de certificado no puede puede contener espacios. genere un certificado de cliente autofirmado como se especifica a continuación: 1. haga clic en Añadir y defina los atributos que identifican a los clientes de Global Protect como pertenecientes a su organización si forma parte de sus requisitos de seguridad. Sin embargo. Configuración de la autenticación de certificado de cliente Paso 1 Emita certificados de cliente para máquinas/usuarios de GlobalProtect. 2. Esta opción requiere que configure además un perfil de autenticación para autenticar al usuario. por ejemplo.

Instale certificados de usuario en el almacén de certificados del usuario actual en Windows y en el llavero personal de Mac OS. 21 . dependiendo del certificado que esté importando: • Cuenta de equipo: Seleccione esta opción si está importando un certificado de máquina. Desde la línea de comandos. para instalar un certificado en un sistema Windows usando Microsoft Management Console: 1. Seleccione Certificados. 4. a continuación.p12 para importar (seleccione Intercambio de información personal como el tipo de archivo que busca) e introduzca la contraseña que usó para cifrar la clave privada. A continuación. • Mi cuenta de usuario: Seleccione esta opción si está importando un certificado de usuario. 5. Seleccione Archivo > Agregar o quitar complemento.Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect Configuración de la autenticación de certificado de cliente (Continuación) Paso 2 Instale certificados en el almacén de certificados personales de los sistemas cliente. Si está usando certificados de usuario o certificados de máquina exclusivos. seleccione una de las siguientes opciones. Instale certificados de máquina en el almacén de certificados del equipo local en Windows y en el llavero del sistema de Mac OS. Seleccione Personal como el almacén de certificados. 2. Desplácese hasta el archivo de certificado . haga clic en Agregar y. introduzca mmc para iniciar la consola. 3. en la columna Acciones seleccione Personal > Acciones adicionales > Todas las tareas > Importar y siga los pasos del Asistente para importación de certificados para importar el archivo PKCS que ha obtenido de la CA. Guía del administrador de GlobalProtect Por ejemplo. Expanda Certificados y seleccione Personal. cada certificado debe instalarse en el almacén de certificados personales del sistema cliente antes de la primera conexión al portal / puerta de enlace.

d. Nota Si está configurando el portal o puerta de enlace con autenticación en dos fases. Seleccione un valor para el Campo de nombre de usuario para especificar qué campo en el certificado contendrá la información de identidad del usuario. se usará como nombre de usuario el nombre 2. como una CA pública o una CA PKI de empresa. b. a continuación. el portal / puerta de enlace ya confía en la CA raíz. Seleccione Certificado codificado en Base64 (PEM) como Formato de archivo y. 2. Paso 5 22 Guarde la configuración. Guía del administrador de GlobalProtect . Introduzca un Nombre de certificado que identifique al certificado como su certificado de CA de cliente. haga clic en Aceptar. haga clic en Añadir.Configuración de la autenticación de usuario en GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de certificado de cliente (Continuación) (Continuación del Paso 2) 6. Seleccione CA raíz de confianza y. 1. de usuario del certificado de cliente cuando se autentique al usuario en su servicio de autenticación externo. Seleccione Dispositivo > Certificados > Gestión de certificados > Perfil del certificado. haga clic en Añadir e introduzca un Nombre de perfil. Compruebe que se ha añadido el certificado al almacén de certificados personales: Paso 3 1. Descargue el certificado de CA raíz usado para emitir los certificados de clientes (formato Base64). En el campo Certificados de CA. seleccione el certificado de CA raíz de confianza que importó en el Paso 3 y. a continuación. haga clic en ACEPTAR. Paso 4 Cree un perfil de certificado de cliente. Si usa certificados autofirmados. modo se garantiza que el usuario que se está registrando es en realidad el usuario para el que se emitió el certificado. haga clic en Aceptar. De este 3. c. Haga clic en Confirmar. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y haga clic en Importar. Importe el certificado de CA raíz desde la CA que generó los certificados de cliente al cortafuegos: Importe el certificado de CA raíz usado para emitir los certificados de clientes desde el cortafuegos. f. Este paso solo es necesario si los certificados de clientes fueron emitidos por una CA externa. Desplácese hasta el archivo del certificado que descargó de la CA. a continuación. a. e. Seleccione el certificado que acaba de importar en la pestaña Certificados de dispositivos para abrirlo.

Las siguientes secciones ofrecen ejemplos de cómo configurar una autenticación en dos fases en GlobalProtect:  Habilitación de la autenticación en dos fases  Habilitación de la autenticación en dos fases mediante contraseñas de un solo uso (OTP)  Habilitación de autenticación en dos fases mediante tarjetas inteligentes Habilitación de la autenticación en dos fases El siguiente flujo de trabajo muestra cómo configurar la autenticación de clientes de GlobalProtect que requiere que el usuario se autentique tanto con un perfil de certificado como con un perfil de autenticación. tarjeta inteligente o certificado). SDX o HIPAA. consulte VPN de acceso remoto con autenticación de dos factores. tarjetas inteligentes o una combinación de autenticación externa y autenticación de certificado de cliente. configure GlobalProtect para usar un servicio de autenticación que use un esquema de autenticación en dos fases como contraseñas de un solo uso (OTP). Si desea información más detallada sobre esta configuración. como PCI.Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect Configuración de la autenticación en dos fases Si necesita una autenticación sólida para proteger sus recursos más importantes o para cumplir con requisitos normativos. Un esquema de autenticación en dos fases requiere dos elementos: algo que conozca el usuario final (como un PIN o una contraseña) y algo que el usuario tenga (hardware o de token/OTP. Guía del administrador de GlobalProtect 23 . tokens. El usuario debe autenticarse correctamente usando ambos métodos para poder conectarse al portal/puerta de enlace.

debe crear un perfil de servidor LDAP diferente para cada dominio de AD. por ejemploacme. 3. 5. Cree un perfil de servidor. Dirección IP (o FQDN) y Puerto del servidor. Kerberos o RADIUS). Introduzca un Nombre para el perfil y. Este campo debería cumplimentarse automáticamente al introducir el puerto y la dirección del servidor. Haga clic en Añadir en la sección Servidores e introduzca la información requerida para el servicio de autenticación. El perfil de servidor indica al cortafuegos cómo conectar con un servicio de autenticación externo y acceder a las credenciales de autenticación de los usuarios. 1. 4. como Aut-Usuarios-GP. Especifique el nombre del Dominio (sin puntos. El perfil de autenticación especifica qué perfil de servidor se usa para la autenticación de usuarios. De no ser así. compruebe la ruta del servicio al servidor LDAP. Haga clic en Aceptar para guardar el perfil de servidor. a continuación. 24 Haga clic en ACEPTAR.Configuración de la autenticación de usuario en GlobalProtect Configuración de la infraestructura de GlobalProtect Habilitación de la autenticación en dos fases Paso 1 1. 2. (Solo LDAP) Seleccione el Tipo de servidor LDAP al que se esté conectando. 5. Este valor se añadirá al nombre de usuario en la dirección IP para las asignaciones de usuarios a los ID de usuario. 3. Paso 2 Cree un perfil de autenticación. 4. Si está usando LDAP para conectarse a Active Directory (AD). incluido el Nombre. Seleccione Dispositivo > Perfiles de servidor y seleccione el tipo de perfil (LDAP. 7. 2. Seleccione Dispositivo > Perfil de autenticación y haga clic en Añadir un nuevo perfil. Nota (Solo RADIUS y LDAP) Especifique la configuración para habilitar la autenticación del cortafuegos en el servicio de autenticación del siguiente modo: • RADIUS: Introduzca el Secreto compartido al añadir la entrada del servidor. Kerberos o RADIUS). Puede adjuntar un perfil de autenticación a una configuración de portal o puerta de enlace. Haga clic en Añadir e introduzca un Nombre para el perfil. 8. Guía del administrador de GlobalProtect . 6.com). no acme. (Solo LDAP y Kerberos) Especifique dónde buscar a los usuarios en el servicio del directorio: • LDAP: DN de Base especifica el punto en el árbol del LDAP donde empezar a buscar usuarios y grupos. • LDAP: Introduzca el valor de Enlazar DN y Enlazar contraseña. • Kerberos: Introduzca el nombre del Dominio de Kerberos. (LDAP AD) Introduzca sAMAccountName como Atributo de inicio de sesión. seleccione el tipo de Autenticación (LDAP. Seleccione el Perfil de servidor que creó en el Paso 1.

Paso 5 Seleccione Dispositivo > Certificados > Gestión de certificados > Perfil del certificado. Nota Si está configurando el portal o puerta de enlace con autenticación en dos fases. seleccione el campo del certificado que contendrá la información de identidad del usuario. Instale certificados en el almacén de certificados personales de los sistemas cliente. ya sea permitiendo al portal la autenticación usando una cookie cifrada o evitando que el agente use con la puerta de enlace las mismas credenciales que usó para el portal. En el caso de la autenticación OTP. añada el perfil de servidor a un perfil de autenticación y. Haga clic en Confirmar. Para evitar esto. haga referencia a ese perfil de autenticación en la configuración del dispositivo que llevará a cabo la autenticación: en este caso. haga clic en Añadir e introduzca un Nombre de perfil. haga clic en Añadir. • Si está usando el certificado de cliente para la autenticación de usuarios individuales (incluyendo usuarios de tarjetas inteligentes). el agente proporcionará las mismas credenciales usadas para el inicio de sesión en el portal y la puerta de enlace. a continuación. En el campo Certificados de CA. 3. usuario. Paso 3 Cree un perfil de certificado de cliente.Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect (Continuación) Habilitación de la autenticación en dos fases 1. el portal permite la modificación de este comportamiento mediante una configuración para cada cliente. seleccione el certificado de CA raíz de confianza que importó en el Paso 3 y. Seleccione un valor para el Campo de nombre de usuario: • Si está implementando un certificado de cliente desde el portal. el valor del nombre de usuario se usará como nombre de usuario cuando se autentique al usuario en su servicio de autenticación externo. el proceso de configuración del acceso al servicio de autenticación en dos fases es parecido al de configuración de cualquier otro tipo de autenticación: cree un perfil de servidor (normalmente en un servidor RADIUS). si el cliente contiene un campo de nombre de 2. Utilice su PKI empresarial o CA pública para emitir un certificado de cliente único para cada usuario de GlobalProtect. deje este campo definido como Ninguno. • Si está configurando un perfil de certificado para usarlo antes del inicio de sesión. Por defecto. deje este campo definido como Ninguno. 2. haga clic en ACEPTAR. Guarde la configuración de GlobalProtect. Guía del administrador de GlobalProtect 25 . Habilitación de la autenticación en dos fases mediante contraseñas de un solo uso (OTP) En el cortafuegos. este comportamiento hará que la autenticación falle inicialmente en la puerta de enlace y. Paso 4 (Opcional) Emita certificados de cliente 1. para máquinas/usuarios de GlobalProtect. el portal o la puerta de enlace de GlobalProtect. debido al retraso que esto ocasiona en la solicitud de inicio de sesión al usuario. la OTP del usuario puede caducar. Ambas opciones resuelven el problema habilitando a la puerta de enlace para que pueda solicitar las credenciales apropiadas inmediatamente. a continuación. De este modo se garantiza que el usuario que se está registrando es en realidad el usuario para el que se emitió el certificado.

Haga clic en ACEPTAR para guardar el perfil de autenticación. a continuación. En la pestaña General (en la puerta de enlace) o Configuración portal (en el portal). consulte Configuración de las puertas de 4. autenticación y una configuración de cliente en el servidor RADIUS Este procedimiento da por hecho que para habilitar la comunicación entre el cortafuegos y el servidor su servicio RADIUS ya está configurado RADIUS. 1. ya que este valor servirá de dominio predeterminado para la asignación de ID de usuario si los usuarios no proporcionan uno al iniciar sesión. Recomendación: 3. haga clic en Añadir en la sección Servidores y. introduzca la Cuando cree el perfil de servidor RADIUS. siguiente información: • Un nombre descriptivo para identificar este Servidor RADIUS • La Dirección IP del servidor RADIUS • El Secreto compartido usado para cifrar sesiones entre el cortafuegos y el servidor RADIUS • El número de Puerto desde el que el servidor RADIUS escuchará las solicitudes de autenticación (por defecto. Haga clic en Aceptar para guardar el perfil. haga clic en Añadir e introduzca un Nombre para el perfil.Configuración de la autenticación de usuario en GlobalProtect Configuración de la infraestructura de GlobalProtect Habilitación de la compatibilidad con OTP Paso 1 Configure su servidor RADIUS para que Puede consultar instrucciones específicas en su servidor RADIUS. 1. En la mayoría de los casos. enlace de GlobalProtect y Configuración del portal de GlobalProtect. 1. Seleccione Dispositivo > Perfiles de servidor > RADIUS. 2. Seleccione Red > GlobalProtect > Puertas de enlace o Portales y seleccione la configuración (o añada una). 4. 26 acaba de crear. El nombre del perfil de autenticación no puede contener espacios. 4. Paso 2 En el cortafuegos que actuará como su puerta de enlace o portal. Haga clic en ACEPTAR para guardar la configuración. 3. Introduzca el nombre del Dominio de RADIUS. 2. seleccione el Perfil de autenticación que Esta sección solo describe cómo añadir el perfil de autenticación a la puerta de enlace o perfil de configuración. 3. haga clic en Añadir e introduzca un Nombre para el perfil. Guía del administrador de GlobalProtect . han implementado los dispositivos necesarios (como tokens de hardware). 2. Para añadir una entrada de servidor RADIUS. Introduzca un Mensaje de autenticación para guiar a los usuarios en cuanto a las credenciales de autenticación que deben usar. Seleccione RADIUS en el menú desplegable Autenticación. También deberá definir el secreto compartido usado para para OTP o token y que los usuarios ya cifrar las sesiones entre el cortafuegos y el servidor RADIUS. Para obtener información sobre la configuración de estos componentes. Seleccione el Perfil de servidor que ha creado para acceder a su servidor RADIUS. necesitará configurar un agente de interaccione con el cortafuegos. Paso 4 Asigne el perfil de autenticación a la puerta de enlace o portal de GlobalProtect. 1812) Paso 3 Cree un perfil de autenticación. cree un perfil de servidor RADIUS. introduzca siempre un nombre de dominio. Seleccione Dispositivo > Perfiles de autenticación.

El primero le solicitará un PIN (ya sea generado por el usuario o por el Para obtener información sobre la sistema): configuración de estos componentes. Si desea información más detallada. 3. Seleccione la pestaña Configuración clientes y. Esta sección solo describe cómo modificar el comportamiento de autenticación del portal. Desde un sistema cliente que ejecute el agente de GlobalProtect. Paso 7 Verifique la configuración. Debería ver dos mensajes parecidos a estos: En este paso se da por hecho que ya tiene configurada la puerta de enlace y el portal. trate de conectarse a una puerta de enlace o portal en el que haya habilitado la autenticación. Haga clic en ACEPTAR dos veces para guardar la configuración. consulte Definición de las configuraciones de clientes. seleccione uno de los siguientes valores del campo Modificador de autenticación: • Autenticación de cookies para actualización de configuración: Permite al portal usar una cookie cifrada para la autenticación de usuarios. de modo que no tengan que introducir múltiples OTP o credenciales. 2. a continuación. 4. Haga clic en Confirmar. El segundo le solicitará un token u OTP: Guía del administrador de GlobalProtect 27 . En la pestaña General.Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect Habilitación de la compatibilidad con OTP (Continuación) Paso 5 (Opcional) Modifique el comportamiento 1. consulte Configuración de las puertas de enlace de GlobalProtect y Configuración del portal de GlobalProtect. de autenticación predeterminada en el portal. Paso 6 Guarde la configuración. • Contraseña diferente para puerta de enlace externa: Evita que el agente reenvíe a la puerta de enlace las credenciales de usuario que usó para la autenticación en el portal con el fin de evitar fallos de autenticación OTP. Seleccione Red > GlobalProtect > Puertas de enlace o Portales y seleccione la configuración (o añada una). seleccione o añada una configuración de cliente.

Vuelva a introducir la frase de contraseña que se usó para cifrar la clave privada y después haga clic en ACEPTAR para importar el certificado y la clave. haga clic en Añadir. 28 3. 6. 4. Habilitación de autenticación con tarjetas inteligentes Paso 1 Configure su infraestructura para tarjetas inteligentes Este procedimiento da por hecho que ha facilitado tarjetas inteligentes y lectores de tarjetas inteligentes a sus usuarios finales. En la mayoría de los casos. haga clic en ACEPTAR. Paso 2 Importe el certificado de la CA raíz que emitió los certificados contenidos en las tarjetas inteligentes de los usuarios finales. Introduzca la ruta y el nombre en el archivo PKCS#12. seleccione el certificado de CA raíz de confianza que importó en el Paso 2 y. 2. a continuación. Puede crear un perfil de certificado que incluya esa CA raíz y la aplique a sus configuraciones de portal o puerta de enlace para habilitar el uso de tarjetas inteligentes en el proceso de autenticación. Seleccione Clave privada cifrada y certificado (PKCS12) como Formato de archivo. Puede consultar instrucciones específicas en la documentación del software del proveedor de autenticación de usuarios. en el campo Archivo de clave o seleccione Examinar para encontrarla. como si debe usar CRL u OCSP. 2. haga clic en Añadir e introduzca un Nombre de perfil. que en este caso son los portales o puertas de enlace de GlobalProtect. Introduzca la ruta y el nombre en el Archivo de certificado que recibió de la CA o seleccione Examinar para buscar el archivo. siga estos pasos: 1. Guía del administrador de GlobalProtect . En el campo Certificados de CA. Asegúrese de definir el Campo de nombre de usuario como Ninguno. Paso 3 Cree el perfil de certificado. Seleccione Configuración > Gestión de certificados > Certificados > Certificados de dispositivos. A continuación. Haga clic en ACEPTAR para guardar el perfil del certificado. Seleccione la casilla de verificación Importar clave privada. Todos los certificados para usuarios finales y el portal o la puerta de enlace deben haber sido emitidos por la misma CA raíz. Asegúrese de que se puede acceder a los archivos de clave y certificado desde su sistema de gestión y de que tiene la frase de contraseña para descifrar la clave privada. 3. 5. 7.Configuración de la autenticación de usuario en GlobalProtect Configuración de la infraestructura de GlobalProtect Habilitación de autenticación en dos fases mediante tarjetas inteligentes Si quiere habilitar a sus usuarios finales para que se autentiquen usando una tarjeta inteligente o una tarjeta de acceso común (CAC). 4. Cree el perfil de certificado en cada portal o puerta de enlace en la que pretenda usar autenticación con tarjetas inteligentes o CAC: 1. Haga clic en Importar e introduzca un nombre de certificado. Seleccione Dispositivo > Certificados > Gestión de certificados > Perfil del certificado. Nota Consulte la ayuda en línea para obtener detalles de otros campos de perfil de certificado. debe importar desde el portal o la puerta de enlace el certificado de CA raíz que emitió los certificados contenidos en las tarjetas inteligentes / CAC del usuario final. la configuración de la infraestructura para tarjetas inteligentes requiere la generación de certificados para los usuarios finales y los servidores que participan en el sistema.

Configuración de las puertas de enlace de GlobalProtect y Configuración del portal 4. Paso 6 Verifique la configuración. Haga clic en Confirmar. Desde un sistema cliente que ejecute el agente de GlobalProtect. En la pestaña General (en la puerta de enlace) o Configuración portal (en el portal). trate de conectarse a una puerta de enlace o portal en el que haya configurado la autenticación con tarjetas inteligentes.Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect Habilitación de autenticación con tarjetas inteligentes (Continuación) Paso 4 Asigne el perfil del certificado a la puerta de 1. Paso 5 Guarde la configuración. Cuando se le indique. enlace o portal de GlobalProtect. consulte 3. o perfil de configuración. Esta sección solo describe cómo añadir el perfil del certificado a la puerta de enlace 2. de GlobalProtect. inserte su tarjeta inteligente y compruebe que puede autenticarse correctamente en GlobalProtect. Para obtener información sobre la configuración de estos componentes. Introduzca un Mensaje de autenticación para guiar a los usuarios en cuanto a las credenciales de autenticación que deben usar. seleccione el Perfil del certificado que acaba de crear. Guía del administrador de GlobalProtect 29 . Seleccione Red > GlobalProtect > Puertas de enlace o Portales y seleccione la configuración (o haga clic en Añadir para añadir una). Haga clic en ACEPTAR para guardar la configuración.

el cortafuegos debe recuperar la lista de grupos y la correspondiente lista de miembros de su servidor de directorios. Cuando el cortafuegos se haya conectado correctamente al servidor LDAP y haya recuperado las asignaciones de grupos. debe crear un perfil de servidor LDAP que indique al cortafuegos cómo conectarse al servidor de directorios y autenticarlo.Habilitación de la asignación de grupo Configuración de la infraestructura de GlobalProtect Habilitación de la asignación de grupo Dado que el agente o la aplicación que se ejecuta en los sistemas de sus usuarios finales requieren la autenticación correcta del usuario antes de tener acceso a GlobalProtect. si quiere tener la capacidad de definir configuraciones de GlobalProtect o políticas de seguridad basadas en la pertenencia a grupos. Esto recibe el nombre de asignación de grupos. se conoce la identidad de cada usuario de GlobalProtect. Novell eDirectory y Sun ONE Directory Server. será capaz de seleccionar grupos al definir las configuraciones de clientes y las políticas de seguridad. así como el modo de buscar en el directorio la información de usuarios y grupos. Para habilitar esta función. incluidos Microsoft Active Directory (AD). Sin embargo. El cortafuegos admite una variedad de servidores de directorio LDAP. Utilice el siguiente procedimiento para conectarse a su directorio LDAP y así permitir que el cortafuegos recupere información de asignación de usuario a grupo: 30 Guía del administrador de GlobalProtect .

Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. • Si está utilizando un servidor de catálogo global. deberá crear perfiles de servidor separados para cada dominio. seleccione la casilla de verificación SSL. 5. asegúrese de que también ha especificado el número de puerto adecuado. Aunque el nombre de dominio se puede determinar automáticamente. Haga clic en Añadir y. Haga clic en Añadir para añadir una nueva entrada de servidor LDAP y. sin embargo. Tenga en cuenta que si necesita recopilar datos de varios dominios. 6. la práctica recomendada es introducir el nombre de dominio siempre que sea posible. ej. Guía del administrador de GlobalProtect 31 . especifique el punto donde desee que el cortafuegos comience su búsqueda de información de usuarios y grupos dentro del árbol de LDAP. deje este campo en blanco.. 7. En el campo Base. introduzca acme. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el menú desplegable Ubicación.cn=usuarios. administrador@acme. Los valores de asignación de grupos se cumplimentarán automáticamente según su selección. deberá introducir el nombre de dominio NetBIOS. Enlazar contraseña y Confirmar contraseña de enlace. Si desea que el cortafuegos se comunique con los servidores LDAP a través de una conexión segura. introduzca un nombre de Servidor para identificar al servidor (de 1 a 31 caracteres) y el número de Dirección IP y Puerto que debería utilizar el cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP. puede que tenga que modificar los ajustes predeterminados. 9.com).. Puede añadir hasta cuatro servidores LDAP al perfil. El valor de Enlazar DN puede tener el formato Nombre principal del usuario (UPN) (p.dc=acme. 8. 4. NO el FQDN (por ejemplo. Si habilita SSL.dc=local). 3. 2. introduzca un Nombre para el perfil. a continuación. cn=administrador. Seleccione el Tipo de servidor LDAP al que se esté conectando. Seleccione Dispositivo > Perfiles de servidor > LDAP. si ha personalizado su esquema. ej. El valor que introduzca aquí dependerá de su implementación: • Si está utilizando Active Directory. no acme. Sin embargo. 636 para LDAP sobre SSL).local) o puede ser un nombre de LDAP completo (p.Configuración de la infraestructura de GlobalProtect Habilitación de la asignación de grupo Asignación de usuarios a grupos Paso 1 Cree un perfil de servidor LDAP que especifique cómo conectarse a los servidores de directorio a los que debería conectarse el cortafuegos para obtener información de asignación de grupos: 1. Introduzca las credenciales de autenticación para el enlace con el árbol de LDAP en los campos Enlazar DN. debería añadir como mínimo dos servidores. todos los servidores que añada a un perfil deberán ser del mismo tipo. Para la redundancia. a continuación.

Haga clic en ACEPTAR para guardar la configuración. 3. Seleccione el Perfil de servidor que creó en el Paso 1. Repita este paso para cada grupo que desee poder utilizar en sus políticas. 2. 5. Paso 3 32 Guarde la configuración. a continuación. selecciónelo en la lista Grupos disponibles y haga clic en el icono de adición para moverlo a la lista Grupos incluidos. examine el árbol de LDAP para localizar los grupos que desea poder utilizar en la política. Haga clic en Confirmar. Guía del administrador de GlobalProtect .Habilitación de la asignación de grupo Configuración de la infraestructura de GlobalProtect Asignación de usuarios a grupos (Continuación) Paso 2 Añada el perfil de servidor LDAP a la configuración de asignación de grupos de User-ID. (Opcional) Si desea limitar los grupos que se muestran en la política de seguridad. 1. Seleccione Dispositivo > Identificación de usuarios > Configuración de asignación de grupo y haga clic en Añadir. 6. seleccione la pestaña Lista de inclusión de grupos y. 4. En el caso de cada grupo que desee incluir. Introduzca un Nombre para la configuración. Asegúrese de que la casilla de verificación Habilitado está seleccionada.

3. Seleccione Red > GlobalProtect > Puertas de enlace y haga clic en Añadir. Consulte Habilitación de SSL entre componentes de GlobalProtect.  Configurar los certificados de servidor de puerta de enlace requeridos por el agente de GlobalProtect para establecer una conexión SSL con la puerta de enlace.Configuración de la infraestructura de GlobalProtect Configuración de las puertas de enlace de GlobalProtect Configuración de las puertas de enlace de GlobalProtect Puesto que la configuración de GlobalProtect que el portal entrega a los agentes incluye la lista de puertas de enlace a las que puede conectarse el cliente. 33 . configure cada puerta de enlace de GlobalProtect del siguiente modo: Configuración de las puertas de enlace Paso 1 Añada una plantilla. Guía del administrador de GlobalProtect 1. 2. es recomendable configurar las puertas de enlace antes de configurar el portal. La puerta de enlace se puede configurar para que ofrezca dos funciones principales:  Aplicar políticas de seguridad para los agentes y aplicaciones de GlobalProtect que se conectan e ella.  Ofrece acceso a su red interna a través de una red privada virtual (VPN). consulte Uso de información del host en la aplicación de políticas. También puede habilitar la recopilación HIP en la puerta de enlace para mejorar la granularidad de la política de seguridad.  Definir los perfiles de autenticación o perfiles del certificado que servirán para la autenticación de usuarios de GlobalProtect. (Opcional) Seleccione el sistema virtual al que pertenece esta puerta de enlace en el campo Ubicación. Para obtener más información sobre la habilitación de comprobaciones HIP. Tareas previamente necesarias Antes de poder configurar la puerta de enlace de GlobalProtect. debe haber realizado las tareas siguientes:  Crear las interfaces (y zonas) para la interfaz donde pretende configurar cada puerta de enlace. debe configurar tanto la interfaz física como la interfaz de túnel virtual. En la pestaña General. Configuración de una puerta de enlace Una vez completadas las tareas previas. Consulte Configuración de la autenticación de usuario en GlobalProtect. El nombre de la puerta de enlace no puede contener espacios y se recomienda que incluya la ubicación u otra información descriptiva que ayude a los usuarios y a otros administradores a identificar la puerta de enlace. Para las puertas de enlace que requieren conexiones de túnel. El acceso VPN se proporciona a través de túnel SSL o IPSec entre el cliente y una interfaz de túnel en el cortafuegos de la puerta de enlace. Consulte Creación de interfaces y zonas para GlobalProtect. introduzca un Nombre para la puerta de enlace.

Si aún no ha Nota El campo de nombre común (CN) y. como un cliente VPNC verificación Habilitar IPSec. zonas para GlobalProtect. Especifique cómo se autenticarán los usuarios finales en la puerta de enlace. Kerberos o RADIUS (incluyendo OTP). seleccione el Perfil de autenticación correspondiente. consulte las 3. Seleccione la Interfaz de túnel que definió en el Paso 2 en Creación de interfaces y zonas para GlobalProtect. GlobalProtect. Seleccione la casilla de verificación Modo de túnel para habilitar la tunelización. Paso 3 Si no ha configurado aún los perfiles de autenticación o del certificado. introduzca un Mensaje de autenticación. (Opcional) Seleccione Habilitar compatibilidad con X-Auth si Si quiere forzar el uso del modo de túnel tiene clientes finales que necesitan conectarse a la puerta de enlace SSL-VPN. Seleccione la Dirección IP para el servicio web de la puerta de enlace. si es aplicable. consulte las instrucciones de Configuración de la autenticación de usuario en GlobalProtect. Los parámetros del túnel son necesarios si 2. Tenga en cuenta que el usuario debe autenticarse correctamente en los dos métodos para poder acceder. • Para proporcionar ayuda a los usuarios en lo que respecta a las credenciales que deben facilitar. seleccione Configuración clientes > Ajustes de túnel. • Para usar la autenticación en dos fases. use la aplicación de GlobalProtect para un acceso simplificado a todo el conjunto de funciones de seguridad que proporciona GlobalProtect en dispositivos iOS y Android. Paso 4 Nota 34 Configure los parámetros del túnel y habilite 1. Guía del administrador de GlobalProtect . forma optativa. • Para autenticar a los usuarios basándose en un certificado de cliente o una tarjeta inteligente. ejecutándose en Linux. En su lugar. 1. extendida (X-Auth) solo es compatible con túneles IPSec. Si habilita X-Auth. Si aún no ha creado la interfaz de red para la puerta de enlace. como LDAP. anule la selección de la casilla de mediante un cliente VPN externo. configura una puerta de enlace externa. 4. La aplicación de GlobalProtect para iOS puede encontrarse en el AppStore y la aplicación de GlobalProtect para Android se encuentra en Google Play. 2. seleccione tanto el perfil de autenticación como el perfil del certificado. Nota Pese a que el acceso a X-Auth es compatible con dispositivos iOS y Android. seleccione el Perfil del certificado correspondiente. consulte coincidir con la dirección IP o con el nombre de dominio Implementación de certificados de completo (FQDN) de la interfaz donde configure la puerta servidores en los componentes de de enlace.Configuración de las puertas de enlace de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de las puertas de enlace (Continuación) Paso 2 Especifique la información de red que permita a los agentes conectarse a la puerta de enlace. En el cuadro de diálogo Puerta de enlace de GlobalProtect. • Para autenticar a los usuarios mediante una base de datos de usuarios local o un servicio de autenticación externo. también debe facilitar SSL-VPN solo se usará si el cliente no puede el nombre del Grupo y la Contraseña de grupo si el cliente lo establecer un túnel IPSec. Seleccione la Interfaz que usarán los agentes para acceder a la puerta de enlace. Las puertas de enlace internas se configuran de 3. Seleccione el Certificado de servidor para la puerta de enlace en instrucciones de Creación de interfaces y el menú desplegable. ofrece una funcionalidad limitada de GlobalProtect. Por defecto. de creado un certificado de servidor nombre alternativo del asunto (SAN) del certificado deben para la puerta de enlace. la tunelización. La autenticación requiere.

los agentes usan los ajustes de red asignados por el adaptador de red físico. especifique los intervalos de IP que se usarán. • Para enrutar solo parte del tráfico (tráfico probablemente destinado a su LAN) a GlobalProtect (tunelización dividida). Tenga en cuenta que si especifica acceso a subredes discontinuas. incluso aunque no estén conectados físicamente a la red LAN. haga clic en Añadir en el área de Acceder a ruta y. Guía del administrador de GlobalProtect 35 . así como los servidores WINS completando los campos correspondientes. agente establece un túnel con la puerta de enlace. necesitará usar una política de seguridad para definir a qué zonas puede acceder el cliente (incluyendo las zonas no fiables). a continuación. especifique las subredes de destino que deberán tunelizarse. • Si el cortafuegos tiene una interfaz configurada como cliente DHCP. Para definir a qué subredes de destino enrutar a través del túnel. Es recomendable usar un intervalo de direcciones IP diferente al asignado a los clientes que están conectados físicamente a su LAN para garantizar el enrutamiento adecuado de retorno a la puerta de enlace.0/0. A continuación. Los ajustes de red no son necesarios en las configuraciones de puerta de enlace interna en modo de no túnel porque. puede definir el Origen de herencia en esa interfaz y el agente de GlobalProtect recibirá los mismos ajustes que haya recibido el cliente DHCP.0. La ventaja de la tunelización completa es que le ofrece visibilidad completa del tráfico del cliente y puede garantizar la seguridad de los clientes de acuerdo con su política. el tráfico que no está destinado a una ruta de acceso específica se enrutará a través del adaptador físico del cliente en lugar de hacerlo a través del adaptador virtual (el túnel). el adaptador virtual se asignará a un enrutador predeterminado de 0. a continuación. En este caso. Especifique los ajustes de la configuración de red para clientes siguiendo uno de estos modos: • Puede asignar manualmente el sufijo y los servidores DNS.0. (Solo Modo de túnel) Configure los ajustes de red para asignar el adaptador de red virtual de los clientes cuando un 2. haga clic en Añadir y.0/0 como la ruta de acceso. seleccione Configuración clientes > Configuración de red.0.0. introduzca las rutas del siguiente modo: • Para enrutar todo el tráfico a través de GlobalProtect (tunelización completa). En el cuadro de diálogo Puerta de enlace de GlobalProtect. 4. Para especificar el Grupo de IP y usarlo para asignar direcciones IP de clientes. 3.Configuración de la infraestructura de GlobalProtect Configuración de las puertas de enlace de GlobalProtect Configuración de las puertas de enlace (Continuación) Paso 5 Nota 1. en este caso. introduzca 0.

Seleccione Coincidir mensaje o Mensaje no coincidente. Este paso es necesario si está usando el gestor de seguridad móvil de GlobalProtect para gestionar los dispositivos de usuario final y está usando una aplicación de políticas HIP. consulte Configuración del acceso de puerta de enlace al gestor de seguridad móvil. Haga clic en ACEPTAR para guardar los ajustes del gestor de seguridad móvil. de información de host y los ha añadido a sus políticas de seguridad. Guía del administrador de GlobalProtect . En algunos casos. Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro de diálogo de la puerta de enlace de GlobalProtect. De manera predeterminada. puede que quiera crear mensajes tanto para coincidencia como para no coincidencia. Compile sus cambios. Este paso solo se aplica si ha creado perfiles 3. información del host en la aplicación de políticas. En la pestaña Configuración clientes > Notificación HIP. Seleccione Red > GlobalProtect > MDM y haga clic en Añadir. Si desea información más detallada. Este valor debe coincidir con el valor definido en el gestor de seguridad móvil. Paso 9 36 Guarde la configuración. seleccione el Certificado de cliente que se usará. haga clic en ACEPTAR. (Opcional) Defina el Puerto de conexión en el que el gestor de seguridad móvil escuchará las solicitudes de recuperación HIP. consulte Uso de 4. 4. Si la puerta de enlace no confía en el certificado del gestor de seguridad móvil para la interfaz a la que se conectará. 8. con un perfil de información de host (HIP). en función de si desea mostrar el mensaje cuando se cumpla el perfil HIP correspondiente en la política o no. 6. haga clic en Añadir en la sección CA raíz de confianza y seleccione o importe el Certificado de CA raíz que se usó para emitir el certificado del servidor del gestor de seguridad móvil. Repita estos pasos para cada mensaje que quiera definir.Configuración de las puertas de enlace de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de las puertas de enlace (Continuación) Paso 6 1. 7. 3. Paso 7 Guarde la configuración de puerta de enlace. Paso 8 (Opcional) Configure el acceso al gestor de 1. Introduzca un nombre para el gestor de seguridad móvil. Esta configuración permite a las puertas de enlace comunicarse con el gestor de seguridad móvil para recuperar informes HIP de los dispositivos móviles gestionados. Seleccione la casilla de verificación Habilitar y seleccione si quiere mostrar el mensaje como Mensaje emergente o como Icono en la barra de tareas. Seleccione el Perfil HIP al que se aplica este mensaje en el menú desplegable. Introduzca la dirección IP o FQDN de la interfaz del servidor del gestor de seguridad móvil donde la puerta de enlace se conectará para recuperar informes HIP. Si el gestor de seguridad móvil requiere que la puerta de enlace presente un certificado para establecer una conexión HTTPS. Para obtener información sobre cómo configurar la función HIP e información más detallada acerca de la creación de mensajes de notificación de HIP. en el que escucha el gestor de seguridad móvil de GlobalProtect. a continuación. seguridad móvil 2. Introduzca el texto de su mensaje en el cuadro de texto Plantilla y. este puerto es 5008. 5. haga clic en Añadir. (Opcional) Seleccione el sistema virtual al que pertenece este gestor de seguridad móvil en el campo Ubicación. dependiendo de los objetos que compare y sus objetivos para la política. 5. 6. (Opcional) Defina los mensajes de notificación que verán los usuarios finales cuando se aplique una regla de seguridad 2.

los usuarios finales deben descargarla de Google Play.  Configurar las puertas de enlace de GlobalProtect Consulte Configuración de las puertas de enlace de GlobalProtect. debe haber realizado las tareas siguientes:  Crear las interfaces (y zonas) para la interfaz del cortafuegos donde pretende configurar cada portal. Para obtener la aplicación de GlobalProtect para iOS. Consulte Creación de interfaces y zonas para GlobalProtect. Además. opcionalmente. incluida información sobre las puertas de enlace disponibles. el certificado del servidor de la puerta de enlace y. Las siguientes secciones describen los procedimientos para configurar el portal:  Tareas previamente necesarias  Configuración del acceso al portal  Definición de las configuraciones de clientes  Personalización del agente de GlobalProtect  Personalización de las páginas de inicio de sesión de portal.Configuración de la infraestructura de GlobalProtect Configuración del portal de GlobalProtect Configuración del portal de GlobalProtect El portal GlobalProtect proporciona las funciones de gestión para su infraestructura de GlobalProtect. Consulte Configuración de la autenticación de usuario en GlobalProtect. los usuarios finales deben descargarla de App Store. cualquier certificado de cliente que se vaya a implementar a los usuarios finales para habilitar las conexiones mutuas SSL a los servicios de GlobalProtect. bienvenida y ayuda Tareas previamente necesarias Antes de poder configurar el portal de GlobalProtect. las configuraciones de cliente que se implementan en las aplicaciones móviles de los usuarios controlan las puertas de enlace a las que tienen acceso los dispositivos móviles y si es necesario que el dispositivo móvil se inscriba en el gestor de seguridad móvil de GlobalProtect. Para obtener la aplicación de GlobalProtect para Android. así como certificados cliente que pueden ser necesarios para conectarse a las puertas de enlace. El portal no distribuye la aplicación de GlobalProtect para su uso en dispositivos móviles. Todos los sistemas clientes que participan en la red de GlobalProtect reciben información de configuración desde el portal. Guía del administrador de GlobalProtect 37 . el portal controla el comportamiento y la distribución del software del agente de GlobalProtect para los portátiles con Mac y Windows.  Definir los perfiles de autenticación o perfiles del certificado que servirán para la autenticación de usuarios de GlobalProtect. No obstante. Consulte Habilitación de SSL entre componentes de GlobalProtect.  Configurar el certificado del servidor del portal.

2. • Para usar la autenticación en dos fases. introduzca un Nombre para el portal. 2. Si no ha configurado aún los perfiles de autenticación o del certificado. componentes de GlobalProtect. Tenga en cuenta que el usuario debe autenticarse correctamente en los dos métodos para poder acceder. Seleccione el Certificado de servidor para el portal en el menú portal. consulte Implementación de portal. de GlobalProtect. 1. El nombre del portal no debe contener espacios. consulte las instrucciones de Configuración de la autenticación de usuario en GlobalProtect. • Para autenticar a los usuarios basándose en un certificado de cliente o una tarjeta inteligente / CAC. fallarán las conexiones HTTPS al certificados de servidores en los portal. • Para autenticar a los usuarios mediante una base de datos de usuarios local o un servicio de autenticación externo (incluyendo autenticación OTP). 2. 1. Especifique la información de red que permita a los agentes conectarse al portal. Seleccione la Dirección IP para el servicio web del portal. si es aplicable. De lo contrario. Paso 4 38 Guarde la configuración del portal. Paso 3 Especifique cómo se autenticarán los usuarios finales en el portal. Guía del administrador de GlobalProtect . • Introduzca un Mensaje de autenticación para guiar a los usuarios en cuanto a las credenciales de autenticación que deben usar. En la pestaña Configuración portal. configure el portal de GlobalProtect del siguiente modo: Configuración del acceso al portal Paso 1 Paso 2 Añada el portal. (Opcional) Seleccione el sistema virtual al que pertenece este portal en el campo Ubicación.Configuración del portal de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración del acceso al portal Una vez completadas las tareas previas. Compile sus cambios. 1. Si aún no ha creado un nombre alternativo del asunto (SAN) del certificado deben certificado de servidor para la puerta de coincidir exactamente con la dirección IP o con el nombre de enlace ni emitido certificados de puerta de dominio completo (FQDN) de la interfaz donde configure el enlace. consulte las instrucciones de desplegable. seleccione el Perfil de autenticación correspondiente. Seleccione la Interfaz que usarán los agentes para acceder al portal. seleccione tanto el perfil de autenticación como el perfil del certificado. Seleccione Red > GlobalProtect > Portales y haga clic en Añadir. 3. Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro de diálogo de la puerta de enlace de GlobalProtect. Si aún no ha creado la interfaz de red para el 3. Creación de interfaces y zonas para Nota El campo de nombre común (CN) y. seleccione el Perfil del certificado correspondiente.

proporciona la configuración correspondiente al agente/aplicación. y si se indicará a los usuarios que actualicen el software del agente.  El certificado de cliente que el agente debería presentar a la puerta de enlace al conectarse.  El certificado de CA raíz requerido para habilitar el agente o la aplicación para establecer una conexión SSL con las puertas de enlace de GlobalProtect o el gestor de seguridad móvil. el portal envía la configuración de cliente de GlobalProtect al agente / aplicación basada en la configuración que haya definido. como las visualizaciones del agente que los usuarios pueden ver. Cuando encuentra una coincidencia. si los usuarios pueden guardar sus contraseñas de GlobalProtect.  La configuración que usa el agente para determinar si está conectado a la red local y a una red externa. Esto solo es necesario si se requiere autenticación mutua entre el agente y la puerta de enlace. puede crear una configuración cliente distinta para cada uno. Utilice el siguiente procedimiento para crear la configuración del cliente. Si tiene clases de usuarios distintas que necesitan distintas configuraciones. Guía del administrador de GlobalProtect 39 . que define además si el usuario puede establecer conexiones manuales con esas puertas de enlace. El portal utilizará entonces el nombre de usuario/nombre de grupo o el sistema operativo del cliente para determinar qué configuración cliente implementar. La configuración puede incluir lo siguiente:  Una lista de puertas de enlace a las que se puede conectar el agente o la aplicación. Como con la evaluación de reglas de seguridad.Configuración de la infraestructura de GlobalProtect Configuración del portal de GlobalProtect Definición de las configuraciones de clientes Cuando un agente o una aplicación de GlobalProtect se conecta y se autentica correctamente en el portal de GlobalProtect. el portal busca una coincidencia empezando por la parte superior de la lista.  Los ajustes de la configuración del agente.

Paso 3 40 1. Si no. seleccione el certificado de CA que se usó para emitir el certificado del servidor de gestor de seguridad móvil. no es de confianza para los dispositivos y necesitarán conectarse para inscribirse). En la sección Configuración clientes. seleccione la pestaña Configuración clientes. seleccione la pestaña Configuración clientes. haga clic en Añadir en el campo CA raíz de confianza y. haga clic en Añadir y. Se recomienda usar el mismo emisor para todas las puertas de enlace. A continuación. asegúrese de que el nombre que defina para cada una sea suficientemente descriptivo para que se implementarán a los agentes o aplicaciones que se conecten. el agente determinará que se encuentra en la red externa e intentará establecer conexiones de túnel con las puertas de enlace externas de su lista. El portal implementará los certificados de CA que añada aquí a todos los agentes como parte de la configuración 3. túnel cuando esté en la red interna. puede importarlo ahora. Si el certificado de CA raíz usado para emitir los certificados del servidor de su puerta de enlace o gestor de seguridad móvil no está en el portal. a continuación. si la búsqueda no funciona. Si sigue en el cuadro de diálogo de la puerta de enlace de GlobalProtect. En el campo CA raíz de confianza. puertas de enlace o gestor de seguridad móvil.Configuración del portal de GlobalProtect Configuración de la infraestructura de GlobalProtect Creación de una configuración de cliente de GlobalProtect Paso 1 Añada el certificado de CA raíz requerido 1. al menos una configuración de cliente. habilite la detección del host interno. Este paso solo es necesario si no está usando certificados emitidos por una CA de confianza en sus 2. Seleccione la casilla de verificación Detección de host interno. seleccione el certificado de CA que se usó para emitir los certificados de servidor de la puerta de enlace. seleccione Red > GlobalProtect > Portales y seleccione la configuración del portal en la que desea agregar una configuración de cliente. de modo que puedan establecer una conexión SSL con las puertas de enlace o el gestor de seguridad móvil. 3. (Opcional) Si el certificado del servidor de su gestor de seguridad móvil no lo ha emitido una CA de confianza (es decir. Los agentes de GlobalProtect intentarán realizar una búsqueda de DNS inversa en las direcciones especificadas. para que el agente o la aplicación establezcan una conexión SSL con las puertas de enlace de GlobalProtect o el gestor de seguridad móvil. Debe definir distinguirlas. Introduzca la Dirección IP de un host al que solo se tenga acceso desde la red interna. Introduzca el nombre de host de DNS que se corresponda con las direcciones IP que ha introducido. haga clic en Añadir e introduzca un nombre para la configuración. del cliente. La configuración de cliente especifica los ajustes de configuración de GlobalProtect Si pretende crear múltiples configuraciones. Consulte recomendaciones sobre SSL en Habilitación de SSL entre componentes de GlobalProtect. Nota Paso 2 Añada una configuración de cliente. Guía del administrador de GlobalProtect . Si no es necesario que el agente de GlobalProtect establezca conexiones de 2. a continuación.

El valor que introduzca aquí deberá coincidir exactamente con el valor del campo CN en el certificado del servidor del gestor de seguridad móvil asociado a la interfaz de comprobación de dispositivos. 443). Cuando se use junto con SSO (solo para usuarios de Windows). consulte Configuración del gestor de seguridad móvil para la gestión de dispositivos. Use este método de conexión solo para puertas de enlace externas. Introduzca la dirección IP o FQDN de la interfaz de comprobación de dispositivos del gestor de seguridad móvil.Configuración de la infraestructura de GlobalProtect Configuración del portal de GlobalProtect Creación de una configuración de cliente de GlobalProtect (Continuación) Paso 4 Especifique el modo en que el agente se conectará a GlobalProtect. use la detección de host interno en las configuraciones donde tenga SSO habilitado. Paso 5 Seleccione un Método de conexión: • inicio de sesión de usuario: GlobalProtect se conectará automáticamente en cuanto el usuario inicie sesión en el equipo (o dominio). se redirigirá el dispositivo a la misma para su inscripción. 1. 2. Consulte Personalización del agente de GlobalProtect. Esta opción requiere que implemente certificados de máquina en cada sistema de usuario final mediante una solución PKI externa. • a petición: Los usuarios tendrán que iniciar el agente manualmente para conectarse a GlobalProtect. • No use la opción a petición si pretende ejecutar el agente de GlobalProtect en el modo oculto. consulte Configuración del gestor de seguridad móvil de GlobalProtect. (Configuraciones exclusivas para usuarios de Windows) Seleccione Utilizar registro único para que GlobalProtect pueda usar las credenciales de inicio de sesión de Windows y así poder autenticar automáticamente al usuario cuando inicie sesión en Active Directory. Este paso es necesario si el gestor de seguridad móvil de GlobalProtect va a gestionar los dispositivos móviles que usan esta configuración. si el 2. Para obtener más información. Este valor debe coincidir con el valor definido en el gestor de seguridad móvil (por defecto. móvil. Consulte VPN de acceso remoto con función anterior al inicio de sesión para obtener detalles sobre cómo configurar esta opción. Si desea información más detallada. gestor de seguridad móvil está configurado en la configuración del cliente del portal correspondiente. • Para acelerar sus tiempos de conexión. el inicio de sesión de GlobalProtect será transparente para el usuario final. • anterior al inicio de sesión: Autentica al usuario final y establece el túnel de VPN en la puerta de enlace de GlobalProtect utilizado un certificado de máquina instalado previamente antes de que el usuario inicie sesión en la máquina. Todos los dispositivos se conectarán inicialmente al portal y. Configure el acceso al gestor de seguridad 1. Recomendaciones: • Use la opción a petición solo si está usando GlobalProtect para acceder a puertas de enlace externas a través de una VPN. 41 . Guía del administrador de GlobalProtect Especifique el Puerto de inscripción en el que el gestor de seguridad móvil escuchará las solicitudes de inscripción.

si tiene menú desplegable Usuario/grupo de usuarios. Por lo tanto. a continuación. Así. Nota Antes de poder restringir la configuración a grupos específicos. debe asignar a los usuarios a grupos. haga clic en Añadir en la sección Usuario/grupo de usuarios de la ventana y después seleccione el usuario o grupo que desea que reciba esta configuración en la lista desplegable. Guía del administrador de GlobalProtect . las operativo (Android. a continuación. a continuación. consulte Personalización del agente de GlobalProtect. Hay dos formas de especificar quién recibirá la configuración: por nombre de grupo / usuario o por el sistema operativo en el que se ejecuta el agente. Paso 7 Personalice el comportamiento del agente de GlobalProtect para los usuarios de esta configuración. debe asegurarse de ordenarlas correctamente. Seleccione la pestaña Usuario/grupo de usuarios y. Repita este paso para cada El portal usa la configuración usuario/grupo que desee añadir. Consulte en Paso 11 las instrucciones sobre cómo ordenar la lista de configuraciones de cliente. como se describe en Habilitación de la asignación de grupo. especifique el usuario / grupos de usuarioso los sistemas operativos a los que se aplicará esta configuración: • Para restringir esta configuración a un usuarios grupo específicos. haga clic en Añadir en la portal encuentre una coincidencia. 42 Seleccione la pestaña Agente y. Para obtener más información acerca de cada opción. sección SO de la ventana y. seleccione el sistema distribuirá la configuración.Configuración del portal de GlobalProtect Configuración de la infraestructura de GlobalProtect Creación de una configuración de cliente de GlobalProtect (Continuación) Paso 6 Especifique a qué usuarios desea implementar esta configuración. iOS. Usuario/grupo de usuarios que especifique para determinar qué configuración se • Para restringir la configuración a los usuarios que aún no han iniciado distribuirá a los agentes de GlobalProtect sesión en sus sistemas. En cuanto el • Para distribuir esta configuración a agentes o aplicaciones que se ejecuten en sistemas operativos específicos. seleccione anterior al inicio de sesión en el que se conecten. preceder a las más generales. modifique la configuración del agente como desee. Mac o Windows) a la que se aplicará esta configuraciones más específicas deberán configuración. múltiples configuraciones.

Configuración de la infraestructura de GlobalProtect Configuración del portal de GlobalProtect Creación de una configuración de cliente de GlobalProtect (Continuación) Paso 8 Especifique las puertas de enlace a las que se podrán conectar los usuarios con esta configuración. asegúrese de habilitar la detección de host interno. La dirección que especifique debe coincidir exactamente con el nombre común (CN) en el certificado del servidor de la puerta de enlace. debería configurar la prioridad con un valor más alto que el de las puertas de enlace geográficamente distantes. haga clic en Añadir en la sección Puertas de enlace internas o Puertas de enlace externas. Si desea información más detallada. • Si está añadiendo puertas de enlace tanto internas como externas a la misma configuración. Recomendaciones: 2. Introduzca el FQDN o la dirección IP de la interfaz donde está configurada la puerta de enlace en el campo Dirección. El nombre que introduzca debe coincidir con el nombre que definió al configurar la puerta de enlace y debe ser lo suficientemente descriptivo para que los usuarios conozcan la ubicación de la puerta de enlace a la que están conectados. Consulte el 3. incluye puertas de enlace internas. seleccione Manual únicamente. Guía del administrador de GlobalProtect 43 . a continuación. si prefiere que el grupo de usuarios se conecte a una puerta de enlace local. En la pestaña Puertas de enlace. El valor de prioridad se usa entonces para valorar el algoritmo de selección de la puerta de enlace del agente. • Si no quiere que los agentes establezcan automáticamente conexiones de túnel con la puerta de enlace. (Solo puertas de enlace externas) Consulte la Prioridad de la puerta de enlace haciendo clic en el campo y seleccionando un valor: • Si solo tiene una puerta de enlace externa. 1. puede modificar los valores de prioridad (desde El más alto hasta Más bajo) para indicar la preferencia para este grupo de usuarios específico al que se aplica la configuración. Esta configuración es útil en entornos de prueba. cliente. Introduzca un Nombre descriptivo para la puerta de enlace. Si desea información más detallada. consulte el Paso 3 de que no le interesa recopilar. a continuación. Por ejemplo. de información del host en la aplicación de políticas para obtener información detallada acerca del uso de la función HIP. Siga este paso solamente si pretende usar la función HIP y hay información que no • Seleccione Recopilación de datos > Excluir categorías y. Consulte Uso Configuración de la aplicación de políticas basadas en HIP. 5. en función del tipo de puerta de enlace que esté añadiendo. consulte el Paso 2 de Configuración de la aplicación de políticas basadas en HIP. • Asegúrese de no usar a petición como método de conexión si su configuración 4. Paso 3 en Definición de las configuraciones de clientes para obtener instrucciones. puede dejar este valor fijado en El más alto (valor predeterminado). • Seleccione Recopilación de datos > Comprobaciones (Opcional) Defina cualquier dato del perfil de información de host (HIP) que personalizadas y. • Si tiene varias puertas de enlace externas. haga clic en Añadir para excluir categorías o se puede recopilar mediante los objetos proveedores específicos. defina los datos personalizados quiere que el agente recopile o categorías que quiere recopilar de los hosts que ejecutan esta configuración de HIP que quiere que excluya. Paso 9 (Solo puertas de enlace externas) Seleccione la casilla de verificación Manual si quiere que los usuarios puedan cambiar manualmente la puerta de enlace. aplicaciones o versiones dentro de una HIP estándar o si hay información HIP categoría.

Compile sus cambios. Paso 12 Guarde la configuración del portal. 44 1. 2. 1. Como con la evaluación de reglas de seguridad. que la configuración correcta se implemente en cada agente. Cuando se conecta un agente. Guía del administrador de GlobalProtect . Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro de diálogo Configuraciones. repita el proceso desde el Paso 2 hasta el Paso 10. el portal busca una coincidencia empezando por la parte superior de la lista. el portal comparará la información de origen en el paquete con las configuraciones de cliente que haya definido. selecciónela y haga clic en Mover hacia abajo. selecciónela y haga clic en Mover hacia arriba. Si quiere añadir otra configuración de cliente. Paso 11 Prepare las configuraciones de cliente para • Para subir una configuración de cliente en la lista de configuraciones. 2. proporciona la configuración correspondiente al agente o aplicación.Configuración del portal de GlobalProtect Configuración de la infraestructura de GlobalProtect Creación de una configuración de cliente de GlobalProtect (Continuación) Paso 10 Guarde la configuración del cliente. Cuando encuentra una coincidencia. Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro de diálogo Portal de GlobalProtect. • Para bajar una configuración de cliente en la lista de configuraciones.

Para quitar funciones. bienvenida y ayuda. las funciones del agente se habilitan completamente (lo que significa que se seleccionan todas las casillas de verificación). desactive la casilla de verificación correspondiente para alguna o todas las opciones siguientes: 1. 2. Puede definir configuraciones de agente diferentes para las distintas configuraciones cliente de GlobalProtect que cree. consulte Implementación de la configuración del agente de forma transparente. Si desea información más detallada. También puede crear páginas de bienvenida y páginas de ayuda personalizadas que indiquen a sus usuarios cómo usar GlobalProtect dentro de su entorno.  Si los usuarios pueden deshabilitar el agente (válido solo para el método de conexión de inicio de sesión del usuario). Seleccione la pestaña Agente. Guía del administrador de GlobalProtect Seleccione Red > GlobalProtect > Portales y seleccione la configuración del portal para la que desea agrega una configuración de cliente (o haga clic en Añadir para añadir una nueva configuración).Configuración de la infraestructura de GlobalProtect Configuración del portal de GlobalProtect Personalización del agente de GlobalProtect La configuración del cliente del portal le permite personalizar el modo en que interaccionan los usuarios finales con los agentes de GlobalProtect instalados en sus sistemas o la aplicación de GlobalProtect instalada en sus dispositivos móviles. De forma predeterminada. Consulte Personalización de las páginas de inicio de sesión de portal. Si quiere que los usuarios solo puedan ver información básica de estado desde la aplicación. se habilita la vista avanzada. 45 . 1.  Si desea mostrar una página de bienvenida cuando el inicio de sesión se realice correctamente.  Si las actualizaciones del agente se realizarán automáticamente o si se les pedirá a los usuarios que actualicen. lo que permite a los usuarios finales ver información estadística.  Si lo usuarios pueden o no guardar sus contraseñas en el agente. 3. Para los clientes de Windows. También puede definir la configuración del agente desde el registro de Windows o el archivo plist global de Mac. Los ajustes definidos en las configuraciones del cliente del portal en la interfaz web siempre anulan a los ajustes definidos en el registro de Windows/MSIEXEC o archivo plist de Mac. Seleccione la pestaña Configuración clientes y seleccione la configuración del cliente que desea modificar (o haga clic en Añadir para añadir una nueva configuración). Puede personalizar:  A qué menús y vistas pueden acceder los usuarios. también puede definir la configuración del agente directamente desde el instalador de Windows (MSIEXEC). de host y de solución de problemas y realizar tareas como cambiar sus contraseñas. Paso 2 Defina lo que pueden hacer los usuarios finales con esta configuración desde el agente. De forma predeterminada. desactive la casilla de verificación Habilitar vista avanzada. Personalización del agente Paso 1 Vaya a la ficha Agente en la configuración del cliente que desea personalizar.

En sistemas Windows. Consulte Implementación de la configuración del agente de forma transparente para obtener información detallada. Sin embargo. anular la selección de esta opción puede evitar ataques de tipo “Man in the middle” (MITM). Para obtener más de comandos de Windows (MSIEXEC) o el información. debe proporcionar la dirección predeterminada del portal en el registro de Windows: (HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Hay otra opción disponible para especificar Networks\GlobalProtect\PanSetup con la clave Portal) o si el agente debe pedir al usuario final las el archivo plist de Mac (/Library/Preferences/com. por lo tanto. a continuación. Sin embargo.GlobalProtect. mediante MSIEXEC: msiexec. desactive la casilla de verificación Mostrar icono GlobalProtect. debe cambiar el valor en el cada vez que se conecten). desactive la casilla de verificación Permitir que el usuario continúe si el certificado del portal no es válido. consulte Implementación de la configuración del registro de Windows solo. si ha implementado un certificado de servidor de confianza para el portal. redescubrir la red. la configuración definida en la interfaz web o CLI anulará a la configuración del registro/archivo plist. para volver a enviar perfil de host. De forma agente de forma transparente. reenviar información de host. durante la instalación del agente. como cambiar las contraseñas. predeterminada.Configuración del portal de GlobalProtect Configuración de la infraestructura de GlobalProtect Personalización del agente (Continuación) Nota Nota La configuración de la ficha Agente también se puede configurar en el cliente final mediante la política de grupo añadiendo ajustes al registro de Windows/archivo plist de Mac.plist con la Windows falle: hacerlo mediante el la línea clave Portal en el diccionario PanSetup). • Si no quiere que el agente establezca conexión con el portal en caso de que el certificado del portal no sea válido. los mensajes de notificación HIP. GlobalProtect. reenviar el HIP. consulte Implementación de la configuración del • Para evitar que los usuarios reenvíen manualmente los datos HIP a la puerta de enlace. los mensajes de inicio de sesión y los cuadros de diálogo de certificados seguirán mostrándose como necesarios para interactuar con el usuario final. también puede establecerlos usando la utilidad msiexec desde la línea de comandos durante la instalación del agente.pansetup. ya que permite al usuario arreglar los problemas de cumplimiento en el ordenador y. Sin embargo. Tenga en cuenta que el portal solo proporciona la configuración del agente.msi desactive la casilla de verificación Activar opción para volver a CANPROMPTUSERCREDENTIAL="no" detectar la red. Esta opción está activada de forma predeterminada y es útil en aquellos casos en los que la política de seguridad basada en HIP evita que los usuarios accedan a los recursos. forzarlos a proporcionar la contraseña. desactive la casilla de verificación Permitir registro o. Para obtener más información. Cuando está oculto. ver información de solución de problemas o realizar una conexión a demanda. no proporciona acceso de red y. Para modificar este transparente mediante el cliente o introduciendo una manualmente. • Si desea ocultar el agente de GlobalProtect en los sistemas de usuario final. • Desactive la casilla de verificación Permitir al usuario cambiar la dirección del portal para deshabilitar el campo Portal en la ficha Configuración en el agente GlobalProtect. que el usuario guarde la contraseña. 46 Guía del administrador de GlobalProtect . desactive la casilla de verificación Activar opción agente de forma transparente.exe /i • Para evitar que los usuarios realicen un redescubrimiento de red. credenciales en caso de que la SSO de paloaltonetworks. Como el usuario no podrá entonces especificar un portal al que conectarse. los usuarios no pueden realizar otras tareas. ya sea de forma establece en yes. este ajuste del registro • Si no desea que los usuarios guarden sus contraseñas en el agente (can-prompt-user-credential) se (es decir. comportamiento. la seguridad del portal es menos crítica que la seguridad a la puerta de enlace.

• Para restringir la duración de la desconexión del usuario. • Para limitar el número de veces que el usuario puede desconectarse. el administrador hace clic en Generar De forma predeterminada. el administrador proporciona el vale para el comentario para poder desconectarse usuario final. Nota Si el icono del agente no aparece. conecta a GlobalProtect tan pronto como el usuario inicia sesión en el sistema. El usuario para poder desconectarse. modo suele denominarse a veces “siempre seleccione con vale en el menú desplegable Cancelación del activado”. El valor 0 (predeterminado) indica que la desconexión del usuario no tiene limitación. a los usuarios vale en la página Red > GlobalProtect > Portales e introduce el del modo de inicio de sesión de usuario se número de solicitud desde el usuario final para general el vale. establecido en con comentario). Guía del administrador de GlobalProtect 47 . Entonces. seleccione deshabilitado en el menú desplegable Cancelación del agente por el usuario.Configuración de la infraestructura de GlobalProtect Configuración del portal de GlobalProtect Personalización del agente (Continuación) Paso 3 Especifique si desea que los usuarios puedan desconectarse de GlobalProtect. seleccione con código de acceso en el menú (en la pestaña General) establecido en desplegable Cancelación del agente por el usuario y. Esto solo se aplica a configuraciones cliente que tengan el método de conexión • Para permitir que los usuarios se desconecten si proporcionan un código de acceso. introduzca un valor (en minutos) en el campo Tiempo de espera a la cancelación del agente por el usuario. a user-logon. la acción de desconexión usuario debe anular este comportamiento activa el agente para generar un número de solicitud. Un valor de 0 (predeterminado) indica que no hay restricciones sobre la duración que el usuario puede permanecer desconectado. En modo de inicio de sesión continuación. que es la razón por la cual el agente por el usuario. introduzca un valor en el campo Cancelación del agente por el usuario. final debe comunicar en ese momento el número de solicitud al administrador. el agente se deben proporcionar los usuarios finales. les pedirá que proporcionen un A continuación. • Para evitar que los usuarios en modo de inicio de sesión de usuario se desconecten. En este caso. Este • Para permitir a los usuarios desconectarse si proporcionan un vale. Consulte Paso 2 para obtener más detalles. que lo introduce en el cuadro de diálogo Deshabilitar (Cancelación del agente por el usuario GlobalProtect para permitir la desconexión del agente. introduzca (y confirme) el código de acceso que de usuario (user-logon). los usuarios no podrán desconectarse.

Seleccione la casilla de verificación Mostrar página de internos a los que solo pueden acceder bienvenida. haga clic en ACEPTAR para cerrar el cuadro de diálogo Configuraciones. el usuario seleccionará la agente “por configuración”. compile los cambios. vuelva a Definición de las configuraciones de clientes. después de haber probado exhaustivamente la nueva versión. En este caso. hay una página de internos. usuarios pueden actualizarse. También puede optar por mostrar una página de bienvenida en el navegador Una página de bienvenida puede ser útil del cliente cuando el inicio de sesión se realice. seleccione manual. De forma predeterminada. puede personalizar el comportamiento de la actualización del • Para permitir a los usuarios finales iniciar las actualizaciones del agente. a continuación. la única indicación de que el agente se ha conectado correctamente a GlobalProtect es un mensaje de globo que aparece en la bandeja del sistema/barra de menús. haga clic en ACEPTAR para cerrar el cuadro de diálogo Portal GlobalProtect. seleccione grupo de usuarios antes de implementarla en deshabilitar. el campo Actualización de agente se establece para que solicite actualizar al usuario final. seleccione transparente. De forma predeterminada. para obtener instrucciones sobre cómo completar la configuración del cliente. por ejemplo. puede definir una o más páginas de bienvenida personalizadas con información específica para usuarios o para un grupo de usuarios concreto (basada en la configuración de portal que se implemente). Para ver información sobre cómo se crean las páginas personalizadas. de la siguiente forma: para dirigir a los usuarios a los recursos 1. 1. Observe que esta opción no funcionará si el agente para permitirles actualizar y probar y GlobalProtect está oculto para el usuario. A continuación. cuando están conectados a GlobalProtect. Si ha terminado de crear la configuración del cliente. Consulte el Paso 2 para deshabilitar la actualización en el resto obtener más detalles. De lo contrario. bienvenida denominada predeterminada de fábrica. Sin embargo. Paso 6 Guarde la configuración del agente. En este caso. Para modificar este comportamiento. seleccione una de las siguientes opciones: Si desea controlar el momento en el que los • Si quiere que las actualizaciones se produzcan sin ninguna interacción con el usuario. con el fin de permitirles actualizar. si desea probar una versión con un pequeño • Para impedir las actualizaciones del agente. consulte Personalización de las páginas de inicio de sesión de portal. Guía del administrador de GlobalProtect . Paso 5 Especifique si desea mostrar una página de bienvenida cuando el inicio de sesión se realice correctamente.Configuración del portal de GlobalProtect Configuración de la infraestructura de GlobalProtect Personalización del agente (Continuación) Paso 4 Especifique cómo se producirán las actualizaciones del agente de GlobalProtect. opción Comprobar versión en el agente para determinar si hay podría crear una configuración que se una nueva versión del agente y. toda la base de usuarios. podría modificar las configuraciones del agente para el resto de usuarios. 3. Seleccione la página de bienvenida para mostrar el menú como su Intranet u otros servidores desplegable. De forma predeterminada. de configuraciones de usuario/grupo. actualizar si lo aplique a los usuarios de su grupo de TI solo desea. 2. 48 2. bienvenida y ayuda. Si ha terminado de configurar el portal. Cuando termine la configuración del portal.

Haga clic en ACEPTAR para guardar la configuración de portal. aloje la nueva imagen del logotipo en un servidor web que sea accesible desde los clientes de GlobalProtect remotos. bienvenida y ayuda predeterminadas. Seleccione el enlace Página de inicio de sesión de portal de GlobalProtect. 4.com/ Acme-logo-96x96. 1. Compile sus cambios. Seleccione la página predefinida Valor predeterminado y haga clic en Exportar. 1. Configure el portal para utilizar la nueva página de inicio de sesión. edite la siguiente línea del HTML para indicar la nueva imagen del logotipo: <img src="http://cdn. Sin embargo. 3. Guarde la imagen editada con un nuevo nombre de archivo. Si desea editar la imagen del logotipo que aparece. seleccione la nueva página en el menú desplegable de la página de inicio de sesión personalizada. bienvenida y ayuda GlobalProtect proporciona páginas de inicio de sesión. 5. En la pestaña Configuración de portal.jpg?1382722588"/> Paso 3 Paso 4 Importe la nueva página de inicio de sesión. a continuación.slidesharecdn.Configuración de la infraestructura de GlobalProtect Configuración del portal de GlobalProtect Personalización de las páginas de inicio de sesión de portal. 1. 3. Con el editor de textos de HTML que prefiera. Por ejemplo. Guía del administrador de GlobalProtect 3. 4. Seleccione Dispositivo > Páginas de respuesta. 1. Edite la página exportada. 2. Asegúrese de que la página conserva su codificación UTF-8. 2. políticas de uso aceptable y enlaces a sus recursos internos de la siguiente forma: Personalización de la página de inicio de sesión de portal Paso 1 Paso 2 Exporte la página de inicio de sesión del portal predeterminada. puede crear sus propias páginas de personalización con su marca corporativa. 49 . seleccione el portal al que desea agregar la página de inicio de sesión. Haga clic en ACEPTAR para importar el archivo. 3. introduzca la ruta y el nombre de archivo en el campo Importar archivo o examine para encontrar el archivo. 2. Seleccione Red > GlobalProtect > Portales y. a continuación. Haga clic en Importar y. 2. (Optativo) Seleccione el sistema virtual en el que se utilizará esta página de inicio de sesión desde el menú desplegable Destino o seleccione la opción Compartido para que esté disponible para todos los sistemas virtuales. Seleccione el enlace Página de inicio de sesión de portal de GlobalProtect. Seleccione Dispositivo > Páginas de respuesta. edite la página.

vaya a la URL de su portal (no añada el número de puerto :4443 al final de la URL o se le redirigirá a la interfaz web para el cortafuegos). Por ejemplo. Aparecerá la página de inicio de sesión del portal. introduzca https://myportal en lugar de https://myportal:4443. 50 Guía del administrador de GlobalProtect . En un navegador.Configuración del portal de GlobalProtect Configuración de la infraestructura de GlobalProtect Personalización de la página de inicio de sesión de portal (Continuación) Paso 5 Compruebe que aparece la nueva página de inicio de sesión.

primero debe desinstalar el agente existente.  Con reglas de políticas de grupo: en entornos Active Directory. puede implementar la configuración del agente automáticamente en el Windows Installer (MSIEXEC). un host final debe ejecutar el software cliente de GlobalProtect. El método de implementación del software depende del tipo de cliente de la siguiente forma:  Hosts de Mac OS y Microsoft Windows hosts: necesitan el software del agente de GlobalProtect. Sin embargo. Guía del administrador de GlobalProtect 51 . puede que aumente la carga de su portal.  Desde un servidor web: si tiene un gran número de hosts que necesiten actualizar el agente de forma simultánea. Consulte el artículo http://support. debe descargar la versión que desea que utilicen los hosts de su red en el cortafuegos que aloja su portal de GlobalProtect y. para actualizar a una versión del agente posterior utilizando MSIEXEC. Consulte Alojamiento de actualizaciones de agente en el portal para obtener instrucciones.  Dispositivos iOS y Android: necesitan la aplicación de GlobalProtect. Consulte Implementación de la configuración del agente de forma transparente. distribuido por el portal de GlobalProtect. Esta opción proporciona una flexibilidad que le permitirá controlar el modo y el momento en el que los usuarios finales recibirán actualizaciones basadas en la configuración del cliente definida para cada usuario. consulte ¿Qué clientes son compatibles? Implementación del software del agente de GlobalProtect Hay varias formas de implementar el software del agente de GlobalProtect:  Directamente desde el portal: descargue el software del agente en el cortafuegos que aloja el portal y actívelo para que los usuarios finales puedan instalar las actualizaciones cuando se conecten al portal. si dispone de un gran número de agentes que necesitan actualizaciones.  De forma transparente desde la línea de comandos: para los clientes de Windows. Para obtener instrucciones sobre cómo descargar y activar el software del agente en el cortafuegos. Consulte Alojamiento de actualizaciones de agente en un servidor web para obtener instrucciones. Descarga e instalación de la aplicación móvil de GlobalProtect. activar el software para su descarga. MSIEXEC permite la implementación de la configuración del agente directamente en los sistemas cliente estableciendo valores en el registro de Windows o el archivo plist de Mac. consulte Implementación del software del agente de GlobalProtect. considere alojar las actualizaciones del agente en un servidor web para reducir la carga del cortafuegos. el usuario final debe descargar la aplicación de GlobalProtect desde la AppStore de Apple (dispositivos iOS) o desde Google Play (dispositivos Android). grupo o sistema operativo. Además. el agente de GlobalProtect también se puede distribuir a usuarios finales. a continuación.Configuración de la infraestructura de GlobalProtect Implementación del software cliente de GlobalProtect Implementación del software cliente de GlobalProtect Para poder conectar a GlobalProtect. Si desea más información.microsoft. utilizando políticas de grupo de directorios activas. Como con otras aplicaciones para dispositivos móviles. Sin embargo. Para habilitar el software para su distribución. Las políticas de grupos de AD permiten la modificación automática de la configuración de ordenadores host de Windows y de software.com/kb/816102 para obtener más información sobre cómo utilizar la política de grupo para distribuir automáticamente programas para alojar ordenadores o usuarios.

puede descargar manualmente el paquete de software del agente desde el sitio de asistencia de actualizaciones de software de Palo Alto Networks a través de un ordenador conectado a Internet y cargarlo manualmente en el cortafuegos. a continuación. Usted define el modo en que las actualizaciones del software del agente se implementan en las configuraciones de cliente que define en el portal: si se producen automáticamente cuando un agente se conecta a un portal. Paso 2 Compruebe si hay nuevas imágenes de software del agente. Luego puede Cargar la actualización en su cortafuegos y activarla haciendo clic en Activar desde archivo. si se indica al usuario que actualice el agente o si el usuario final puede comprobar y descargar de forma manual una nueva versión del agente.com). el valor en la columna Acción cambia a Activar. consulte Definición de las configuraciones de clientes. activar el software para descargar los agentes que se conectan al portal. Si el cortafuegos no tiene acceso a Internet. la columna Acción no se actualizará. significa que hay una actualización disponible. A continuación. Vaya al siguiente paso para obtener instrucciones de cómo activar una imagen que se ha cargado de forma manual. Nota Si su cortafuegos no tiene acceso a Internet desde el puerto de gestión.Implementación del software cliente de GlobalProtect Configuración de la infraestructura de GlobalProtect Alojamiento de actualizaciones de agente en el portal La manera más sencilla de implementar el software del agente de GlobalProtect es descargar el paquete de instalación del nuevo agente en el cortafuegos que aloja su portal y. haga clic en Comprobar ahora para comprobar si hay actualizaciones recientes. 52 Busque la versión del agente que quiere y haga clic en Descargar. Si el valor de la columna Acción es Descargar. Cuando se complete la descarga del agente. regrese al cortafuegos para Cargar manualmente el archivo. Para hacerlo de forma automática. puede descargar la actualización del Nota agente desde el sitio de asistencia técnica de Palo Alto Networks (https://support. Si ha cargado manualmente el software del agente como se describe en el Paso 2. Para obtener información acerca de la configuración de cliente.paloaltonetworks. vaya al sitio de asistencia de actualizaciones de software de Palo Alto Networks y Descargue el archivo en su ordenador. • Si el cortafuegos tiene acceso a Actualizar servidor. • Si el cortafuegos no tiene acceso a Actualizar servidor. el cortafuegos debe tener una ruta de servicio que le permita acceder a Actualizar servidor de Palo Alto Networks. Alojamiento del agente de GlobalProtect en el portal Paso 1 Seleccione Dispositivo > Cliente de GlobalProtect. Inicie la interfaz web en el cortafuegos donde se aloja el portal de GlobalProtect y vaya a la página Cliente de GlobalProtect. Guía del administrador de GlobalProtect . Paso 3 Descargue la imagen de software.

1. Cargue los archivos de imagen en su servidor web. Así se reducirá la carga en el cortafuegos cuando los usuarios se conecten para descargar el agente. En el cortafuegos donde se aloja el portal. Alojamiento de imágenes de un agente de GlobalProtect en un servidor web Paso 1 Descargue en el cortafuegos la versión Siga los pasos para descargar y activar el software del agente en el del agente de GlobalProtect que pretende cortafuegos. a continuación. • Si ha cargado la imagen en el cortafuegos de forma manual. Paso 3 Publique los archivos en su servidor web. el portal debería redirigirle a la descarga. Puede que tenga que actualizar la pantalla para que en la versión se muestre Activado actualmente. Si activa una nueva versión. tal y como se describe en Alojamiento del agente de alojar en el servidor web y actívela. vaya al sitio de actualizaciones de software de Palo Alto Networks y descargue el archivo en su ordenador. seleccione el Archivo de cliente de GlobalProtect que cargó desde el menú desplegable. Alojamiento de actualizaciones de agente en un servidor web Si tiene un gran número de sistemas cliente en los que necesitará instalar o actualizar el software del agente de GlobalProtect. Debería descargar la misma imagen que ha activado en el portal. pero tiene algunos agentes que requieren una versión previamente activada. Para usar esta función. GlobalProtect en el portal. tendrá que activar la versión requerida de nuevo para habilitar la descarga. Nota Solo se puede activar una imagen del software del agente a la vez. Paso 4 Redirija a los usuarios finales al servidor web. haga clic en Activar. introduzca su nombre y contraseña de usuario y. 2. Tras iniciar sesión correctamente. inicie sesión en la CLI e introduzca los siguientes comandos del modo de operación: > set global-protect redirect on > set global-protect redirect location <ruta> donde <ruta> es la ruta a la carpeta donde se aloja la imagen. Guía del administrador de GlobalProtect En la página de inicio de sesión del portal. • Si ha activado la imagen automáticamente desde Actualizar servidor. Paso 2 Descargue la imagen del agente de GlobalProtect que quiere alojar en su servidor web. a continuación.acme. Paso 5 Compruebe la redirección. 53 . Desde un navegador. el cortafuegos donde se aloja el portal debe utilizar PAN-OS 4.Configuración de la infraestructura de GlobalProtect Implementación del software cliente de GlobalProtect Alojamiento del agente de GlobalProtect en el portal (Continuación) Paso 4 Active la imagen de software del agente para que los usuarios finales puedan descargarla desde el portal.com. 1.7 o una versión posterior. haga clic en Activar desde archivo y. haga clic en Inicio de sesión. Haga clic en ACEPTAR para activar la imagen seleccionada. https://gp. por ejemplo https://acme/GP. Inicie su navegador web y vaya a la siguiente URL: https://<portal address or name> Por ejemplo. tal vez deba alojar las imágenes del software del agente de GlobalProtect en un servidor web externo.

En la página de inicio de sesión del portal. 4. 1. Compile los cambios. En la pestaña Usuario/grupo de usuarios. 6. https://gp. a continuación. Las siguientes actualizaciones de software del agente no necesitan privilegios administrativos. 2. haga clic en Ejecutar para iniciar el Asistente de configuración de GlobalProtect.acme. Inicie sesión en el portal GlobalProtect. Inicie su navegador web y vaya a la siguiente URL: https://<portal address or name> Por ejemplo. (Opcional) Seleccione la configuración de cliente que acaba de crear/modificar y haga clic en Mover hacia arriba para que quede por encima de cualquier configuración más genérica que acabe de crear.Implementación del software cliente de GlobalProtect Configuración de la infraestructura de GlobalProtect Comprobación de la instalación del agente Utilice el siguiente procedimiento para probar la instalación del agente. En la pestaña Agente. seleccione el usuario o grupo que probará el agente. Seleccione la pestaña Configuración clientes y elija una actualizaciones de software del agente no configuración existente o haga clic en Añadir para añadir una necesitan privilegios administrativos. iniciado la sesión usando una cuenta con privilegios administrativos. por ejemplo. haga clic en Inicio de sesión. haga clic en Ejecutar. 3. nueva configuración que se implementará en usuarios/grupo de prueba. 5. Nota 54 Cuando instale inicialmente el software del agente de GlobalProtect en el sistema del cliente. 2. a continuación. Cree una configuración de cliente para comprobar la instalación del agente. asegúrese de que Actualización de agente se establece en símbolo y. haga clic en Añadir en la sección Usuario/grupo de usuarios y. introduzca su nombre y contraseña de usuario y. Seleccione Red > GlobalProtect > Portales y seleccione la del cliente. haga clic en Aceptar para guardar la configuración. el usuario final debe haber configuración del portal que se debe editar. Paso 3 Descargue el agente. el usuario final debe haber iniciado la sesión usando una cuenta con privilegios administrativos. Comprobación de la instalación del agente Paso 1 Nota Paso 2 Se recomienda empezar a crear una configuración de cliente limitada a un grupo reducido de usuarios como.com. Cuando se le solicite. 1. Cuando se le solicite ejecutar o guardar el software. 3. Guía del administrador de GlobalProtect . Haga clic en el enlace que corresponda con el sistema operativo que está ejecutando en su ordenador para iniciar la descarga. administradores del departamento de TI responsables de la administración del Cuando instale inicialmente el software del agente de GlobalProtect en el sistema cortafuegos: 1. a continuación. Las siguientes 2.

Esto incluye ajustes relacionados con el inicio de sesión como la conexión según demanda. Para implementar el agente en los usuarios finales. los ajustes que recibe el agente del portal sobrescribirán los definidos por el cliente. 3. Inicie sesión en GlobalProtect. Si la autenticación es correcta. no debe definir ajustes que estén en conflicto. así como a recursos externos. puede definirlos directamente desde el registro de Windows. 1. Los ajustes definidos en la configuración del portal siempre anulan a los ajustes definidos en el registro de Windows o archivo plist de Mac. la configuración del portal se almacena en la caché del sistema del cliente.Configuración de la infraestructura de GlobalProtect Implementación del software cliente de GlobalProtect Comprobación de la instalación del agente (Continuación) Paso 4 Paso 5 Complete la configuración del agente de GlobalProtect. Esta configuración en caché se utilizará si el agente de GlobalProtect o la máquina se reinician. 2. a continuación. haga clic en Siguiente dos veces. comunique la dirección del portal. En el Asistente de configuración de GlobalProtect. Implementación de la configuración del agente de forma transparente Como alternativa a la implementación de los ajustes del agente desde la configuración del portal. Después de que la instalación se realice correctamente. Consulte Definición de las configuraciones de clientes para obtener detalles sobre cómo establecer la configuración del cliente. Cuando se le solicite. Las siguientes secciones describen cómo implementar los recopiladores de logs:  Establecimiento del nombre del portal  Ajustes personalizables del agente  Implementación de configuración del agente desde MSIEXEC  Implementación de configuración del agente en el registro de Windows o archivo plist de Mac Guía del administrador de GlobalProtect 55 . la utilización de SSO o la conexión del cliente en caso de que el certificado del portal no sea válido. según se define en las políticas de seguridad correspondientes. Además. Utilice el agente para acceder a los recursos de la red corporativa. el agente se conectará a GlobalProtect. cree configuraciones de cliente para los grupos de usuarios para los que desee habilitar el acceso y establezca correctamente la configuración de Actualización de agente y. a continuación. Haga clic en Siguiente para aceptar la carpeta de instalación predeterminada (C:\Program Files\Palo Alto Networks\GlobalProtect) o en Examinar para seleccionar una nueva ubicación y. archivo plist global de MAC o (solo en clientes de Windows) en el instalador MSIEXEC. Esto significa que si define ajustes en el registro o plist. La ventaja es que permite la implementación de la configuración del agente de GlobalProtect en los sistemas cliente antes de su primera conexión al portal de GlobalProtect. introduzca su nombre de usuario y contraseña y. haga clic en Cerrar. haga clic en Siguiente. El agente de GlobalProtect se iniciará automáticamente. pero la configuración del portal especifica otros ajustes. Por lo tanto. a continuación. haga clic en Aplicar.

también puede definir los ajustes de configuración del agente. paloaltonetworks.Implementación del software cliente de GlobalProtect Configuración de la infraestructura de GlobalProtect Establecimiento del nombre del portal Si no quiere que el usuario introduzca manualmente la dirección del portal ni siquiera en la primera conexión. Los ajustes definidos en la configuración del cliente del portal de GlobalProtect siempre anulan a los ajustes definidos en el registro de Windows o archivo plist de Mac.settings.plist y la clave de configuración Portal en el diccionario PanSetup): Ajustes personalizables del agente Además de implementar previamente la dirección del portal. Este ajuste se utiliza junto con el inicio de sesión único e indica si se deben pedir o no al usuario las credenciales en caso de que falle la SSO. Sin embargo. puede implementar previamente la dirección del portal mediante el registro de Windows: (HKEY_LOCAL_MACHINE\ SOFTWARE\Palo Alto Networks\GlobalProtect\PanSetup con la clavePortal) o con el archivo plist de Mac (/Library/Preferences/com. Tabla: Ajustes personalizables del agente Configuración del cliente de portal Registro de Windows/archivo plist de Mac Parámetro MSIEXEC Valor predeterminado Habilitar vista avanzada enable-advanced-view yes | no ENABLEADVANCEDVIEW=”yes|no” yes Mostrar icono GlobalProtect show-agent-icon yes | no SHOWAGENTICON=”yes|no” yes Permitir al usuario cambiar la dirección del portal can-change-portal yes | no CANCHANGEPORTAL=”yes|no” yes Permitir que el usuario guarde la contraseña can-save-password yes | no CANSAVEPASSWORD=”yes|no” yes Habilitar opción de redescubrimiento de red rediscover-network yes | no REDISCOVERNETWORK=”yes|no” yes 56 Guía del administrador de GlobalProtect .GlobalProtect. un ajuste (can-prompt-user-credential) no está disponible en la configuración del cliente del portal y se debe establecer mediante el registro de Windows (aplicable solo a clientes de Windows). La Tabla: Ajustes personalizables del agente describe todos los ajustes personalizables del agente.

Esto permite la implementación de la configuración del agente de GlobalProtect en los sistemas cliente antes de su primera conexión al portal de GlobalProtect. consulte la Tabla: Ajustes personalizables del agente. puede cambiar la configuración de la siguiente forma: msiexec. para evitar que los usuarios se conecten al portal si el certificado no es válido.settings. Para ver una lista de comandos y valores.msi <SETTING>="<value>" Por ejemplo. consulte Tabla: Ajustes personalizables del agente. Implementación de configuración del agente en el registro de Windows o archivo plist de Mac Puede establecer la configuración personalizada del agente de GlobalProtect en el registro de Windows (HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\GlobalProtect\Settings\) o en el archivo plist global de Mac (/Library/Preferences/com.plist).GlobalProtect.exe /i GlobalProtect.exe /i GlobalProtect. Guía del administrador de GlobalProtect 57 .msi CANCONTINUEIFPORTALCERTINVALID="no" Para obtener una lista de ajustes y de los correspondientes valores predeterminados.Configuración de la infraestructura de GlobalProtect Implementación del software cliente de GlobalProtect Configuración del cliente de portal Registro de Windows/archivo plist de Mac Parámetro MSIEXEC Valor predeterminado Activar opción para volver a enviar perfil de host resubmit-host-info yes | no RESUBMITHOSTINFO=”yes|no” yes Permitir que el usuario continúe si el certificado de servidor del portal no es válido can-continue-if-portal-certinvalid yes | no CANCONTINUEIFPORTALCERTINVAL ID=”yes|no” yes Utilizar registro único use-sso yes | no USESSO=”yes|no” yes Intervalo de actualización de configuración (horas) refresh-config-interval <hours> REFRESHCONFIGINTERVAL=”<hour s>” 24 Método de conexión connect-method on-demand | pre-logon | user-logon CONNECTMETHOD=”on-demand | pre-logon | user-logon” user-logon Solo Windows/no en portal can-prompt-user-credential yes | no CANPROMPTUSERCREDENTIAL=”yes | no” yes Implementación de configuración del agente desde MSIEXEC En los clientes de Windows tiene la opción de implementar automáticamente tanto el agente como la configuración desde Windows Installer (MSIEXEC) usando la siguiente sintaxis: msiexec.paloaltonetworks.

Utilice el siguiente procedimiento para instalar la aplicación móvil de GlobalProtect. seleccione el usuario o grupo que probará el agente. 4. a un grupo reducido de usuarios como. En la pestaña Usuario/grupo de usuarios. 3. 2. la aplicación móvil proporciona acceso seguro a su red corporativa en el túnel de IPSec o SSL VPN. el gestor de seguridad móvil de GlobalProtect se integra uniformemente con los otros servicios de GlobalProtect de su red. Para conseguir una solución de seguridad de dispositivo móvil más completa. 6. también puede utilizar el gestor de seguridad móvil de GlobalProtect. Como el agente de GlobalProtect. la aplicación recoge información sobre la configuración del host. por ejemplo. Desde el dispositivo móvil. Para obtener más información. siga las indicaciones para descargar e instalar la aplicación. el tráfico hasta y desde el dispositivo móvil quedará sujeto automáticamente a la aplicación de la misma política de seguridad de los otros hosts de la red corporativa. permitiendo el acceso seguro a sus recursos de red desde cualquier ubicación y la aplicación de política granular basada en perfiles HIP. Como con otros hosts remotos que ejecutan el agente de GlobalProtect. administradores del departamento de TI responsables de la administración del cortafuegos: 1. la aplicación del cumplimiento de seguridad de dispositivos y visibilidad y gestión centralizadas sobre los dispositivos móviles que acceden a la red. Seleccione Red > GlobalProtect > Portales y seleccione la configuración del portal que se debe editar. a continuación. (Opcional) Seleccione la configuración de cliente que acaba de crear/modificar y haga clic en Mover hacia arriba para que quede por encima de cualquier configuración más genérica que acabe de crear. • En dispositivos Android. • En dispositivos iOS. La aplicación se conectará automáticamente a la puerta de enlace más cercana a la ubicación actual del usuario final. Compile los cambios. Seleccione la pestaña Configuración clientes y elija una configuración existente o haga clic en Añadir para añadir una nueva configuración que se implementará en usuarios/grupo de prueba. Además. consulte Configuración del gestor de seguridad móvil de GlobalProtect. busque la aplicación en Google Play. Guía del administrador de GlobalProtect . busque la aplicación en App Store. Este servicio permite el aprovisionamiento automatizado de configuraciones de dispositivos móviles. haga clic en Añadir en la sección Usuario/grupo de usuarios y. que puede utilizar para aplicar una política de seguridad basada en HIP.Implementación del software cliente de GlobalProtect Configuración de la infraestructura de GlobalProtect Descarga e instalación de la aplicación móvil de GlobalProtect La aplicación de GlobalProtect proporciona una forma sencilla de ampliar las políticas de seguridad de empresa a los dispositivos móviles. Comprobación de la instalación de la aplicación Paso 1 Paso 2 58 Cree una configuración de cliente para Se recomienda empezar a crear una configuración de cliente limitada comprobar la instalación de la aplicación. seleccione la aplicación que está probando (iOS o Android). 5. Además. En la sección de SO.

El nombre del portal debe ser un nombre de dominio completo (FQDN) y no incluirá https:// al principio. Toque Conectar y compruebe que la aplicación establece correctamente una conexión de VPN a GlobalProtect. el nombre de usuario y la contraseña. Cuando se le solicite. la aplicación le pedirá que se inscriba. Guía del administrador de GlobalProtect 59 . Para iniciar la aplicación. 2. 1. toque el icono. Consulte Verificación de la configuración del gestor de seguridad móvil para obtener más información comprobar esa configuración.Configuración de la infraestructura de GlobalProtect Implementación del software cliente de GlobalProtect Comprobación de la instalación de la aplicación (Continuación) Paso 3 Inicie la aplicación. introduzca el nombre o dirección del portal. Cuando se haya instalado correctamente. toque ACEPTAR. el icono de la aplicación de GlobalProtect aparecerá en la pantalla de inicio del dispositivo. Si el gestor de seguridad móvil de GlobalProtect está configurado. Paso 4 Conecte con el portal. Cuando se le solicite habilitar las funciones de VPN de GlobalProtect.

Implementación del software cliente de GlobalProtect 60 Configuración de la infraestructura de GlobalProtect Guía del administrador de GlobalProtect .

licencia y actualización del gestor de seguridad móvil  Configuración del gestor de seguridad móvil para la gestión de dispositivos  Configuración del acceso de puerta de enlace al gestor de seguridad móvil  Definición de políticas de implementación  Verificación de la configuración del gestor de seguridad móvil  Configuración del acceso administrativo en el gestor de seguridad móvil Guía del administrador de GlobalProtect 61 . como bloquear o borrar los dispositivos móviles robados o que se hayan perdido. El gestor de seguridad móvil de GlobalProtect ofrece los mecanismos para configurar los ajustes de dispositivos y las cuentas y realizar acciones con los dispositivos. por ejemplo permitiéndole denegar el acceso a dispositivos que estén liberados o con el root desbloqueado.Configuración del gestor de seguridad móvil de GlobalProtect Los dispositivos móviles son cada vez más potentes. por lo que los usuarios finales confían más en ellos para realizar sus tareas comerciales. Los siguientes temas describen el servicio de gestor de seguridad móvil de GlobalProtect y le muestran los pasos básicos para configurar la gestión de los dispositivos. Sin embargo. los mismos dispositivos que acceden a sus redes de la empresa están conectando también a Internet sin protección contra amenazas y vulnerabilidades. El gestor de seguridad móvil también publica el estado del dispositivo en las puertas de enlace de GlobalProtect (en informes HIP) para que pueda crear políticas de acceso granular.  Recomendaciones de implementación del gestor de seguridad móvil  Configuración del acceso de gestión al gestor de seguridad móvil  Registro.

use el puerto 443 (predeterminado) para la inscripción y otro puerto diferente (configurable a 7443 o 8443) para el registro. si lo cambia tras la configuración inicial los dispositivos deberán volver a inscribirse con gestor de seguridad móvil. Sin embargo. pero usar puertos de escucha distintos. Se recomienda configurar la ruta del servicio de notificaciones Push para que use la interfaz ethernet1. por ejemplo para enviar una solicitud de registro o realizar una acción como el envío de un mensaje o una nueva política. las puertas de enlace de GlobalProtect recuperan los informes HIP del dispositivo móvil desde el gestor de seguridad móvil.  Puertas de enlace de GlobalProtect: Para activar la política de seguridad basada en HIP para los dispositivos gestionados. el gestor de seguridad móvil recupera las actualizaciones de WildFire desde el servidor de actualizaciones de Palo Alto Networks en su interfaz de gestión. debe enviar notificaciones de envío a través del servicio de notificaciones Push de Apple (APNs) o los servicios de mensajería en la nube de Google (GCM) siempre que necesite interactuar con un dispositivo. La mejor implementación es activar el servicio de gestión de puertas de enlace de GlobalProtect en la interfaz ethernet1. Se recomienda usar ethernet1 para la inscripción y registro de dispositivo.  Servicios de notificaciones Push: Como el gestor de seguridad móvil no puede conectarse directamente con los dispositivos móviles que gestiona. Para evitar que el usuario final vea advertencias de certificados. Advertencia: Como el puerto de registro de dispositivos se envía al dispositivo durante la inscripción. Por defecto.  Dispositivos móviles: Los dispositivos móviles se conectan inicialmente desde la red externa para su inscripción y después para registrarse y recibir la política de implementación. Una implementación de gestor de seguridad móvil requiere conectividad entre los siguientes componentes:  Actualizaciones de Palo Alto: El gestor de seguridad móvil recupera actualizaciones de firmas de WildFire que le permiten detectar malware en dispositivos gestionados de Android. La siguiente ilustración muestra la topología de implementación recomendada para el gestor de seguridad móvil: 62 Guía del administrador de GlobalProtect . si su red de gestión no proporciona acceso a Internet.Recomendaciones de implementación del gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Recomendaciones de implementación del gestor de seguridad móvil El gestor de seguridad móvil de GlobalProtect colabora con el resto de infraestructura de GlobalProtect para garantizar una solución de seguridad móvil completa. podrá modificar la ruta de servicios para el servicio de actualizaciones de Palo Alto para usar la interfaz ethernet1.

1 y el nombre de usuario y contraseña admin/admin. Haga clic en ACEPTAR. Espere unos minutos a que se complete la secuencia de inicio. haga clic en el icono Editar de la sección Configuración de interfaz de gestión de la pantalla. introduzca las Direcciones IP permitidas. Tenga en cuenta que tal vez deba cambiar la dirección IP de su ordenador a una dirección de la red 192. Guía del administrador de GlobalProtect Inicie sesión usando el nombre de usuario y contraseña predeterminados (admin/admin). Configuración del acceso de red al dispositivo GP-100 Paso 1 Monte en rack el dispositivo GP-100. El dispositivo comenzará a inicializarse. seleccione HTTPS. debe cambiar estos ajustes antes de continuar con otras tareas de configuración del gestor de seguridad móvil. 3. cuando el dispositivo esté listo aparecerá el mensaje de inicio de sesión.1. (Opcional) Para restringir el acceso del gestor de seguridad móvil a direcciones IP específicas.168.0/24. a continuación.168. Máscara de red y Puerta de enlace predeterminada para activar el acceso a la red en la interfaz de gestión. Paso 2 Obtenga la configuración de red necesaria • Dirección IP para el puerto MGT para la interfaz de gestión. Paso 5 Defina los ajustes y servicios de red para 1. para acceder a esta URL. Esta configuración inicial puede realizarse con una conexión física directa con el dispositivo (conexión serie al puerto de consola o conexión RJ-45 a la interfaz de gestión). 5. Introduzca la Dirección IP. • Conecte un cable Ethernet RJ-45 a su ordenador y al puerto de gestión del dispositivo.168. Conéctese al dispositivo de uno de estos modos: • Conecte un cable serie desde su ordenador al puerto de la consola y conecte con el dispositivo usando el software de emulación de terminal (9600-8-N-1). Asegúrese de que Velocidad se define como negociación automática. • Máscara de red • Puerta de enlace predeterminada • Dirección de servidor DNS Paso 3 Conecte su ordenador al dispositivo GP-100. el puerto de gestión (MGT) del dispositivo GP-100 (también llamado el gestor de seguridad móvil) tiene la dirección IP 192.2. 4. inicie sesión en el dispositivo.1.168. Como mínimo. 63 . Use un navegador para ir a https://192. permitirlos en la interfaz de gestión. Seleccione los servicios de gestión que permitirá en la interfaz. Paso 4 Cuando se le indique.1.1. Por motivos de seguridad. Seleccione Configuración > Ajustes y. Consulte la Guía de referencia de hardware del dispositivo GP-100 para obtener instrucciones. como 192.Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso de gestión al gestor de seguridad móvil Configuración del acceso de gestión al gestor de seguridad móvil Por defecto. SSH y Ping. 2.1. Durante la configuración inicial asignará los ajustes de red que le permiten conectar con la interfaz web del dispositivo para las tareas de configuración siguientes.

Asegúrese de que el puerto de conmutación que conecta al dispositivo mediante un cable está configurado para negociación automática. 64 1. añadir cuentas administrativas adicionales. de manera opcional. si no está pensando en usar NTP.Configuración del acceso de gestión al gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso de red al dispositivo GP-100 (Continuación) Paso 6 Paso 7 Paso 8 Nota Paso 9 Nota (Opcional) Configure los ajustes generales del dispositivo. Para obtener instrucciones sobre cómo 3. no se usará para unirse al dominio. 4. Guía del administrador de GlobalProtect . Seleccione Configuración > Ajustes > Gestión y haga clic en el icono Editar de la sección Configuración general de la pantalla. 1. Seleccione Dispositivo > Administradores. 2. de su Servidor DNS secundario. Introduzca cualquier texto de carácter informativo que desee que aparezca a los administradores al iniciar sesión en el campo Titular de inicio de sesión. El dispositivo puede tardar hasta 90 segundos en guardar sus cambios.pool. Al guardar los cambios de configuración. defina el acceso a un servidor NTP. 4. Configure DNS y. Haga clic en ACEPTAR para guardar la configuración. Introduzca la dirección IP de su Servidor DNS principal y. Haga clic en ACEPTAR. su servidor NTP secundario. Introduzca un nombre de host para el dispositivo y el nombre de dominio de su red. si lo desea. Paso 10 Conecte el cortafuegos a su red. introduzca el nombre de host ntp. 3. Conecte el puerto de gestión a un puerto de conmutador en su red de gestión usando un cable Ethernet RJ-45. Seleccione Configuración > Ajustes > Servicios y haga clic en el icono Editar de la sección Servicios de la pantalla. perderá la conexión con la interfaz web. 3. de manera opcional. Seleccione la Zona horaria y. El nombre de dominio tan solo es una etiqueta. Establezca una contraseña segura para la 1. Para usar el clúster virtual de servidores horarios de Internet. consulte Configuración del 4. 1. 2. Haga clic en ACEPTAR. Introduzca la contraseña predeterminada actual y la nueva contraseña. 5. Haga clic en Compilar. cuenta de administrador. 2. 2. Compile los cambios.org como servidor NTP principal o añada la dirección IP de su servidor NTP principal y. Desconecte el dispositivo de su ordenador. ya que la dirección IP habrá cambiado. introduzca la Fecha y Hora. acceso administrativo en el gestor de seguridad móvil. Seleccione la función admin.

Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso de gestión al gestor de seguridad móvil Configuración del acceso de red al dispositivo GP-100 (Continuación) Paso 11 Abra una sesión de gestión SSH en el dispositivo GP-100. Introduzca la dirección IP que ha asignado al puerto de gestión del cliente SSH.252 : icmp_seq=1 ttl=243 tiempo=40. Asegúrese de que tiene conexión a la puerta de enlace predeterminada. Nota Si activa una comprobación de dispositivos en la interfaz de gestión. como PuTTY.252) con 56(84) bytes de datos. aparece el mensaje de la CLI en modo operativo. 2. Utilice el puerto 22. 3.6 ms 64 bytes desde 67. Abra una ventana del navegador y desplácese a la siguiente URL: https://<Direccion_IP> donde <Direción_IP> es la dirección que acaba de asignar a la interfaz de gestión.com Haciendo ping a updates. 1. servidor DNS y el servidor de actualización de Palo Alto Networks como se muestra en el siguiente ejemplo: admin@GP-100> ping al host updates.236.192. 64 bytes desde 67. como el servidor de actualizaciones de Palo Alto Networks: Compruebe que tiene acceso al y desde el dispositivo mediante la utilidad de ping de la CLI. pulse Ctrl+C para detener los pings. de seguridad móvil.com (67. Introduzca las credenciales de acceso administrativo cuando se le soliciten. deberá incluir el número de puerto 4443 en la URL para poder acceder a la interfaz web como sigue: https://<Direccion_IP>:4433 2. Por ejemplo: admin@GP-100> Paso 12 Verifique el acceso a la red para los servicios externos requeridos para la gestión del cortafuegos. Después de iniciar la sesión correctamente.252 : icmp_seq=1 ttl=243 tiempo=79.236.192.5 ms 64 bytes desde 67. Use un software de emulación de terminal.5 ms Nota Paso 13 Inicie sesión en la interfaz web del gestor 1. Nota Para obtener instrucciones sobre cómo añadir cuentas administrativas adicionales.192. consulte Configuración del acceso administrativo en el gestor de seguridad móvil.236. para iniciar una sesión SSH en el cortafuegos usando la nueva dirección IP que le ha asignado. Guía del administrador de GlobalProtect Inicie sesión con la nueva contraseña que ha asignado a la cuenta de administración.252 : icmp_seq=1 ttl=243 tiempo=53.paloaltonetworks. Cuando haya comprobado la conectividad.192. 65 .paloaltonetworks.236.

portapapeles. licencia y actualización:  Registro del dispositivo GP-100  Activación/recuperación de licencias  Instalación de las actualizaciones de contenido y software de Panorama Registro del dispositivo GP-100 Para gestionar todos los activos adquiridos en Palo Alto Networks. • Si ya dispone de una cuenta de asistencia técnica. 66 Guía del administrador de GlobalProtect .paloaltonetworks. su ciudad y su código postal. Para registrarse. haga clic en Registrar en el lado derecho de de registro dependerá de que tenga o no un inicio de sesión en el sitio de asistencia la página. deberá adquirir una licencia de asistencia para activar el gestor de seguridad móvil para recuperar las actualizaciones de software y las actualizaciones de contenido dinámico. Cuando se le solicite. Registro del dispositivo GP-100 Paso 1 Inicie sesión en la interfaz web del gestor Use una conexión segura (https) de un navegador web. y haga clic en Registrar dispositivo. El proceso • Si es el primer dispositivo de Palo Alto Networks que registra y aún no tiene un inicio de sesión. con la dirección IP y contraseña asignadas durante la configuración inicial (https://<Dirección IP> o https://<Dirección IP>:4443 si la comprobación de dispositivos está activada en la interfaz). licencia y actualización del gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Registro. Además.Registro. Paso 3 Vaya al sitio de asistencia de Palo Alto Networks. Paso 2 Busque el número de serie y cópielo en el El número de serie del dispositivo GP-100 aparece en el Panel. deberá registrar el dispositivo GP-100 y recuperar las licencias. establezca un nombre de usuario y una contraseña para acceder a la comunidad de asistencia técnica de Palo Alto Networks. en una nueva pestaña o ventana del navegador vaya a https://support. debe proporcionar su dirección de correo técnica. debe crear una cuenta y registrar los números de serie con la cuenta como se indica a continuación. licencia y actualización del gestor de seguridad móvil Antes de poder empezar a usar el gestor de seguridad móvil para gestionar los dispositivos móviles. Sin embargo. Registre el dispositivo GP-100. electrónico y el número de serie del gestor de seguridad móvil (que puede pegar desde el portapapeles).com. inicie sesión y haga clic en Mis dispositivos. Si planea gestionar más de 500 dispositivos móviles deberá adquirir una licencia única e indefinida del gestor de seguridad móvil de GlobalProtect según el número de dispositivos móviles que hay que gestionar. encuentre el Número de serie en la sección Información general de la pantalla. el dispositivo incluye 90 días de asistencia gratuita. cuando ese periodo de 90 días acabe. e introduzca el número de serie del gestor de seguridad móvil (que puede pegar desde el portapapeles). Nota Paso 4 Si su dispositivo no tiene conexión a Internet desde la interfaz de gestión. Las siguientes secciones describen los procesos de registro. inicie sesión de seguridad móvil. Seleccione Configuración > Asistencia técnica > Vínculos y haga clic en el vínculo hacia Página de inicio de asistencia. Desplácese hasta la sección Registrar dispositivo. en la parte inferior de la pantalla.

póngase en contacto con atención al cliente para recibir sus códigos antes de continuar. Puede adquirir una suscripción a WildFire para el gestor de seguridad móvil para habilitar las actualizaciones dinámicas que contienen firmas de malware creadas como resultado del análisis realizado por la nube de WildFire. si tiene una licencia perenne del gestor de seguridad móvil para 10 000 dispositivos y desea activar la asistencia para detectar el malware más reciente. 2000. póngase en contacto con su ingeniero de sistemas de Palo Alto Networks o distribuidor. deberá adquirir una suscripción a WildFire para 10 000 dispositivos. Si mantiene al día las actualizaciones de malware. Por ejemplo. desplácese hasta Configuración > Licencias para realizar las siguientes tareas dependiendo de cómo recibe las licencias:  Recuperar claves de licencia del servidor de licencias: Utilice esta opción si la licencia se ha activado en el portal de asistencia técnica. 5000. Después de obtener una licencia. necesitará una licencia del gestor de seguridad móvil GlobalProtect. Para adquirir licencias. Si no encuentra este correo electrónico.  Activar característica mediante código de autorización: Utilice el código de autorización para activar una licencia que no se ha activado anteriormente en el portal de asistencia técnica. licencia y actualización del gestor de seguridad móvil Activación/recuperación de licencias El gestor de seguridad móvil necesita una licencia de asistencia válida que le permita recuperar las actualizaciones de software y las actualizaciones de contenido dinámico. podrá evitar que los dispositivos Android gestionados que contienen aplicaciones infectadas con malware se conecten a sus recursos de red. sin embargo. 67 . debe adquirir una licencia de asistencia para seguir recibiendo actualizaciones tras este periodo introductorio. Activación de las licencias Paso 1 Encuentre los códigos de activación del producto/suscripción que ha adquirido. Esta licencia única y perenne permite gestionar hasta 1000. 10 000. 50 000 o 100 000 dispositivos móviles. En este caso. El dispositivo incluye 90 días de asistencia gratuita. 25 000.  Carga manual de la clave de licencia: Utilice esta opción si la interfaz de gestión del GP-100 no tiene conectividad con el servidor de actualización de Palo Alto Networks. Guía del administrador de GlobalProtect Encuentre el correo electrónico de la asistencia al cliente de Palo Alto Networks que muestra el código de autorización asociado con la licencia que ha adquirido. Si planea gestionar más de 500 dispositivos móviles.Configuración del gestor de seguridad móvil de GlobalProtect Registro. en primer lugar debe descargar un archivo de clave de licencia del sitio de asistencia técnica a través de un ordenador conectado a Internet y después cargarlo en el dispositivo. Debe adquirir una suscripción a WildFire que admita el mismo número de dispositivos que admite su licencia del gestor de seguridad móvil.

Guía del administrador de GlobalProtect . inicie sesión con la dirección IP y contraseña asignadas durante la configuración inicial (https://<Dirección IP> o https://<Dirección IP>:4443 si la comprobación de dispositivos está activada en la interfaz). Seleccione Configuración > Asistencia técnica y seleccione Recuperar claves de licencia del servidor de licencias. podrá evitar que los dispositivos Android gestionados que contienen aplicaciones infectadas con malware se conecten con sus recursos de red. Compruebe que la suscripción se haya activado correctamente. 6. seleccione Configuración > Asistencia técnica. (No es necesario si ha completado el Utilice la opción Recuperar claves de licencia del servidor de paso 2) Recupere las claves de licencia del licencias si ha activado las claves de licencia en el portal de asistencia servidor de licencias. Si el puerto de gestión del gestor de seguridad móvil no tiene acceso a Internet. a continuación. Cuando se le solicite. Nota 1. Compruebe que la licencia se ha activado correctamente y que indica asistencia técnica para el número correcto de dispositivos. técnica. Si el gestor de seguridad móvil va a gestionar más de 500 dispositivos móviles. Para activar su suscripción de asistencia (obligatoria tras 90 días). Si mantiene al día las actualizaciones de APK. Antes de actualizar el software. Instalación de las actualizaciones de contenido y software de Panorama Use el siguiente procedimiento para descargar las actualizaciones de malware de Android Package (APK) más recientes o actualizar el software del gestor de seguridad móvil. licencia y actualización del gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Activación de las licencias (Continuación) Paso 2 Active las licencias. descargue manualmente los archivos de licencia desde el sitio de asistencia técnica y cárguelos en el gestor 4. 2. 3. Introduzca el Código de autorización y. Seleccione Activar característica mediante código de autorización. seleccione Activar característica mediante código de autorización. de seguridad móvil usando la opción Clave de licencia de carga manual. Recepción de las actualizaciones de software y contenido Paso 1 Inicie la interfaz web del gestor de seguridad móvil y vaya a la página de actualizaciones dinámicas. 68 Use una conexión segura (https) de un navegador web. instale las últimas actualizaciones de contenido 2. necesitará una licencia perenne del gestor de seguridad móvil GlobalProtect. admitidas en esta versión. introduzca Código de autorización para usar el gestor de seguridad móvil y haga clic en ACEPTAR. Seleccione Configuración > Actualizaciones dinámicas. Paso 3 En la pestaña Configuración > Licencias. 5. haga clic en ACEPTAR. 1.Registro.

Haga clic en el enlace Instalar de la columna Acción. incluido el nuevo malware que detecte WildFire.Configuración del gestor de seguridad móvil de GlobalProtect Registro. Encuentre la versión a la que desea actualizar y haga clic en Descargar. Reinicie el dispositivo: • Si se le pide que reinicie. 2. Cuando se complete la instalación. 2. • Si no se le pide que reinicie. Paso 3 Compruebe las actualizaciones de software. Después podrá cargarla manualmente en el gestor de seguridad móvil. Paso 5 Instale la actualización. Haga clic en Comprobar ahora para comprobar las actualizaciones más recientes. 1. haga clic en Sí. Cuando se complete la descarga. descargue e instale la última actualización de contenido del gestor de seguridad móvil. Las actualizaciones de contenido del gestor de seguridad móvil incluyen todas 3. seleccione Configuración > Ajustes > Operaciones y haga clic en Reiniciar dispositivo en la sección Operaciones de dispositivo de la pantalla. puede descargar la actualización de software desde el sitio de asistencia técnica de Palo Alto Networks. Seleccione Configuración > Software. Haga clic en Descargar para obtener la versión deseada. Guía del administrador de GlobalProtect 69 . aparecerá una marca de verificación en la columna Instalado actualmente. Si el valor de la columna Acción es Descargar significa que hay una actualización disponible. las firmas de malware del paquete de aplicaciones Android (APK). Si el valor de la columna Acción es Descargar significa que hay una actualización disponible. Nota Si el gestor de seguridad móvil no tiene acceso a Internet desde el puerto de gestión. 1. 1. Haga clic en Instalar. Haga clic en Comprobar ahora para comprobar las actualizaciones más recientes. el valor en la columna Acción cambia a Instalar. licencia y actualización del gestor de seguridad móvil Recepción de las actualizaciones de software y contenido (Continuación) Paso 2 Busque. Paso 4 Descargar la actualización. 2.

debe configurar el gestor de seguridad móvil para enviar notificaciones de envío mediante APNs/GCM. Máscara de red y Puerta de enlace predeterminada.Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para la gestión de dispositivos Antes de poder empezar a usar el gestor de seguridad móvil para gestionar los dispositivos móviles. Conecte el puerto ethernet1 (con la etiqueta 1 en el panel frontal del dispositivo) a su red con un cable de Ethernet RJ-45. El siguiente procedimiento detalla cómo configurar esta configuración recomendada: Configuración del gestor de seguridad móvil para el registro de dispositivos 1. para configurar el gestor de seguridad móvil para el registro de dispositivos debe configurar la interfaz ethernet1 y activarla para el registro de dispositivos. si configura una interfaz distinta podrá separar el tráfico de gestión del de datos. haga clic en ACEPTAR. deberá configurar la infraestructura de gestión de dispositivos. Así. Puede que desee seleccionar también Ping para contribuir a la conectividad de prueba. llamados notificaciones push. usando la interfaz de gestión para el registro de dispositivos. Para enviar esos mensajes. Como mínimo.  Configuración del gestor de seguridad móvil para el registro de dispositivos  Configuración del gestor de seguridad móvil para la inscripción Configuración del gestor de seguridad móvil para el registro de dispositivos Cada hora (de forma predeterminada). (Opcional) Añada un registro “A” DNS a su servidor DNS para asociar la dirección IP de esta interfaz con un nombre de host. Asegúrese de que el puerto de conmutación al que conecta la interfaz está configurado para la negociación automática. Además. 4. 5. 6. Para enviar notificaciones push a dispositivos iOS. para registrar dispositivos. Esto incluye la configuración de una interfaz para el registro de dispositivos. 70 Seleccione Configuración > Red > ethernet1 para abrir el cuadro de diálogo de ajuste Interfaz de red. Defina los ajustes de acceso a la red de la interfaz. incluidas la Dirección IP. para los dispositivos Android debe usar el servicio de Mensajería de Google Cloud (GCM). el gestor de seguridad móvil debe usar el servicio de notificación Push de Apple (APNs). la obtención de certificados necesarios para que el gestor de seguridad móvil envíe las notificaciones push a otros dispositivos mediante OTA (Over the Air) y la definición de cómo autenticar usuarios/dispositivos antes de la suscripción y cómo emitir certificados a identidad a cada dispositivo. Guía del administrador de GlobalProtect . Para guardar la configuración de la interfaz. Si está 3. Paso 1 Configure la interfaz de registro de dispositivos. el gestor de seguridad móvil debe conectarse con los dispositivos mediante OTA (over-the-air). omita el Paso 4. el gestor de seguridad móvil envía un mensaje de notificación a los dispositivos que gestiona solicitando que se registren. seleccione Registro de dispositivos móviles. Lo mejor es configurar la interfaz ethernet1 en el gestor de seguridad móvil como interfaz de orientación externa para acceder a la puerta de enlace y el dispositivo móvil. Nota Aunque puede usar la interfaz de gestión 2. Habilite los servicios que desea permitir en esta interfaz seleccionando las casillas de verificación que correspondan.

el gestor de seguridad móvil está a la espera en el puerto 443 tanto para 2. Haga clic en ACEPTAR para guardar la configuración. Sin embargo. Haga clic en el botón de opción Seleccionar. registro del dispositivo. deberá cambiar todas las rutas de servicio a esta interfaz.Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil para el registro de dispositivos (Continuación) Paso 2 (Opcional) Modifique la configuración de 1. Haga clic en la columna Interfaz que corresponde con el servicio cuya ruta de servicio desee cambiar y seleccione la interfaz ethernet1. configure los enrutadores de servicio para permitir el acceso desde la interfaz de registro de dispositivos a los recursos externos necesarios. Seleccione el Puerto de registro en el que el gestor de seguridad móvil escuchará las solicitudes de registro de dispositivos. Repita estos pasos en cada servicio que desee modificar. Para configurar la interfaz ethernet1 para el registro de dispositivos deberá cambiar la ruta del servicio de Notificaciones push. a continuación. mientras que el de inscripción no. haga clic en el icono Editar de la sección Configuración de registro de dispositivos. este puerto se configura como 443. El proceso de registro de dispositivos requiere un certificado 3. el gestor de seguridad móvil enviará notificaciones push a los dispositivos que gestiona cada 60 minutos para solicitar el registro. Si no tiene acceso a Internet desde la interfaz de gestión. Por defecto. Por defecto. introduzca un nuevo Intervalo de notificación de registro del dispositivo (rango: 30 minutos a 1440 minutos). Para cambiar este intervalo. 5. Paso 3 (Opcional) Si el puerto de gestión del gestor de seguridad móvil no tiene acceso a Internet. el dispositivo móvil mostrará por error mensajes emergentes de certificados 4. las solicitudes de inscripción como para las de registro. Si ambos servicios se ejecutan en el mismo puerto. De forma predeterminada. 3. cliente para establecer la sesión SSL. 2. debe cambiar el puerto de registro de dispositivos de 7443 a 8443 y la inscripción para evitar que se pida a los usuarios un certificado de cliente cuando se inscriban. Se recomienda configurar el puerto de inscripción a 443 y usar un número de puerto distinto para el registro de dispositivos. Haga clic en ACEPTAR para guardar la configuración. 1. durante el proceso de inscripción. como el servicio de notificaciones push de Apple (APNs) y el servicio de Mensajería de Google Cloud (GCM) para el envío de notificaciones push. 71 . 4. Seleccione Configuración > Ajustes > Servicios > Configuración de ruta de servicios. lo que puede confundir a los usuarios finales. Guía del administrador de GlobalProtect Seleccione Configuración > Ajustes > Servidor y.

Seleccione la casilla de verificación Importar clave privada. Seleccione el certificado que acaba de importar desde la lista desplegable Certificado de servidor MDM. Introduzca la ruta y el nombre en el archivo PKCS#12 en el campo Archivo de clave o seleccione Examinar para encontrarla. registro de dispositivos del gestor de 6. si es siguientes pasos en el gestor de seguridad móvil: aplicable. deberá añadir el certificado de CA raíz a la configuración del gestor de seguridad móvil y la configuración correspondiente de clientes del portal para que el portal pueda implementar el certificado en los dispositivos tal y como se describe en Definición de las configuraciones de clientes.Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para el registro de dispositivos (Continuación) Paso 4 Importe un certificado de servidor para la Para importar un certificado y una clave privada. Para configurar el gestor de seguridad móvil para usar este certificado para el registro de dispositivos: a. se recomienda usar un 7. 4. Aunque puede generar un certificado de servidor autofirmado para la interfaz de 5. Seleccione Configuración > Gestión de certificados > asunto (SAN) del certificado del gestor de Certificados > Certificados de dispositivos. Vuelva a introducir la Frase de contraseña que se usó para cifrar la clave privada y después haga clic en ACEPTAR para importar el certificado y la clave. (Opcional) Si el certificado no lo emitió una CA conocida. descargue el certificado y el archivo de clave de la CA y asegúrese de que son interfaz de registro de dispositivos del accesibles desde el sistema de gestión y que tiene la frase de gestor de seguridad móvil. de la interfaz de registro de dispositivos (se admiten certificados de comodín). Haga clic en ACEPTAR para guardar la configuración. certificado de una CA pública como VeriSign o Go Daddy para garantizar que los dispositivos finales puedan conectarse para inscribirse. a continuación. b. en el que confíen los dispositivos. Haga clic en Importar e introduzca un nombre de certificado. Seleccione Configuración > Ajustes > Servidor y. nombre de dominio completo (FQDN) 3. seleccione el certificado de CA raíz del remitente en el cuadro desplegable Autoridad de certificado u opte por Importar ahora. contraseña para descifrar la clave privada. d. de nombre alternativo del 1. haga clic en el icono Editar de la sección Configuración de servidor SSL. Seleccione Clave privada cifrada y certificado (PKCS12) como Formato de archivo. Después complete los El campo de nombre común (CN) y. seguridad móvil (Configuración > Gestión de certificados > Certificados > Generar). c. seguridad móvil deben coincidir exactamente con la dirección IP o con el 2. Si no usa un certificado 8. Introduzca la ruta y el nombre en el Archivo de certificado que recibió de la CA o seleccione Examinar para buscar el archivo. 72 Guía del administrador de GlobalProtect .

El certificado de APNs es necesario para que el gestor de seguridad móvil pueda enviar notificaciones push a los dispositivos iOS que gestiona. 14. 10. Cree un ID de Apple compartido para su organización para asegurarse de que tenga siempre acceso a sus certificados. Abra una nueva ventana de navegador y desplácese al portal de certificados push de Apple en la siguiente URL: https://identity. Para obtener el certificado debe crear una solicitud de firma de certificado (CSR) en el gestor de seguridad móvil. 4. En el campo Archivo de certificado. Cuando el certificado se haya generado con éxito aparecerá una confirmación. 7.pem) que descargó de Apple o seleccione Examinar para buscar el archivo. seleccione sha1 y haga clic en Generar. El gestor de seguridad móvil enviará automáticamente la CSR al servidor de firma de Palo Alto Networks. La entrada de la CSR en la lista de certificados cambia a un certificado con la Autoridad de certificación de integración de la aplicación Apple del remitente y el Estado válido. seleccione Configuración > Gestión de certificados > Certificados y haga clic en Generar. Seleccione Certificado codificado en Base64 (PEM) como Formato de archivo y. seleccione Autoridad externa (CSR). Recomendación: Para crear la CSR. 2. 5. seleccione Firmar CSR para el Servicio de notificaciones Push de Apple en la lista desplegable Formato de archivo y haga clic en ACEPTAR. 12. Seleccione la CSR en la lista de certificados y haga clic en Exportar. a continuación. 8.csr) firmada que deberá guardar en su disco local. En el cuadro de diálogo Exportar CSR. seleccione Configuración > Gestión de certificados > Certificados > Certificados de dispositivo y haga clic en Importar. notificaciones push de Apple (APNs). Introduzca un nombre de certificado y un nombre común que identifique su organización. seleccione 2048.com/pushcert 9.apple. En el campo Nombre de certificado. Haga clic en Seleccionar archivo para buscar la ubicación de la CSR que ha generado y después haga clic en Cargar. En el gestor de seguridad móvil. haga clic en ACEPTAR. Inicie sesión con su ID de Apple y contraseña y haga clic en Crear un certificado. enviarla al servidor de firmas de Palo Alto Networks para que lo firme y enviarla a Apple. 13. introduzca el mismo nombre que usó al crear la CSR. lo que devolverá una CSR (. En el campo Número de bits.Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil para el registro de dispositivos (Continuación) Paso 5 Obtenga un certificado para el servicio de 1. 11. 3. Si este es su primer inicio de sesión. Haga clic en Descargar para guardar el certificado en su equipo local. En el campo Firmado por. Guía del administrador de GlobalProtect 73 . 6. escriba la ruta y el nombre al certificado (. En Resumen. 15. debe Aceptar las Condiciones de uso antes de crear un certificado.

En el cuadro de texto Aceptar solicitudes desde estas direcciones IP de servidor. Necesitará esta clave para configurar las notificaciones push del gestor de seguridad móvil. 8. Necesitará este ID para configurar las notificaciones push del gestor de seguridad móvil.com/console 2. En la sección Acceso a la API pública de la página. 7. 10. 74 Guía del administrador de GlobalProtect . introduzca la dirección IP de la interfaz de registro del dispositivo del gestor de seguridad móvil y después haga clic en Crear. El ID de remitente también se muestra como el Número de proyecto.google. La clave GCM e ID de remitente son obligatorios para que el gestor de seguridad móvil pueda enviar notificaciones push a los dispositivos Android que gestiona.Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para el registro de dispositivos (Continuación) Paso 6 Obtenga una clave e ID de remitente del 1. 3. 9. Haga clic en CREAR PROYECTO. Abra una nueva ventana de navegador y desplácese a la consola API de Google en la siguiente URL: https://cloud. Seleccione Credenciales en el menú de API y autenticación de la izquierda. Esta es la clave que identifica su aplicación de gestor de seguridad móvil. debe Aceptar las Condiciones de uso antes de crear el proyecto. haga clic en Clave de servidor. En la página de las API. Si este es su primer proyecto. haga clic en CREAR NUEVA CLAVE. Seleccione APIs y autorización en el menú desplegable de la parte izquierda de la página. La nueva clave de API se mostrará. Aparecerá la página Nuevo proyecto. Introduzca un Nombre de proyecto y un ID de proyecto y haga clic en Crear. servicio de Mensajería de Google Cloud (GCM). 4. Para obtener su ID de remitente. desplácese hasta Mensajería de Google Cloud para Android y cambie el ajuste a Activado. 5. seleccione Descripción general en el menú de la izquierda de la pantalla. 6. En el cuadro de diálogo Crear nueva clave.

el usuario del mismo debe autenticarse en el gestor de seguridad móvil para que pueda determinar la identidad del usuario y garantizar que forma parte de la organización. genere un certificado de CA autofirmado que podrá usar para la firma. Para habilitar las notificaciones push de GCM. seleccione la casilla de verificación Mensajería de Google Cloud y después escriba la Clave de API GCM para Android y el ID del remitente GCM para Android que consiguió en el Paso 6 4. seleccione el Certificado de APNs iOS que generó en el Paso 5. este debe estar inscrito en el servicio.  Generación de certificados de identidad: Cuando haya autenticado con éxito al usuario final. Siga el procedimiento que se indica a continuación para configurar la infraestructura de inscripción en el gestor de seguridad móvil: Guía del administrador de GlobalProtect 75 . el gestor de seguridad móvil usará el certificado de identidad para autenticar el dispositivo móvil cuando se registre. Si desea información detallada sobre estos métodos consulte Acerca de la autenticación de usuarios de GlobalProtect. Seleccione Configuración > Ajustes > Servidor y. puede el gestor de seguridad móvil para usar el servidor SCEP para que emita certificados para los dispositivos iOS. si tiene un servidor de protocolo de inscripción de certificados simple (SCEP) de empresa como el servidor Microsoft SCEP. autenticación externa en un servicio LDAP. Guarde la configuración. Kerberos o RADIUS externo (incluida la asistencia de una autenticación OTP de dos factores). 3. Para habilitar las notificaciones push para los dispositivos iOS. Haga clic en Compilar. en el gestor de seguridad móvil. a continuación. Configuración del gestor de seguridad móvil para la inscripción Para que el gestor de seguridad móvil pueda gestionar un dispositivo móvil. Haga clic en ACEPTAR para guardar la configuración. el gestor de seguridad móvil emitirá un certificado de identidad para el dispositivo. Además. Para permitir que el gestor de seguridad móvil emita certificados de identidad. El gestor de seguridad móvil admite los mismos métodos de autenticación que se admiten en los otros componentes de GlobalProtect: autenticación local. haga clic en el icono Editar de la sección Configuración de notificaciones push. La inscripción se compone de dos fases:  Autenticación: Para poder inscribir un dispositivo móvil. Tras la inscripción.Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil para el registro de dispositivos (Continuación) Paso 7 Paso 8 Configure los ajustes de notificación push 1. 2.

Por ejemplo. • Si tiene la intención de utilizar una autenticación de base de datos local. del dispositivo. Seleccione el Perfil de autenticación en la lista desplegable. Configure el gestor de seguridad móvil para conectarse al servicio de autenticación que tiene intención de utilizar para que pueda acceder a las credenciales de autenticación. Seleccione Configuración > Perfil de autenticación y añada un nuevo perfil. puede usar las credenciales guardadas (el nombre de usuario siempre se guardan en el servidor) para que configure automáticamente el perfil de correo electrónico que se envía al dispositivo. (Opcional) Si desea que el gestor de seguridad móvil guarde la contraseña que introduce el usuario del dispositivo móvil durante la autenticación. deberá crear un perfil de servidor que indique al gestor de seguridad móvil cómo conectarse al servidor y acceder a las credenciales de autenticación de sus usuarios. como el correo electrónico o la red Wi-Fi. 3. a continuación. Se recomienda usar el mismo servicio de autenticación que se usa para autenticar a los usuarios finales para acceder a los recursos de la empresa. de modo que el usuario final no tenga que definirlas manualmente.Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para la inscripción Paso 1 1. Cree un perfil de autenticación que haga referencia al perfil de servidor o base de datos de usuario local que acaba de crear. el gestor de seguridad móvil podrá configurar automáticamente las credenciales de usuario en los ajustes de configuración que envía al dispositivo. Paso 2 76 Configure el gestor de seguridad móvil 1. automáticamente configuraciones que incluyan las credenciales necesarias para acceder a los recursos de la empresa. Esto permite al gestor de seguridad móvil capturar las credenciales para usarlas en los perfiles de configuración que implementa en los servicios. Cree un perfil de autenticación para autenticar los usuarios de dispositivos de autenticación cuando se conecten al gestor de seguridad móvil para la inscripción. primero deberá crear la base de datos local. Kerberos o RADIUS. El nombre del perfil de autenticación no puede contener espacios. Seleccione Configuración > Ajustes > Servidor y. Si opta por guardar la contraseña. Por ejemplo. Seleccione Configuración > Perfiles de servidor y añada un nuevo perfil para el servicio específico al que accederá. para usar este perfil de autenticación para la inscripción de de dispositivos. Seleccione Configuración > Base de datos de usuario > Usuarios locales y añada los usuarios que deben autenticarse. como el correo electrónico y el Wi-Fi. 2. haga clic en el icono Editar de la sección Configuración de autenticación. asegúrese de que la casilla Guardar contraseña de usuario en servidor esté seleccionada. el gestor de seguridad móvil puede implementar 2. Guía del administrador de GlobalProtect . • Si tiene la intención de autenticar mediante LDAP.

genere un certificado de CA raíz autenticados. para emitir certificados de entidad para El nombre de certificado no puede puede contener espacios. Seleccione la casilla de verificación SCEP para activarlo. No seleccione ningún valor en el campo Firmado por (esto es Configure el gestor de seguridad móvil para emitir certificados de identidad. si no usa SCEP. a continuación. asegúrese de que los dispositivos iOS que se inscribirán tienen los certificados raíz de CA adecuados para establecer una conexión con su servidor SCEP. a continuación. Configure el gestor de seguridad móvil para acceder al servidor SCEP y definir las propiedades de certificado que se deben usar al emitir certificados de identidad como se describen en Definición de una configuración SCEP. El gestor de seguridad móvil usará automáticamente este certificado de forma para emitir certificados de identidad a los dispositivos durante la inscripción. lo que indica que está autofirmado). Si está usando una CA de Aunque el gestor de seguridad móvil puede emitir certificados de identidad a empresa. Introduzca un nombre de certificado. haga clic en siguiente paso. 4. Si planea usar el SCEP para emitir certificados de identidad. puede optar por aprovechar autofirmado: un servidor SCEP existente para emitir 1.Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil para la inscripción (Continuación) Paso 3 Nota Defina qué certificado raíz de CA debe usar el gestor de seguridad móvil para emitir certificados de identidad a los dispositivos Android y. Habilite SCEP en el gestor de seguridad móvil: La ventaja del SCEP es que la clave privada nunca sale del dispositivo móvil. Seleccione la configuración de SCEP que creó en la lista desplegable Inscripción. d. (Opcional) Si desea que el gestor de seguridad móvil verifique el certificado cliente que el servidor SCEP emitió al dispositivo antes de completar el proceso de inscripción. Guía del administrador de GlobalProtect 77 . Seleccione la casilla de verificación Autoridad del certificado y. b. a. importe el certificado CA raíz y la clave privada asociada (Configuración > Gestión de certificados > Certificados > todos los dispositivos móviles Importar ). haga clic en Aceptar para generar el certificado. Para crear un certificado de CA raíz autofirmado. e. no pueden usar SCEP y por ello debe configure el gestor de seguridad móvil 2. c. como CA_movilidad. 3. 1. De lo contrario. todos los dispositivos Android. Haga clic en ACEPTAR para guardar la configuración. seleccione certificados de identidad para sus Dispositivo > Gestión de certificados > Certificados > dispositivos iOS como se describe en el Certificados de dispositivos y. Seleccione Configuración > Ajustes > Servidor y haga clic en el icono Editar en la sección Configuración de SCEP. Paso 4 Nota (Opcional) Configure el gestor de seguridad móvil para que se integre con un servidor SCEP de empresa existente para emitir certificados de identidad a dispositivos iOS. debe importar el certificado de CA raíz del servidor SCEP y crear un Perfil de certificado correspondiente. 2. a dispositivos iOS. Los dispositivos Android Generar.

modifique el valor de Vencimiento del certificado de identidad (por defecto 365 días. y se recomienda que lo deje con este valor y use un número de puerto distinto para el puerto de registro de dispositivos. de dispositivos móviles que se vuelvan a inscribir cuando caduca el certificado de 2. (Opcional) Introduzca un Mensaje de consentimiento que informa a los usuarios de que se están inscribiendo en su servicio de gestión de dispositivos. 5. 2. 3. Seleccione Configuración > Ajustes > Servidor y haga clic en el icono Editar en la sección Configuración de renovación de Por defecto. debe coincidir con el contenido del campo de nombre común del certificado del gestor de seguridad móvil asociado con la interfaz de registro del dispositivo). la variable {DAYS} se sustituye por el número real de días que quedan para que caduque el certificado. Paso 7 78 Guarde la configuración. Seleccione el certificado de CA que el gestor de seguridad móvil debe usar para emitir los certificados desde el menú desplegable Autoridad de certificación y. Haga clic en ACEPTAR para guardar los ajustes de renovación. Está definido por defecto en 443. Haga clic en ACEPTAR para guardar la configuración. 7. Seleccione la casilla de verificación Exigir reinscripción. Introduzca el identificador de organización y. identidad. Guía del administrador de GlobalProtect .Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para la inscripción (Continuación) Paso 5 Paso 6 Configure la configuración de inscripción.1. un nombre de organización que se mostrará en los perfiles de configuración que el gestor de seguridad móvil envía a los dispositivos. no se requiere a los usuarios inscripción. el gestor de seguridad móvil 3. Seleccione Configuración > Ajustes > Servidor y haga clic en el icono Editar en la sección Configuración de inscripción. que necesitan cancelar la inscripción y volver a activarla antes de que el certificado expire para poder continuar con el servicio de gestión de dispositivos del gestor de seguridad móvil. 1. Tenga en cuenta que este mensaje no se mostrará a dispositivos que ejecuten iOS 5. 4. (Opcional) Seleccione el Puerto de inscripción en el que el gestor de seguridad móvil escuchará las solicitudes de inscripción. si lo desea. Cuando se envía el mensaje al dispositivo. Para obligar a los usuarios de dispositivos móviles a que se vuelvan a (Opcional) Obligue a los usuarios del dispositivo a que se vuelvan a inscribir al inscribir cuando caduque el certificado: caducar el certificado de identidad. Introduzca el nombre de host de la interfaz de registro del dispositivo (FQDN o dirección IP. en un rango de 60 a 3650 días). Haga clic en Compilar. 6. (Opcional) Personalice el Mensaje de renovación que aparecerá volverá a emitir certificados de identidad y en los dispositivos móviles para alertar a los usuarios finales de volverá a inscribir los dispositivos. 4. 1. opcionalmente.

Compile los cambios. Este valor debe coincidir con el valor definido en el gestor de seguridad móvil. consulte Configuración del portal de GlobalProtect.Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil para la inscripción (Continuación) Paso 8 Realice los siguientes pasos en el cortafuegos que aloja su portal de Configure el portal GlobalProtect para redirigir los dispositivos móviles al gestor GlobalProtect: de seguridad móvil para su inscripción. Haga clic en Aceptar dos veces para guardar la configuración del portal. Seleccione Red > GlobalProtect > Portales y seleccione la configuración de portal que desea modificar. 1. Seleccione la pestaña Configuración clientes y seleccione la configuración de clientes para habilitar la gestión de seguridad móvil. 5. Si desea información más detallada. 4. (Opcional) Defina el Puerto de inscripción de GlobalProtect MDM en el que el gestor de seguridad móvil escuchará las solicitudes de inscripción. 3. escriba la dirección IP o FQDN de la interfaz de comprobación del dispositivo en el gestor de seguridad móvil GlobalProtect MDM. En la pestaña General. 79 . 6. Guía del administrador de GlobalProtect 2.

2. haga clic en ACEPTAR. seleccione Configuración > Red > ethernet1. Introduzca la ruta y el nombre en Archivo de certificado o seleccione Examinar para buscar el archivo. enlace para que se conecten con la interfaz haga clic en el icono Editar de la sección Configuración de de gestión o ethernet1. Guía del administrador de GlobalProtect . Seleccione móvil se debe usar para recuperar el HIP y habilitar el servicio de puerta de enlace en la la casilla de verificación Habilitar identificación de usuarios y. Vuelva a introducir la Frase de contraseña que se usó para cifrar la clave privada y después haga clic en ACEPTAR para importar el certificado y la clave. Para habilitar la puerta de enlace para que recupere los informes HIP del gestor de seguridad móvil deberá activar una interfaz de acceso a la puerta de enlace y después configurar las puertas de enlace para conectarlas como se indica a continuación: Habilitación del acceso de puerta de enlace al gestor de seguridad móvil Paso 1 Decida qué interfaz del gestor de seguridad • (Recomendado) Para usar la interfaz ethernet1 para acceder a la puerta de enlace. haga clic en sus puertas de enlace remotas tienen acceso ACEPTAR. continuación. Nota Paso 2 (Opcional) Importe un certificado de servidor de la interfaz de gestión del gestor de seguridad móvil para habilitar las puertas de enlace de GlobalProtect para que se conecten con esta interfaz. 5. El campo de nombre común (CN) y. de nombre alternativo del asunto (SAN) del certificado del gestor de seguridad móvil deben coincidir exactamente con la dirección IP o con el nombre de dominio completo (FQDN) de la interfaz (se admiten certificados de comodín). 6. a continuación. debe suministrar los ajustes de red (dirección IP. a interfaz. 4. 3. Cuando haya generado un certificado de servidor para el gestor de seguridad móvil. impórtelo como se indica: 1. • Para usar la interfaz de gestión para acceder a la puerta de enlace. Seleccione Configuración > Gestión de certificados Certificados > Certificados de dispositivos y haga clic en Importar. Seleccione la casilla de verificación la interfaz ethernet1 para asegurarse de que Puertas de enlace de GlobalProtect y. si es aplicable. 80 Si esta interfaz no se ha configurado aún. Consulte Implementación de certificados de servidores en los componentes de GlobalProtect si desea información detallada sobre el flujo de trabajo recomendado. Introduzca la ruta y nombre en el archivo PKCS#12 en el campo Archivo de clave o seleccione Examinar para encontrarla. puede configurar las puertas de enlace de GlobalProtect para recuperar los informes HIP para los dispositivos móviles gestionados por el gestor de seguridad móvil. a continuación. Aunque puede configurar las puertas de seleccione Configuración > Ajustes > Gestión y. máscara de red y puerta de enlace predeterminada) y conectar físicamente el puerto Ethernet a su red. Seleccione Clave privada cifrada y certificado (PKCS12) como Formato de archivo. al dispositivo. Este certificado solo es necesario si las puertas de enlace van a conectarse con la interfaz de gestión en lugar de con la de ethernet1 para recuperar el HIP. Se recomienda usar el mismo certificado de CA que se usa para emitir certificados autofirmados a los demás componentes de GlobalProtect. Consulte Configuración del gestor de seguridad móvil para el registro de dispositivos para obtener información detallada.Configuración del acceso de puerta de enlace al gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso de puerta de enlace al gestor de seguridad móvil Si está usando la aplicación de políticas HIP en sus cortafuegos. se recomienda usar interfaz de gestión de la pantalla. Introduzca un nombre de certificado.

haga clic en Añadir e introduzca un Nombre para identificar de forma exclusiva el perfil. Seleccione la casilla de verificación Recuperación del informe HIP para habilitar el acceso de la puerta de enlace al gestor de seguridad móvil. b. seleccione el certificado de CA que acaba de importar y. a. Seleccione Dispositivo > Certificados > Gestión de certificados > Perfil de certificados.Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso de puerta de enlace al gestor de seguridad móvil Habilitación del acceso de puerta de enlace al gestor de seguridad móvil (Continuación) Paso 3 Paso 4 Especifique qué certificado de servidor debe 1. En el gestor de seguridad móvil. c. Seleccione Configuración > Gestión de certificados > Certificados > Certificados de dispositivos. 3. 6. Seleccione Certificado codificado en Base64 (PEM) en la lista desplegable Formato de archivo y haga clic en ACEPTAR para descargar el certificado. Siga el procedimiento siguiente para importar el certificado de cliente en el gestor de seguridad móvil y definir un perfil de certificado: 1. (Opcional) Cree un perfil de certificado en el gestor de seguridad móvil para permitir que las puertas de enlace establezcan una conexión SSL mutua con el gestor de seguridad móvil para recuperar el informe HIP. 4. importe el certificado seleccionando Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivo. (No necesita exportar la clave privada. el certificado de CA se encuentra en el portal). Seleccione el perfil de certificado que acaba de crear en la lista desplegable Perfil de certificado. 7. Seleccione Configuración > Ajustes > Servidor y haga clic en el icono Editar en la sección Configuración de la puerta de enlace de GlobalProtect. Para permitir una autenticación mutua entre la puerta de enlace y el gestor de seguridad móvil. a continuación. Seleccione el certificado de CA y haga clic en Exportar. por ejemplo puertasEnlaceGP. haga clic en ACEPTAR. Haga clic en ACEPTAR para importar el certificado. 81 . Guía del administrador de GlobalProtect Compile los cambios en el gestor de seguridad móvil. haga clic en Añadir. c. Haga clic en ACEPTAR para guardar el perfil. haciendo clic en Importar y desplazándose hasta el certificado que acaba de descargar. b. HIP. Descargue el certificado de CA que se usó para generar los certificados de puerta de enlace (en el flujo de trabajo recomendado. usar el gestor de seguridad móvil para permitir que la puerta de enlace establezca una conexión HTTPS para recuperar el 2. Configure el gestor de seguridad móvil para usar este perfil de certificado para establecer una conexión HTTPS con las puertas de enlace: a. 3. Seleccione Configuración > Ajustes > Servidor y haga clic en el icono Editar en la sección Configuración de la puerta de enlace de GlobalProtect. Haga clic en ACEPTAR para guardar la configuración.) 2. cree un certificado cliente para la puerta de enlace e importe la CA raíz que emitió el certificado de cliente al gestor de seguridad móvil. Seleccione el certificado que acaba de importar desde la lista desplegable Certificado de servidor MDM y haga clic en Aceptar. 5. En el campo Certificados de CA.

Introduzca la dirección IP o FQDN del Servidor de la interfaz en el gestor de seguridad móvil donde la puerta de enlace se conectará para recuperar informes HIP. con el SAN) del certificado del gestor de seguridad móvil asociado con la interfaz. 4. 3. si corresponde. Escriba un Nombre para el gestor de seguridad móvil y especifique el sistema virtual al que pertenece en el campo Ubicación (si procede). En el campo CA raíz de confianza. Seleccione Red> GlobalProtect > MDM y haga clic en Añadir para añadir el gestor de seguridad móvil. Guía del administrador de GlobalProtect . Haga clic en ACEPTAR o guarde los ajustes y después Compile los cambios. El valor debe coincidir con el campo CN (y. haga clic en Añadir y seleccione el certificado de CA raíz que se usó para emitir el certificado del gestor de seguridad móvil para la interfaz a la que se conectará la puerta de enlace para recuperar los informes HIP. (Opcional) Si desea usar la autenticación mutua entre la puerta de enlace y el gestor de seguridad móvil.Configuración del acceso de puerta de enlace al gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Habilitación del acceso de puerta de enlace al gestor de seguridad móvil (Continuación) Paso 5 82 Configure las puertas de enlace para que accedan al gestor de seguridad móvil. 5. 2. 6. En cada cortafuegos que aloje una puerta de enlace de GlobalProtect realice lo siguiente: 1. seleccione el Certificado de cliente que presentará la puerta de enlace cuando establezca una conexión con el gestor de seguridad móvil.

se registra con el gestor a intervalos regulares. El informe HIP proporciona información de identificación sobre el estado del dispositivo (como si se ha liberado o tiene el root desbloqueado. Si desea más información sobre la recopilación de datos HIP. puede crear distintas configuraciones para distintos grupos de usuarios que tengan diferentes necesidades de acceso. Cuando un dispositivo se registra. También puede crear reglas de políticas que solo permitan que las configuraciones se envíen a dispositivos que cumplan con los estándares de seguridad. Por ejemplo.  Recopilación de datos de dispositivo: El dispositivo móvil proporciona datos HIP que el gestor de seguridad móvil procesa para crear un informe HIP completo para el dispositivo. Las siguientes secciones ofrecen información sobre cómo planificar su estrategia de gestión de seguridad móvil e instrucciones para configurar sus políticas y perfiles:  Acerca de la implementación de la política del gestor de seguridad móvil  Recomendaciones sobre las políticas del gestor de seguridad móvil  Integración del gestor de seguridad móvil con su directorio LDAP  Definición de objetos y perfiles HIP  Creación de perfiles de configuración  Creación de políticas de implementación Acerca de la implementación de la política del gestor de seguridad móvil Cuando un dispositivo móvil se inscribe correctamente con el gestor de seguridad móvil de GlobalProtect. El gestor de seguridad móvil usa las reglas de política de implementación que defina para determinar qué perfiles de configuración enviar al dispositivo. Consulte Integración del gestor de seguridad móvil con su directorio LDAP. el gestor de seguridad móvil compara la información de usuario asociada con el dispositivo y los datos HIP recopilados con el dispositivo con los criterios de coincidencia. si tiene habilitado el cifrado o si se ha definido un código de acceso) y una lista de todas las aplicaciones instaladas en el dispositivo. En el caso de los dispositivos Android.Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Definición de políticas de implementación Cuando un dispositivo móvil se inscribe correctamente con el gestor de seguridad móvil de GlobalProtect. consulte Recopilación de datos de dispositivos. envía las configuraciones correspondientes al dispositivo. cada hora). criterios de coincidencia y configuraciones. el dispositivo móvil presenta el certificado de identidad que se emitió durante la inscripción. Esto le permite tener un control granular de los perfiles de configuración que se implementan (si los hay) en el dispositivo o se eliminan de él. Guía del administrador de GlobalProtect 83 . Si ha habilitado el acceso a su servidor de LDAP. el gestor de seguridad móvil calcula un hash para cada aplicación y usa estos datos para determinar si se sabe que alguna de las aplicaciones instaladas tenga malware en función de las actualizaciones de contenido de APK más recientes.  Implementación de políticas: Cada regla de política del gestor de seguridad móvil se compone de dos partes. se registra con el gestor para enviar sus datos de host a intervalos regulares (por defecto. Cuando encuentra la primera regla coincidente. El proceso de registro consta de cuatro pasos:  Autenticación: Para conectar con el gestor de seguridad móvil para registrarse. el gestor de seguridad móvil puede usar el nombre de usuario autenticado para determinar una comparación de política en función de una pertenencia a grupo o usuario.

si está cifrado y si el usuario ha definido un código de acceso en el dispositivo. Sin embargo.Definición de políticas de implementación  Configuración del gestor de seguridad móvil de GlobalProtect – Criterios de coincidencia: El gestor de seguridad móvil usa el nombre de usuario del usuario del dispositivo y la coincidencia HIP para determinar una coincidencia de políticas. como la versión de SO. etiqueta o modelo de dispositivo. consulte Acerca de la notificación HIP. el nombre y modelo del dispositivo e información identificativa incluyendo el número de teléfono. la versión de la aplicación GlobalProtect. si ha creado un perfil HIP que solo coincide con dispositivos que cumplan los estándares de seguridad (es decir. si ha asignado etiquetas al dispositivo. esta información también se comunica. como si está liberado/tiene la raíz desbloqueada. Recopilación de datos de dispositivos El gestor de seguridad móvil recopila la siguiente información (según corresponda) desde un dispositivo móvil cada vez que se registra: Categoría Datos recopilados Información de host Información sobre el propio dispositivo. – Configuraciones: Contiene los ajustes de configuración. Aplicaciones Incluye una lista de todos los paquetes de aplicaciones instalados en el dispositivo. en caso de que tenga habilitados los servicios de ubicación. Consulte Acerca de la comparación de usuarios y grupos. Por ejemplo. opcionalmente. En este caso. certificados. Además. por motivos de privacidad puede configurar el gestor de seguridad móvil para excluir esta información de los datos recopilados. Como los sistemas operativos iOS y Android admiten distintos ajustes y usan diferentes sintaxis. deberá crear configuraciones diferentes para enviarlas a cada SO. puede adjuntar tanto una configuración para iOS como una para Android en la misma regla de política y el gestor de seguridad móvil enviará automáticamente la configuración correcta al dispositivo. 84 Guía del administrador de GlobalProtect . Si desea información detallada sobre cómo crear configuraciones. Si desea información más detallada. consulte Creación de perfiles de configuración. el número de identificación internacional de equipos móviles (IMEI) y el número de serie. Use la coincidencia de HIP para enviar políticas de implementación en función del cumplimiento de la seguridad del dispositivo y mediante otras características de identificación del dispositivo. si contiene aplicaciones conocidas por portar malware (solo dispositivos Android) y. un dispositivo puede no cumplir ninguna de las reglas de política que ha definido. Puede definir un mensaje de notificación HIP para enviarlo a los dispositivos que no coinciden con el perfil para explicar por qué no reciben ninguna configuración. El uso del nombre de usuario le permite implementar políticas en función de la pertenencia de grupos. incluyendo el SO y versión del SO. que estén cifrados y no estén liberados ni tengan el root desbloqueado) y lo adjunta a sus reglas de políticas de implementación. Notificación de incumplimiento: En algunos casos. las configuraciones solo se envían a los dispositivos que coincidan con el perfil HIP. perfiles de aprovisionamiento (solo iOS) y restricciones de dispositivo para realizar los envíos a los dispositivos que coincidan con la regla de política correspondiente. Ubicación GPS Incluye la ubicación GPS del dispositivo. Consulte Acerca de la evaluación HIP. la ubicación GPS del dispositivo. Configuración Información sobre el estado de seguridad del dispositivo.

Por ejemplo. si se produce la coincidencia ¿se enviarán los perfiles de configuración correspondientes al dispositivo? ¿O el dispositivo no recibirá el perfil de configuración hasta que cumpla los requisitos? Guía del administrador de GlobalProtect 85 . estén cifrados y no contengan malware. puede crear un perfil HIP para adjuntarlo a su política y que solo coincida con dispositivos que no estén liberados. puede habilitar esta funcionalidad definiendo que se muestren mensajes de notificación HIP cuando un perfil HIP concreto coincida o no. La decisión de cuándo mostrar un mensaje (es decir. Novell eDirectory y Sun ONE Directory Server. puede crear objetos HIP para cada estado de dispositivo que considera una vulnerabilidad.  Perfiles HIP: Una colección de objetos HIP que se evalúan juntos mediante una lógica booleana que evalúa los datos HIP con el perfil HIP resultante y determina si coinciden o no. depende en gran medida de su política y de lo que el usuario entiende por coincidencia (o no coincidencia) de HIP. consulte Definición de objetos y perfiles HIP. a los usuarios finales no se les informa de las decisiones sobre políticas derivadas de aplicar una política de seguridad tipo HIP. incluidos Microsoft Active Directory (AD). Para obtener instrucciones sobre cómo configurar las evaluaciones HIP.Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Acerca de la comparación de usuarios y grupos Para poder definir las políticas de implementación de dispositivos móviles en función de un usuario o grupo. Consulte Integración del gestor de seguridad móvil con su directorio LDAP si desea instrucciones sobre la configuración de la comparación de grupos y usuarios. si solo desea implementar perfiles de configuración en dispositivos que no tengan una vulnerabilidad. El gestor de seguridad móvil admite una variedad de servidores de directorios LDAP. deberá poder seleccionar los usuarios o grupos cuando defina las políticas de implementación de dispositivos móviles. otro para los dispositivos que no están cifrados y un tercero para los dispositivos que contienen malware. Es decir. no tengan la raíz desbloqueada. Acerca de la notificación HIP Por defecto. si desea identificar los dispositivos que tienen vulnerabilidades. debe crear un perfil de servidor LDAP que indique al gestor de seguridad móvil cómo conectarse al servidor y autenticarlo. Para habilitar esta función. Por ejemplo. puede crear un objeto HIP para los dispositivos que están liberados/tienen la raíz desbloqueada. el gestor de seguridad móvil debe recuperar la lista de grupos y la lista de miembros correspondiente en su servidor de directorios. Acerca de la evaluación HIP Cree objetos y perfiles HIP en el gestor de seguridad móvil para definir qué atributos de dispositivos desea supervisar y usar para la implementación de políticas:  Objetos HIP: Proporcionan los criterios de evaluación con los que filtrar la información de host que desea usar para aplicar las políticas. así como el modo de buscar en el directorio la información de usuarios y grupos. Cuando el gestor de seguridad móvil esté totalmente integrado en el servidor de directorios. Sin embargo. si aparece cuando el dispositivo coincide con un perfil HIP de la política o cuando no coincide). Por ejemplo.

está liberado/tiene la raíz desbloqueada o contiene aplicaciones que se saben que son portadoras de malware. lo que puede exponerlos a vulnerabilidades y robos. Para los dispositivos que cumplan esa regla. imagínese estas situaciones:  Crea un perfil HIP que evalúa si la versión de SO del dispositivo es mayor o igual a un número de versión específico. los perfiles de aprovisionamiento y las restricciones de dispositivo para enviarlos a los dispositivos gestionados. La mejor forma de hacerlo es crear una regla de política predeterminada que identifique los dispositivos que contienen una vulnerabilidad mediante una evaluación HIP. le proporcionan un mecanismo de envío y simplifican la implementación de los ajustes de configuración. considere las siguientes recomendaciones:  86 Cree una regla de política predeterminada que busque vulnerabilidades de dispositivos. la política podría o bien enviar un perfil vacío (es decir. Del mismo modo que se asegura de que los ordenadores y portátiles que acceden a su red se mantienen y aseguran adecuadamente. los dispositivos móviles (incluso los que son propiedad de la empresa) se usan con numerosos fines. puede que quiera crear un mensaje de notificación HIP para dispositivos que no coincidan con el perfil HIP. debe asegurarse de que los dispositivos móviles que acceden a los sistemas de la empresa están libres de vulnerabilidades conocidas. en su lugar puede crear el mensaje para dispositivos que sí coincidan con este perfil. Dada su utilidad. en el que indica a los usuarios del dispositivo que deben actualizar el SO del dispositivo para poder recibir los perfiles de configuración de la empresa. no adjuntar ningún perfil) o bien enviar un perfil que solo contengan un requisito de contraseña (en caso de que el dispositivo vulnerable contenga datos de la empresa o tenga acceso a sistemas de la empresa). La forma en la que elija gestionar y configurar los dispositivos móviles dependerá de los requisitos específicos de su compañía y la sensibilidad de los recursos a los que las configuraciones ofrecen acceso. En este caso. certificados y perfiles de aprovisionamiento necesarios para acceder a sus recursos de la empresa. Recomendaciones sobre las políticas del gestor de seguridad móvil Antes de definir los perfiles de configuración. Las políticas del gestor de seguridad móvil que implemente le permiten asegurarse de que los dispositivos que accedan a su red cumplan con sus políticas de seguridad y uso aceptable. En este caso también debería crear una notificación de coincidencia HIP para informar a sus usuarios del motivo por el que no reciben sus ajustes de cuenta. Use perfiles HIP que comprueben si un dispositivo cumple los requisitos que defina para asegurarse de que los perfiles de configuración que dan acceso a los recursos de la empresa solo se envían tras valorar si el dispositivo tiene o no vulnerabilidades conocidas. consulte Definición de objetos y perfiles HIP. Si desea información sobre cómo configurar los mensajes de notificación HIP.  Crea un perfil HIP que evalúa si la versión de SO del dispositivo es inferior a un número de versión específico.Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Por ejemplo. más allá de los comerciales. Guía del administrador de GlobalProtect . En este caso.

como los perfiles de aprovisionamiento están sincronizados con iTunes. Además. Aunque el gestor de seguridad móvil simplifica la implementación de perfiles de aprovisionamiento en un gran número de dispositivos móviles. Para simplificar la implementación de los ajustes del agente GlobalProtect en los dispositivos iOS que gestiona. el perfil puede reinstalarse la siguiente vez que el usuario final sincronice el dispositivo con iTunes. Envíe un perfil de configuración de VPN de GlobalProtect VPN para simplificar la implementación. por naturaleza. Aunque hay varias formas de imponer estos requisitos. puede simplificar la administración y mejorar la capacidad de uso creando perfiles de configuración diferentes para cada servicio. aunque la política del gestor de seguridad móvil elimine el perfil. Si un dispositivo sin código de acceso cae en las manos equivocadas cualquier sistema empresarial al que se tenga acceso desde el dispositivo estará en peligro. basta con cambiar los ajustes de implementación de políticas para que el perfil se elimine automáticamente de los dispositivos de usuario o se agreguen a ellos como corresponda. Además. Considere las siguientes recomendaciones: Guía del administrador de GlobalProtect 87 .  Use los perfiles de aprovisionamiento iOS para simplificar la implementación de aplicaciones empresariales. como los dispositivos Android no cifran automáticamente los datos al definir un código de acceso. obligará al usuario del dispositivo móvil a definir un código de acceso que cumpla sus requisitos y a habilitar el cifrado de datos antes de instalar el perfil. Los perfiles de aprovisionamiento ofrecen un método cómodo y automatizado para distribuir aplicaciones de empresa desarrolladas internamente a los dispositivos iOS gestionados de su red. la aplicación seguirá ejecutándose en el dispositivo hasta que lo apague. Cuando revoque el acceso a una aplicación habilitada a través de un perfil de aprovisionamiento. hay algunos factores de seguridad que se deben tener en cuenta. cuando un usuario necesita un cambio de servicio concreto. podrá crear más fácilmente políticas adaptadas a las necesidades de acceso de sus grupos de usuarios. lo que evitará que los usuarios finales accedan a la cuenta correspondiente hasta que el dispositivo cumpla lo estipulado.   Cree perfiles de configuración distintos para acceder a las distintas cuentas. Si incluye los requisitos para el dispositivo en los perfiles de configuración que permiten acceder a sus recursos de la empresa (como el correo electrónico. Del mismo modo. Por ello. Aunque puede crear perfiles de seguridad que envíen ajustes a múltiples cuentas. si segrega las configuraciones de cuenta en archivos separados. Además. como sí hacen los dispositivos iOS. Esto permite a los usuarios eliminar perfiles de cuentas que no necesitan o quieren. la VPN o la red Wi-Fi). Los dispositivos móviles son. siempre exigirá un código de acceso en los dispositivos que gestione. fáciles de perder y de robar.Configuración del gestor de seguridad móvil de GlobalProtect  Definición de políticas de implementación Exija código de acceso y cifrado de datos complejos. la más sencilla es incluir los requisitos de código de acceso y cifrado en cada perfil de configuración que envíe. deberá exigir siempre que los dispositivos Android gestionados tengan habilitado el cifrado de datos. cree un perfil de configuración iOS y configure los ajustes de VPN de modo que el dispositivo pueda conectar automáticamente con su VPN de GlobalProtect cuando implemente la política correspondiente.

Guía del administrador de GlobalProtect . – Para asegurar que no realicen copias de seguridad de los datos de aplicaciones de la empresa en iCloud o iTunes. – Cuando elimine los privilegios de acceso a la aplicación de un usuario. asegúrese de que las aplicaciones que desarrolle internamente usen a carpeta Caches de la aplicación para almacenar los datos. donde podrían estar al alcance de usuarios no autorizados. no confíe únicamente en la eliminación del perfil de aprovisionamiento de la política del gestor de seguridad móvil. ya que esta carpeta se excluye de la copia de seguridad. Esto impide el acceso a aquellos usuarios que no están autorizados a usar la aplicación pero tienen instalado el perfil de aprovisionamiento en sus dispositivos. debe desactivar también la cuenta del usuario en sus servidores internos.Definición de políticas de implementación 88 Configuración del gestor de seguridad móvil de GlobalProtect – Exija una autenticación para usar la aplicación. – Asegúrese de tener la capacidad de borrar los datos de aplicaciones locales en el dispositivo móvil cuando se elimina el acceso a la aplicación.

5. Haga clic en Añadir para añadir una nueva entrada de servidor LDAP y. a continuación. deje este campo en blanco. 3. no acme. 1. introduzca un nombre de Servidor para identificar al servidor (de 1 a 31 caracteres) y el número de Dirección IP y Puerto que debería utilizar el cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP. a continuación. Los valores de asignación de grupos se cumplimentarán automáticamente según su selección. Haga clic en Añadir y. deberá crear perfiles de servidor separados. Guía del administrador de GlobalProtect 89 . 2. NO el FQDN (por ejemplo. El valor de Enlazar DN puede tener el formato Nombre principal del usuario (UPN) (p. Seleccione Configuración > Perfiles de servidor > LDAP. Tenga en cuenta que si necesita recopilar datos de varios dominios. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. Aunque el nombre de dominio se puede determinar automáticamente.com). introduzca acme. El valor que introduzca aquí dependerá de su implementación: • Si está utilizando Active Directory. puede que tenga que modificar los ajustes predeterminados. especifique el punto donde desee que el gestor de seguridad móvil comience su búsqueda de información de usuarios y grupos dentro del árbol de LDAP. Puede añadir hasta cuatro servidores LDAP al perfil. debería añadir como mínimo dos servidores. administrador@acme.Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Integración del gestor de seguridad móvil con su directorio LDAP Utilice el siguiente procedimiento para conectarse a su directorio LDAP y así habilitar que el gestor de seguridad móvil recupere información de usuario y grupo: Integración con el servidor de directorios Paso 1 Cree un perfil de servidor LDAP que especifique cómo conectarse a los servidores de directorio que desee que utilice el cortafuegos para obtener información de asignación de grupos. En el campo Base. cn=administrador. ej.cn=usuarios.. 4. todos los servidores que añada a un perfil deberán ser del mismo tipo. 636 para LDAP sobre SSL). Introduzca las credenciales de autenticación para el enlace con el árbol de LDAP en los campos Enlazar DN.dc=acme. Enlazar contraseña y Confirmar contraseña de enlace. Si habilita SSL. • Si está utilizando un servidor de catálogo global. si ha personalizado su esquema.local) o puede ser un nombre de LDAP completo (p. sin embargo. introduzca un Nombre para el perfil. Sin embargo. Para la redundancia.dc=local). Si desea que el gestor de seguridad móvil se comunique con los servidores LDAP a través de una conexión segura. 7. seleccione la casilla de verificación SSL. 6. Seleccione el Tipo de servidor LDAP al que se esté conectando. asegúrese de que también ha especificado el número de puerto adecuado.. ej. deberá introducir el nombre de dominio NetBIOS. la práctica recomendada es introducir el nombre de dominio siempre que sea posible. 8.

Repita este paso para cada grupo que desee poder utilizar en sus políticas. 2. puede que desee asegurarse de que los datos del dispositivo se han cifrado y los dispositivos no están liberados ni tienen la raíz desbloqueada. Por ejemplo. 90 Guía del administrador de GlobalProtect . Paso 3 Guarde la configuración. Seleccione el Perfil de servidor que creó en el Paso 1. Haga clic en Compilar. 3. En el caso de cada grupo que desee incluir. Para ello. examine el árbol de LDAP para localizar los grupos que desea poder utilizar en la política. (Opcional) Si desea limitar los grupos que se muestran en la política de seguridad. seleccione la pestaña Lista de inclusión de grupos y. 1. Haga clic en ACEPTAR para guardar la configuración. Asegúrese de que la casilla de verificación Habilitado está seleccionada. a continuación. Definición de objetos y perfiles HIP El uso de perfiles HIP en la política de gestor de seguridad móvil permite la implementación de configuraciones y asegura que los dispositivos móviles cumplen con los requisitos de seguridad de la empresa para recibir los perfiles de configuración que permite el acceso a sus recursos de la empresa. Seleccione Configuración > Base de datos de usuario > Integración de directorios y haga clic en Añadir. debe crear un perfil HIP que evalúe los dispositivos que cumplen estos criterios y adjuntarlos a las reglas de políticas de implementación.Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Integración con el servidor de directorios (Continuación) Paso 2 Añada el perfil de servidor LDAP a la configuración de integración de directorios. selecciónelo en la lista Grupos disponibles y haga clic en el icono de adición para moverlo a la lista Grupos incluidos. 4. 5. antes de enviar las configuraciones que permiten el acceso a sus sistemas de la empresa.

En la pestaña General. como SO. No es o Contiene el valor que ha introducido o seleccionado. haga clic en Añadir y especifique los paquetes de aplicaciones que desea que no se consideren malware. seleccione Sí. por ejemplo si está liberado/tiene la raíz desbloqueada o tiene un código de acceso. A continuación. Nota Si desea obtener información detallada sobre un campo de objeto HIP específico. puede crear etiquetas para distinguir dispositivos personales de dispositivos de la empresa. versión de aplicación GlobalProtect o número de teléfono seleccione la casilla de verificación Información de host y defina los valores que desea evaluar. seleccione Es e iOS en las listas desplegables del campo SO. en función de cómo configure el perfil HIP para que evalúe el objeto. seleccione Aplicaciones > Criterios y seleccione un valor en la lista desplegable Tiene malware. seleccione la pestaña Ajustes y seleccione Sí o No para determinar cómo comparar el ajuste. si lo desea. 5. una Descripción para el objeto. introduzca un Nombre y. Defina los criterios de evaluación del objeto HIP como se indica: • Para evaluar las características de identificación del dispositivo móvil. Por ejemplo. Haga clic en ACEPTAR para guardar el objeto HIP. También. seleccione No en el campo Código de acceso. si usa este objeto para crear un perfil para usarlo en políticas que se implementarán en los dispositivos iOS. los que informa el dispositivo. consulte la ayuda en línea. • (Solo dispositivos Android) Para evaluar si el dispositivo tiene o no instaladas aplicaciones infectadas con malware.Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Creación de objetos y perfiles HIP Paso 1 Cree objetos HIP para filtrar los datos de 1. • Para evaluar según las aplicaciones específicas instaladas en el dispositivo. lo cual ofrece posibilidades infinitas de agrupar los dispositivos gestionados para la implementación de la configuración. agruparlos fácilmente. consulte Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos. La lista de aplicaciones que defina puede ser una lista negra o una lista segura. Por ejemplo. Por ejemplo. Por ejemplo. seleccione un operador en la lista desplegable que indique si el valor especificado Es. para crear una lista negra de aplicaciones debe añadir una lista de aplicaciones aquí y después configurar el perfil HIP en que No coincida con el objeto. Nota La coincidencia HIP se produce cuando el dispositivo tiene instalada alguna de las aplicaciones de la lista. 91 . • Para evaluar el estado del dispositivo. Seleccione Políticas > Información de host > Objetos HIP y haga clic en Añadir. Repita estos pasos para crear los objetos HIP adicionales que necesite. puede crear objetos HIP que coincidan con etiquetas específicas. para permitir aplicaciones específicas que según WildFire contienen malware. si desea que el objeto evalúe dispositivos que no tienen un código de acceso definido. Guía del administrador de GlobalProtect 4. Si desea más información sobre la creación de etiquetas. En cada elemento que desea evaluar. La función de pestaña le permite crear etiquetas personalizadas para los dispositivos que desee gestionar para 3. seleccione Aplicaciones > Incluir y haga clic en Añadir para especificar uno o más paquetes de aplicaciones que evaluar. Nota 2.

puede combinar objetos HIP que haya creado previamente (así como otros perfiles HIP) 3. Seleccione Políticas > Información de host > Perfiles HIP y haga clic en Añadir. haga clic en Añadir para moverlo sobre el cuadro de texto Coincidencia en el cuadro de diálogo Perfil HIP. embargo. Sin 2. con respecto al perfil HIP resultante con el que tendrá.Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Creación de objetos y perfiles HIP (Continuación) Paso 2 Cree los perfiles HIP que tiene pensado usar en sus políticas. Compruebe que los objetos HIP y los perfiles HIP que ha creado coinciden con los dispositivos gestionados según lo esperado. Haga clic en Añadir criterios de coincidencia para abrir el generador de objetos/perfiles HIP. Seleccione el primer objeto o perfil HIP que desea utilizar como criterio de búsqueda y. Paso 3 Paso 4 92 Introduzca un Nombre descriptivo para el perfil y. coincidencia. Repita estos pasos para crear cada perfil HIP adicional que necesite. haga clic en ACEPTAR. ubicación GPS del dispositivo móvil no se incluye en los datos de HIP de los que la aplicación informa por defecto. 1. a continuación. como con cualquier otro criterio de coincidencia de política. Guía del administrador de GlobalProtect . seleccione la casilla de verificación NO antes de añadir el objeto. debe añadir manualmente el paréntesis en los lugares adecuados del cuadro de texto Coincidencia para asegurarse de que el perfil HIP se evalúa usando la lógica que desea. si no coincide. 8. Seleccione Políticas > Información de host > Recopilación de datos y haga clic en el icono Editar en la sección Recopilación de datos. use la casilla de verificación NO cuando corresponda). si desea que el perfil HIP evalúe el objeto como una coincidencia solo cuando el criterio del objeto no sea verdadero para un flujo. Seleccione Supervisar > Logs > Coincidencias HIP. Cuando termine de añadir criterios de evaluación haga clic en ACEPTAR para guardar el perfil. (Opcional) Por motivos de privacidad. seleccionando el botón de opción del operador booleano apropiado (Y u O) cada vez que añada un elemento (y. Si coincide. opcionalmente. 2. Continúe añadiendo criterios de coincidencia como corresponda para el perfil que está creando. 5. a continuación. Cuando crea sus perfiles HIP. la 1. o no. puede habilitar la ubicación GPS si necesita esta información para la implementación de políticas. Este log muestra todas las coincidencias que el gestor de seguridad móvil ha identificado cuando evaluó los datos de dispositivo de los que informó la aplicación y los comparó con los objetos HIP y los perfiles HIP. 6. el flujo se evaluará con respecto a la siguiente regla. 7. de nuevo. la regla de política correspondiente se aplicará. Si está creando una expresión booleana compleja. Seleccione la casilla de verificación Habilitar identificación de usuarios y. una Descripción. Tenga en cuenta que. usando lógica booleana como la que se usa cuando un flujo de tráfico se evalúa 4.

del usuario coincide con un perfil HIP en la política o cuando no coincide). Seleccione el Perfil HIP al que se aplica este mensaje en el menú desplegable.Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Creación de objetos y perfiles HIP (Continuación) Paso 5 1. Por el contrario. Repita este procedimiento para cada mensaje que quiera definir. Creación de perfiles de configuración Los perfiles de configuración del gestor de seguridad móvil proporcionan un mecanismo simplificado para enviar configuraciones y restricciones a grupos de dispositivos gestionados. Seleccione Políticas > Información de host > Notificaciones y haga clic en Añadir. los recursos de su red? ¿O significa que tiene acceso limitado debido a un problema de incumplimiento? 5. si su perfil HIP coincide con los dispositivos que sí tengan el cifrado habilitado. Como los perfiles de configuración que define se envían a dispositivos móviles en función de las coincidencias de políticas. ¿significa la coincidencia que se concede total acceso a 4. Además puede usar los perfiles de seguridad para imponer restricciones se seguridad. Seleccione la casilla de verificación Habilitar e introduzca el texto de su mensaje en el cuadro de texto Plantilla. si aparece cuando la configuración 3. en función de si desea mostrar el mensaje cuando se cumpla el perfil HIP correspondiente en la política o no. Haga clic en Compilar. puede crear un 7. Haga clic en ACEPTAR para guardar el mensaje de notificación HIP. Es decir. Paso 6 Guarde la configuración HIP. dependiendo de los objetos que compare y sus objetivos para la política. puede definir configuraciones muy específicas o muy amplias y después implementarlas a usuarios y grupos específicos en función del estado del dispositivo y su cumplimiento de los requisitos de seguridad de la empresa. Defina los mensajes de notificación que verán los usuarios finales cuando se aplique una regla de política con un perfil HIP. 2. La decisión de cuándo mostrar un mensaje (es decir. Seleccione Coincidir mensaje o Mensaje no coincidente. En este caso. deberá importar los iconos de clip web asociados antes de crear las políticas de configuración que correspondan. puede que quiera crear mensajes tanto para coincidencia como para no coincidencia. (Solo mensajes de coincidencia) Seleccione la casilla de verificación Incluir lista de aplicaciones para indicar qué aplicaciones activaron la coincidencia de HIP en el mensaje de notificación. Guía del administrador de GlobalProtect 93 . mensaje de notificación HIP para usuarios que coinciden con el perfil HIP y les indica que deben habilitar el cifrado de disco para poder recibir los perfiles de configuración que les dan acceso a los recursos de la empresa. suponga que crea un perfil HIP para dispositivos cuyos datos no están 6. Consulte Importación de iconos de clip web. puede crear el mensaje para aquellos usuarios que no se ajusten al perfil. En algunos casos.  Iconos de clips web: Si planea implementar clips web para proporcionar accesos directos a sitios web o aplicaciones basadas en la web. como forzar el uso de un código de acceso o restringir las funcionalidades del dispositivo (como el uso de la cámara). cifrados como exige la política de la empresa. Por ejemplo. depende en gran medida de su política y de lo que el usuario entiende por coincidencia (o no coincidencia) de HIP.

También puede usar el perfil de configuración iOS para automatizar el proceso de configuración de los dispositivos móviles para conectar con la VPN de GlobalProtect. consulte Creación de un perfil de configuración Android y Creación de un perfil de configuración iOS. Cuando un usuario toca un icono de clip web. restricciones y clips web que se enviarán a los dispositivos gestionados durante el registro. Si planea incluir clips web en las configuraciones que implemente. Son configuraciones que permiten a los dispositivos iOS usar el protocolo de inscripción de certificados simple (SCEP) para obtener certificados de una CA con SCEP. deberá crear las políticas de implementación que garanticen que las configuraciones se envían a los dispositivos adecuados. puede que quiera crear iconos asociados para mostrarlos en la pantalla de inicio. ya que estos sistemas operativos tienen diferentes funcionalidades. Si no asocia un icono con un clip web. 94 Guía del administrador de GlobalProtect . la Intranet o los sistemas de RR. Para obtener más información. HH. Es necesario implementar un perfil de aprovisionamiento para que los usuarios de iOS puedan iniciar aplicaciones empresariales desarrolladas a nivel interno. Puede crear configuraciones que le permitan implementar perfiles de aprovisionamiento en dispositivos tal y como se describe en Importación de un perfil de aprovisionamiento iOS.  Configuraciones SCEP. como el servidor SCEP de Microsoft. Importación de iconos de clip web Los clips web proporcionan accesos directos a sitios web o aplicaciones basadas en la web. El SCEP puede usarse para emitir los certificados de identidad que requiere el gestor de seguridad móvil o bien para emitir certificados para otros servicios necesarios en el dispositivo.Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect  Perfiles: Contienen los ajustes de configuración. consulte Definición de una configuración SCEP. Después de crear los perfiles de configuración que necesite para los dispositivos que gestione el gestor de seguridad móvil. Deberá crear perfiles de configuración distintos para los dispositivos iOS y Android. Si desea detalles de creación de los perfiles. automáticamente abre la URL asociada. como las bases de datos de seguimiento de errores internos. se mostrará un cuadrado blanco en su lugar. El gestor de seguridad móvil pueden implementar automáticamente clips web a los dispositivos gestionados para proporcionar accesos directos que ofrezcan a los usuarios un acceso rápido a los sistemas internos. Consulte Definición de una configuración VPN de GlobalProtect si desea instrucciones específicas sobre esta configuración. Debe importar los iconos de clip web en el gestor de seguridad móvil como se indica a continuación antes de crear los perfiles de configuración que incluyen los clips web. Consulte Creación de políticas de implementación para obtener información detallada.  Perfiles de aprovisionamiento iOS.

Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Creación de iconos de clips web Paso 1 Cree los archivos de imágenes que desee usar como iconos de clip web. El nombre de archivo y ruta aparecerán en el campo Archivo. 2. se ajusta automáticamente a 96x96 px en el dispositivo. Directrices para iconos iOS Use archivos PNG no entrelazados. asegúrese de que la imagen tiene esquinas en 90 y no tiene ningún brillo o satinado. Seleccione Examinar y vaya hasta la ubicación del icono de clip web y haga clic en Abrir. Guía del administrador de GlobalProtect Seleccione Políticas > Configuración > Iconos de clip web y haga clic en Añadir. Nota Los iconos que cree para usarlos con sus clips web deben cumplir criterios específicos de nombre e imagen para que el SO los muestre adecuadamente. sombra paralela y brillo reflectante). Si desea recomendaciones sobre cómo crear iconos para dispositivos Android. Haga clic en ACEPTAR. 95 . Directrices para iconos Android Utilice archivos PNG de 32 bits con un canal alfa para la transparencia. 3. tal y como se indica: • Densidad baja 36x36 px • Densidad media 48x48 px • Densidad alta 72x72 px • Densidad superalta 96x96 px Nota Si la imagen es mayor de 96 px. consulte el siguiente documento en el sitio de desarrolladores de iOS: Directrices para la creación de imágenes e iconos personalizados (en inglés). Cree diferentes imágenes con distintas dimensiones para cada plataforma iOS como se indica a continuación: • Para iPhone y iPod touch: 57x57 px (114x114 px para una alta resolución) • Para iPad: 72x72 px (144x144 px para una alta resolución) Paso 2 Paso 3 Importe cada icono de clip web en el gestor 1. Guarde sus cambios. consulte el siguiente documento en el sitio de desarrolladores de Android: Directrices para el diseño de iconos (en inglés). Si desea recomendaciones sobre cómo crear iconos para dispositivos iOS. Si desea que iOS añada sus efectos estándar (esquinas redondeadas. Use diferentes dimensiones para cada densidad de pantalla. Haga clic en Compilar. de seguridad móvil. 4. Introduzca un Nombre y una Descripción del icono.

0 y posteriores) Por defecto el perfil no se eliminará automáticamente. 3.perfiliOS. certificados. los usuarios de los dispositivos deberán respetar los ajustes de código de acceso que defina. 4. clips web y restricciones para enviarlos a un grupo específico de dispositivos iOS. el usuario puede eliminar un perfil de configuración del dispositivo. como la longitud o la complejidad. Si desea obligar a los usuarios de dispositivos que reciben esta configuración a usar un código de acceso en el dispositivo. 2. escriba un Nombre para mostrar para la configuración en la interfaz web del gestor de seguridad móvil. Introduzca un Nombre para mostrar para que aparezca en la pantalla de detalles/perfiles en el dispositivo móvil. Por defecto. Por ejemplo. En la pestaña General. puede seleccionar un valor de la lista desplegable Eliminar perfil automáticamente para eliminar el perfil automáticamente tras un número de días específicos o en una fecha concreta. puede asignar a la configuración un nombre parecido a com. la frecuencia con la que el usuario debe cambiar el código de acceso o si debe forzar el dispositivo a bloquearse automáticamente tras un número especificado de minutos.acme. seleccione Nunca en la lista desplegable El usuario puede eliminar el perfil. 96 1. 2. Especifique los requisitos de código de acceso de los dispositivos. Si tiene grupos de usuarios de dispositivos iOS que necesitan acceso a diferentes servicios o distintos niveles de restricciones. Creación de un perfil de configuración iOS Paso 1 Añada un perfil de configuración. Para evitar que los usuarios eliminen esta configuración. (iOS 6.Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Creación de un perfil de configuración iOS El perfil de configuración iOS contiene los ajustes de configuración. Seleccione Políticas > Configuración > iOS y haga clic en Añadir. así como en el informe HIP del dispositivo. seleccione la pestaña Código de acceso y seleccione la casilla de verificación Código de acceso para habilitar la restricción. Para exigir una contraseña para la eliminación seleccione Con autorización y defina la Contraseña de autorización. deberá crear un perfil de configuración de iOS distinto para cada uno. 1. 1. Introduzca un identificador para la configuración en formato de estilo DNS inverso. (Opcional) Defina cómo puede modificarse el perfil. Paso 2 Paso 3 Paso 4 Introduzca la información de identificación para la configuración. 2. Si especifica requisitos de código de acceso. (Opcional) Especifique requisitos adicionales de código de acceso que desee aplicar. (Opcional) Introduzca también una Descripción para que se muestre en la pantalla Detalles del dispositivo móvil. Sin embargo. 1. Guía del administrador de GlobalProtect . si este perfil va a usarse para enviar una configuración base de iOS a los dispositivos. Con solo habilitar este campo obligará a usar un código de acceso de un mínimo de 4 caracteres sin imponer requisitos adicionales.

3. Proporciones los ajustes de configuración que permiten el acceso del dispositivo a uno o más de los siguientes servicios: • Wi-Fi • VPN (GlobalProtect) • Correo electrónico • Exchange Active Sync • LDAP 1. Nota Guía del administrador de GlobalProtect En las configuraciones Wi-Fi hay un ajuste de contraseña adicional. 2. seleccione Fijo e introduzca un nombre de usuario en el cuadro de texto. múltiples configuraciones para el mismo tipo de servicio. por ejemplo si desea enviar ajustes de envío para unirse a múltiples redes Wi-Fi. 97 . Seleccione la pestaña Restricciones y después la casilla de verificación Restricciones para permitir que la configuración controle de lo que el usuario puede hacer con el dispositivo móvil. Haga clic en Añadir para abrir la ventana de configuración. Seleccione o cancele la selección de las casillas de verificación en las pestañas Funcionalidad del dispositivo. Seleccione la pestaña y la casilla de verificación correspondiente para habilitar la configuración. iCloud. si no desea que los usuarios usen la cámara. que requiere que el usuario del dispositivo introduzca la contraseña al volverse a unir a la red. Aplicaciones. debe seleccione la pestaña Wi-Fi y después la casilla de verificación Wi-Fi. Si desea instrucciones específicas sobre cómo crear una configuración VPN de GlobalProtect. Por ejemplo. consulte Definición de 5. O para especificar una contraseña diferente. seleccione Fija e introduzca una contraseña en el cuadro de texto. la configuración usará una contraseña que el usuario define en el dispositivo móvil (Definida en el dispositivo) por defecto. Seguridad y privacidad y Valoración del contenido para definir las restricciones de dispositivos que desee. Definir por cada conexión. la configuración usará por defecto el nombre de usuario del usuario final que se proporcionó cuando se autenticó en el gestor de seguridad móvil durante la inscripción (Usar guardado). cancele la selección de la casilla de verificación Permitir uso de la cámara. Por ejemplo. 2. una configuración VPN de GlobalProtect. Para especificar un nombre de usuario diferente. Consulte la ayuda en línea si desea información sobre qué introducir en un campo específico.Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Creación de un perfil de configuración iOS (Continuación) Paso 5 Paso 6 Defina las restricciones sobre lo que el usuario puede hacer con el dispositivo. En las configuraciones que requieran una Contraseña. Para usar la contraseña que el usuario final proporcionó al autenticarse en el gestor de seguridad móvil durante la inscripción (Usar guardada). Repita este paso para cada servicio para el que dese enviar los ajustes en este perfil de configuración. Para habilitar los ajustes de configuración para un tipo de recurso específico: 1. Cumplimente los campos como sea necesario para permitir que los dispositivos móviles accedan al servicio (los campos con el fondo amarillo son obligatorios). Puede incluso definir 4. En las configuraciones que requieran un Nombre de usuario. para habilitar una configuración Wi-Fi.

1. Añada certificados para enviarlos a los dispositivos móviles. Introduzca una Etiqueta para que el clip web se muestre en la pantalla de inicio. 7. Si desea evitar que iOS añada efectos estándar al icono (esquinas redondeadas. Puede enviar cualquier certificado que el dispositivo vaya a necesitar para conectar con sus aplicaciones y servicios internos. también debe introducir la Contraseña que se usará para descifrar la clave. configuración que incluya un clip web. Para evitar que los usuarios eliminen el clip web de la pantalla Inicio. Pueden ser 2. Haga clic en ACEPTAR para guardar los ajustes de configuración que ha definido y cerrar el cuadro de diálogo Configuración iOS. Escriba la URL que se cargará cuando el usuario toque el clip web. identificar el tipo de conexión de red que suministrar. Seleccione la pestaña Clips web y haga clic en Añadir. Seleccione la pestaña Certificados y haga clic en Añadir. usuarios móviles necesitan acceder. Defina un nombre de punto de acceso (APN) para que el dispositivo móvil lo use para presentarlo al operador para 2. Si el certificado contiene una clave privado. Antes de crear una 6. importó de una CA distinta. como un servidor de protocolo de aplicaciones inalámbricas o (WAP) o servicio de mensajería multimedia (MMS) para permitir que los dispositivos móviles se comuniquen con él. 8. 1. Seleccione un Icono que haya importado previamente o haga clic en Icono en el menú desplegable para importar uno nuevo. la modificación o eliminación de un clip web de una configuración provocará un artefacto en la pantalla de inicio del dispositivo hasta que se reinicie la siguiente vez. como 5. debe importar el icono asociado para mostrarlo en la pantalla del dispositivo. Seleccione un certificado existente en la lista o elija Importar un certificado generado por una CA diferente. Compile sus cambios. Paso 10 Guarde el perfil de configuración. Guía del administrador de GlobalProtect . 2. aplicaciones basadas en web (llamados 2. 3. Si desea que la página web se muestre en pantalla completa en lugar de iniciar Safari para que muestre el contenido. 1. seleccione Pantalla completa.Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Creación de un perfil de configuración iOS (Continuación) Paso 7 Cree accesos directos a los sitios web o las 1. Los clips web son útiles para ofrecer acceso rápido a los sitios web a los que sus 4. 98 Introduzca un Nombre para el clip web que se usará con el gestor de seguridad móvil. Introduzca el Nombre de punto de acceso para la red de datos de paquete (PDN) u otro servicio. seleccione la casilla de verificación Precompuesto. clips web) para mostrarlos en la pantalla Inicio del dispositivo. borre la casilla de verificación Eliminable. Consulte las instrucciones de Importación de iconos de clip web. Nota Paso 8 Paso 9 A causa de un error conocido de iOS. sombra paralela y brillo reflectante). su Intranet o el sistema de seguimiento de errores internos. Haga clic en ACEPTAR para guardar el clip web. Seleccione la pestaña APN y después la casilla de verificación APN para habilitar el servicio en los dispositivos gestionados. 9. certificados que generó en el gestor de seguridad móvil o certificados que 3.

5. Seleccione Políticas > Configuración > iOS y haga clic en Añadir o seleccione una configuración existente a la que añadir los ajustes VPN. 2. Introduzca un Nombre de conexión para mostrarlo en el dispositivo. Creación de una configuración VPN de GlobalProtect Paso 1 Paso 2 Seleccione o añada un perfil de configuración iOS al que añadir los ajustes de configuración VPN de GlobalProtect. Guía del administrador de GlobalProtect Si se trata de un nuevo perfil de configuración. introduzca información de identificación del perfil y defina otros ajustes y restricciones de configuración como corresponda. Para una configuración simplificada de VPN de GlobalProtect en los dispositivos iOS. no asegura la conexión entre el dispositivo móvil y los servicios con los que conecta. 4. 3. Para habilitar que el cliente establezca conexiones de túnel seguras. Si desea información general sobre configuración.Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Definición de una configuración VPN de GlobalProtect Aunque el gestor de seguridad móvil de GlobalProtect le permite enviar ajustes de configuración que ofrecen acceso a sus recursos empresariales y ofrece un mecanismo para imponer restricciones a los dispositivos. Introduzca un Nombre para identificar esta configuración en el gestor de seguridad móvil. 1. Consulte Creación de un perfil de configuración iOS para obtener información detallada. consulte Creación de un perfil de configuración iOS. Defina los ajustes de conexión VPN de GlobalProtect. puede enviar los ajustes de configuración VPN de GlobalProtect al dispositivo en el perfil de configuración tal y como se describe en el siguiente procedimiento. El valor que introduzca debe coincidir con el campo CN del certificado del servidor del portal. Seleccione la pestaña VPN y haga clic en Añadir para abrir el cuadro de diálogo VPN. debe activar la compatibilidad VPN en el dispositivo. Introduzca la dirección IP o FQDN del portal de GlobalProtect en el campo Servidor. Asegúrese de que Tipo de conexión se define como Palo Alto Networks GlobalProtect. 99 .

Sin embargo. lo que permite al usuario cambiar de perfil. la configuración VPN de GlobalProtect se define como Usar guardado. se usará la Contraseña VPN que el usuario del dispositivo tenga Definida en el dispositivo. todos los perfiles que envió el gestor de seguridad móvil que no se adjuntan a la regla de política coincidente se eliminan automáticamente del dispositivo. 2. (Opcional) Por defecto. También puede especificar un nombre de usuario Fijo para todos los dispositivos que usen esta configuración o bien permitir al usuario del dispositivo definir el nombre de usuario de la cuenta seleccionando Definido en el dispositivo. cuando una política del gestor de seguridad móvil se envía a un dispositivo móvil. cancele la selección de la casilla de verificación Habilitar perfil de portal. ajustes de nombre de usuario y contraseña de cuenta VPN.Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Creación de una configuración VPN de GlobalProtect (Continuación) Paso 3 100 Especifique cómo cumplimentar los 1. seleccione Usar guardada. Para permitir que el gestor de seguridad móvil elimine los perfiles VPN de GlobalProtect. el gestor de seguridad móvil no elimina los perfiles VPN enviados al dispositivo por el portal GlobalProtect. Sin embargo. lo que le permite usar el nombre de usuario que el usuario del dispositivo proporcionó durante la inscripción. Guía del administrador de GlobalProtect . 3. si desea usar la contraseña que suministró el usuario del dispositivo cuando se autenticó durante la inscripción. Por defecto. o defina una contraseña Fija para que la usen todos los dispositivos que tengan esta configuración. Especifique dónde obtener el nombre de usuario VPN seleccionando un valor en la lista desplegable Cuenta. Por defecto.

Seleccione SCEP en el campo Credencial. Para sobrescribir los ajustes definidos en la configuración del portal. Definición de una configuración SCEP. • Para usar un certificado de cliente emitido por el gestor de seguridad móvil: Esta función es útil para evitar que los dispositivos que no gestiona el gestor de a. nombre de dominio o subred en el campo Dominio para especificar un destino de tunelización. • Seleccione la Acción correspondiente para especificar cuándo tunelizar el tráfico al Dominio especificado (siempre. Sin embargo. se recomienda crear un perfil HIP que evalúe si el dispositivo está b. puede sobrescribir la configuración del túnel del portal definiendo el ajuste de VPN bajo demanda en la configuración del gestor de seguridad móvil. Haga clic en ACEPTAR para guardar la configuración. gestionado y adjuntarlo a sus políticas de seguridad. Si especifica una Credencial en esta configuración. En esta configuración especifica un único certificado de cliente para que lo usen todos los dispositivos móviles que empleen este perfil de configuración iOS. Guía del administrador de GlobalProtect 5. Consulte Uso de información del host en la aplicación de políticas si Nota desea más información sobre la creación de políticas de seguridad HIP. o si no está usando una b. Seleccione Ninguno en el campo Credencial. seguridad móvil se conecten a la VPN de GlobalProtect. 3. Paso 5 4. (Opcional) Especifique qué tráfico de dispositivo enviar a través de VPN. seleccione la casilla de verificación VPN bajo demanda y después haga clic en Añadir para definir las excepciones como se indica: • Introduzca una dirección IP. 2.Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Creación de una configuración VPN de GlobalProtect (Continuación) Paso 4 Nota • Para usar el certificado de identidad enviado al dispositivo (Opcional) Especifique un certificado de móvil durante la inscripción: cliente para que los dispositivos móviles lo usen para autenticarse en las puertas de a. Para controlar el tráfico de dispositivos móviles no gestionados. Sin embargo. Por defecto. 1. Haga clic en ACEPTAR para guardar los ajustes de configuración VPN. puede omitir este paso. nombre de host. si rechaza las conexiones de dispositivos no gestionados perderá visibilidad de ese tráfico. asegúrese de que la configuración de cliente que el portal implementará en los dispositivos móviles correspondientes no contiene también un certificado de cliente. Seleccione Certificado y después el certificado de cliente que desea usar en la lista desplegable. cliente del portal. autenticación de certificado en sus puertas de enlace. 101 . enlace de GlobalProtect durante el • Para usar los certificados de cliente emitidos por el servidor establecimiento del túnel VPN. Paso 6 Guarde el perfil de configuración. de lo contrario el certificado de configuración del portal sobrescribirá el certificado especificado aquí. Haga clic en ACEPTAR para guardar el perfil de configuración iOS. Compile sus cambios. Importe un certificado de cliente para enviarlo a los dispositivos móviles y al gestor de seguridad móvil o generar un certificado autofirmado en el gestor de seguridad móvil. la aplicación GlobalProtect tuneliza todo el tráfico como se especifica en su configuración de cliente del portal correspondiente. Esta opción es similar a la de implementar certificados de cliente desde el portal GlobalProtect. • Repita este paso para cada destino de túnel que desee sobrescribir. nunca o a petición para permitir que el usuario final invoque manualmente la VPN). Si en su de su SCEP de la empresa: lugar desea enviar un certificado de cliente a los dispositivos desde la configuración de a.

Introduzca un Nombre para mostrar para que aparezca en la pantalla de detalles/perfiles en el dispositivo móvil. 1. certificado de CA autofirmado del gestor de seguridad móvil en función del tipo de de certificado cliente que esté usando). (Opcional) Introduzca también una Descripción para que se muestre en la pantalla Detalles del dispositivo móvil. la CA del servidor SCEP o el conexiones HTTPS. deberá crear un perfil de configuración de iOS distinto para cada uno. los usuarios de los dispositivos deberán respetar los ajustes de código de acceso que defina. seleccione la pestaña Código de acceso y seleccione la casilla de verificación Código de acceso para habilitar la restricción.Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Creación de una configuración VPN de GlobalProtect (Continuación) Paso 7 Configure las puertas de enlace para usar Complete los siguientes pasos en cada puerta de enlace: cuando el certificado cliente especificado 1. escriba un Nombre para mostrar para la configuración en la interfaz web del gestor de seguridad móvil. Introduzca un Identificador para la configuración en formato de estilo DNS inverso. Paso 2 Paso 3 Introduzca la información de identificación para la configuración. Seleccione Políticas > Configuración > Android y haga clic en Añadir. Especifique los requisitos de código de acceso de los dispositivos. Creación de un perfil de configuración Android El perfil de configuración iOS contiene los ajustes de configuración.acme. 2. Si desea obligar a los usuarios de dispositivos que reciben esta configuración a usar un código de acceso en el dispositivo. Creación de un perfil de configuración Android Paso 1 Añada un perfil de configuración. 1. 102 1. Si tiene grupos de usuarios de dispositivos iOS que necesitan acceso a diferentes servicios o distintos niveles de restricciones. 2. 2. 3. Por ejemplo. Con solo habilitar este campo obligará a usar un código de acceso de un mínimo de 4 caracteres sin imponer requisitos adicionales. Si especifica requisitos de código de acceso. así como en el informe HIP del dispositivo. como la longitud o si forzar al dispositivo a bloquearse automáticamente tras un número especificado de minutos. Importe las puertas de enlace el certificado CA raíz que se usó habilite los dispositivos móviles con esta para emitir los certificados de dispositivos móviles (el emisor del configuración para establecer las certificado de identidad. Guía del administrador de GlobalProtect . En la pestaña General. Añada el certificado de CA al perfil de certificado que se usó en la configuración de la puerta de enlace. clips web y restricciones para enviarlos a un grupo específico de dispositivos iOS. certificados.perfilAndroid. (Opcional) Especifique requisitos adicionales de código de acceso que desee aplicar. 4. si este perfil va a usarse para enviar una configuración base de iOS a los dispositivos. puede asignar a la configuración un nombre parecido a com.

En función del tipo de seguridad que seleccione. 6. 103 . seleccione Fijo e introduzca un nombre de usuario en el cuadro de texto. • Si desea asegurarse de que los datos de los dispositivos móviles están cifrados. Seleccione la pestaña Wi-Fi y haga clic en Añadir. El SSID es el nombre de difusión de la red Wi-Fi. 1. el protocolo o el certificado a usar. seleccione Fija e introduzca una contraseña en el cuadro de texto. Por defecto. suele ser un nombre fácil de recordar que permite a los usuarios identificar las redes a las que se conectan. Si no va a difundir su SSID. 7. para cambiar esto cancele la selección de la casilla de verificación Unirse automáticamente. que permiten el acceso del dispositivo a 2. seleccione la casilla de verificación Exigir cifrado de los datos almacenados. Escriba el Identificador de red (SSID) de la red inalámbrica. se mostrarán campos adicionales donde podrá indicar los ajustes necesarios para conectarse como la contraseña. cancele la selección de la casilla de verificación Permitir uso de la cámara. seleccione lo siguiente: • Nombre de usuario: La configuración usará por defecto el nombre de usuario del usuario final que se proporcionó cuando se autenticó en el gestor de seguridad móvil durante la inscripción (Usar guardado). • Contraseña: La configuración usará una contraseña que el usuario define en el dispositivo móvil (Definida en el dispositivo) por defecto. Para los tipos de seguridad que requieran credenciales de usuario final (tipos de seguridad de empresa). Paso 5 Proporcione los ajustes de configuración 1. introduzca un Nombre para identificar esta configuración Wi-Fi en el gestor de seguridad móvil. En la pestaña Seguridad seleccione el Tipo de seguridad en uso en la red inalámbrica. Para especificar un nombre de usuario diferente. En la pestaña Configuración. Seleccione la pestaña Restricciones y después la casilla de verificación Restricciones para permitir que la configuración controle lo que el usuario puede hacer con el dispositivo móvil. 5. O para especificar una contraseña diferente. 4. Si desea información detallada sobre cada campo. 2. seleccione la casilla de verificación Red oculta. Guía del administrador de GlobalProtect Haga clic en ACEPTAR para guardar la configuración. si no desea que los usuarios usen la cámara.Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Creación de un perfil de configuración Android (Continuación) Paso 4 Defina las restricciones sobre lo que el usuario puede hacer con el dispositivo. Modifique los ajustes de restricción predeterminada como desee: • Por ejemplo. una o más redes Wi-Fi. 3. los dispositivos que reciben esta configuración se unen automáticamente a la red cuando el dispositivo está en el rango. consulte la ayuda en línea. Para usar la contraseña que el usuario final proporcionó al autenticarse en el gestor de seguridad móvil durante la inscripción (Usar guardada).

aplicaciones basadas en web (llamados clips 2. como su Intranet 5. Siga el procedimiento siguiente para importar un perfil de aprovisionamiento iOS en el gestor de seguridad móvil: Importación de un perfil de aprovisionamiento iOS Paso 1 104 Obtenga los archivos de aprovisionamiento que necesita para habilitar los usuarios de dispositivos para instalar sus aplicaciones iOS desarrolladas internamente. Introduzca una Etiqueta para que el clip web se muestre en la pantalla de inicio. Antes de crear una configuración que incluya un clip web. como los perfiles de aprovisionamiento están sincronizados con iTunes. Los clips web son útiles para ofrecer acceso rápido a los sitios web a los que sus usuarios 4. aunque la política del gestor de seguridad móvil elimine el perfil. la aplicaciones seguirá ejecutándose en el dispositivo hasta que lo apague. web) para mostrarlos en la pantalla Inicio del dispositivo. Consulte las instrucciones de Importación de iconos de clip web. 2. hay algunos factores de seguridad que se deben tener en cuenta.Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Creación de un perfil de configuración Android (Continuación) Paso 6 Cree accesos directos a los sitios web o las 1. Compile sus cambios.com/business/accelerator/deploy/ Guía del administrador de GlobalProtect . Seleccione la pestaña Clips web y haga clic en Añadir. o el sistema de seguimiento de errores internos. Haga clic en ACEPTAR para guardar los ajustes de configuración que ha definido y cerrar el cuadro de diálogo Configuración de Android. Para permitir que los usuarios instalen aplicaciones desarrolladas internamente en sus dispositivos iOS. Además. Seleccione un Icono que haya importado previamente o haga clic en Icono en el menú desplegable para importar uno nuevo. importe los perfiles en el gestor de seguridad móvil e impleméntelo en los dispositivos gestionados a través de la política. 1.apple. Importación de un perfil de aprovisionamiento iOS Para evitar la propagación de aplicaciones potencialmente dañinas. Paso 7 Guarde el perfil de configuración. el perfil puede reinstalarse la siguiente vez que el usuario final sincronice el dispositivo con iTunes. iOS solo permite a los usuarios instalar aplicaciones de recursos aprobados mediante App Store. Haga clic en ACEPTAR para guardar el clip web. Escriba la URL que se cargará cuando el usuario toque el clip web. Si desea más información sobre cómo crear perfiles de aprovisionamiento e implementar aplicaciones desarrolladas a nivel interno. móviles necesitan acceder. Para simplificar el proceso de distribución de perfiles de implementación. debe importar el 6. Cuando revoque el acceso a una aplicación habilitada a través de un perfil de aprovisionamiento. 3. Introduzca un Nombre para el clip web que se usará con el gestor de seguridad móvil. icono asociado para mostrarlo en la pantalla del dispositivo. Aunque el gestor de seguridad móvil simplifica la implementación de perfiles de aprovisionamiento en un gran número de dispositivos móviles. debe obtener un perfil de aprovisionamiento en el programa Programa empresarial de desarrolladores de iOS (iDEP). Después podrá implementar el perfil de aprovisionamiento a los dispositivos finales autorizados para permitirles instalar la aplicación. vaya a la siguiente URL: http://www.

Definición de una configuración SCEP El protocolo de inscripción de certificados simple (SCEP) ofrece un mecanismo para emitir certificados a un gran número de dispositivos iOS. En el gestor de seguridad móvil. También puede habilitar la autenticación SSL mutua entre el servidor SCEP y el gestor de seguridad móvil seleccionando un Certificado de cliente. certificados de identidad a dispositivos iOS. ya sea para usarla en la inscripción de gestor de seguridad móvil o con otras configuraciones iOS. 2. También la configuración SCEP que envía al deberá definir el valor del registro UseSinglePassword del servidor dispositivo móvil y el dispositivo lo usa para SCEP para forzarle a usar una contraseña única para todas las autenticarse en el servidor SCEP. impórtelo al gestor de seguridad móvil. deberá seleccionar el Certificado de CA raíz del servidor SCEP. Seleccione Políticas > Configuración > Perfiles de aprovisionamiento iOS y haga clic en Añadir. También puede usar el protocolo SCEP para obtener los certificados necesarios para otras configuraciones. inscripciones de certificados de cliente. • Dinámica: El gestor de seguridad móvil obtiene una OTP única del servidor SCEP para cada dispositivo móvil durante la inscripción usando un intercambio desafío-respuesta NTLM entre los dos servidores. puede seleccionar la casilla de verificación SSL para exigir una conexión HTTPS para la solicitud de desafío. Seleccione una de las siguientes opciones de Desafío SCEP: Especifique el tipo de desafío que se va a usar. Use el siguiente procedimiento para crear una configuración SCEP. Guía del administrador de GlobalProtect 105 . Seleccione Políticas > Configuración > SCEP y haga clic en Añadir. Haga clic en Compilar. 1. Introduzca un Nombre para identificar la CA. Si habilita el SSL. puede habilitar SCEP para identificar los certificados de identidad a los dispositivos durante el proceso de inscripción. El nombre de archivo y ruta aparecen en el campo Archivo. 4. El que se usa para todos los dispositivos móviles. Definición de una configuración SCEP Paso 1 Paso 2 1. Además. Haga clic en ACEPTAR. Si selecciona esta opción deberá configurar la Ruta del servidor donde el gestor de seguridad móvil puede conectarse con el servidor SCEP e introducir las credenciales que deberá usar para iniciar sesión. como CA_inscripción. Este nombre distingue esta instancia de SCEP de otras instancias que puede usar en los perfiles de configuración. El desafío es una contraseña de un solo • Ninguna: El servidor SCEP emite el certificado sin una OTP. 3. Seleccione Examinar y vaya hasta la ubicación del perfil de aprovisionamiento y haga clic en Abrir. Obtenga la OTP desde gestor de seguridad móvil incluye la OTP en el servidor SCEP e introdúzcala en el cuadro de texto. Introduzca un Nombre para el perfil. Guarde sus cambios.Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Importación de un perfil de aprovisionamiento iOS (Continuación) Paso 2 Paso 3 Cuando haya firmado su perfil de aprovisionamiento. Configure el gestor de seguridad móvil para que se integre con un servidor SCEP de empresa existente para emitir 2. uso (OTP) que comparten el gestor de • Fija: El gestor de seguridad móvil proporcionará una OTP estática seguridad móvil y el servidor SCEP.

o uniformResourceIdentifier. 1. 2. 2.CN=$USERNAME. Cuando el gestor de seguridad móvil envíe los ajustes de SCEP al dispositivo. • CN estático: El nombre común que especifique no se usará como asunto para todos los certificados que emita el servidor SCEP. Introduzca una cadena (hasta 255 caracteres de longitud) para identificar el servidor SCEP en el campo Nombre CA-IDENT. Introduzca uno de los tokens admitidos $USERNAME o $UDID en lugar de la parte de CN del nombre de asunto. dnsName. Escriba un nombre de Asunto para los certificados generados por el servidor SCEP. Compile sus cambios. La Huella digital debe coincidir con el valor de Huella digital del servidor SCEP. • Nombre principal NT: Objeto de usuario para el dispositivo que se puede usar para igualar el certificado de usuario con una cuenta.dll 2. Paso 5 106 Guarde el perfil SCEP. http://<nombrehost>/certsrv/mscep_admin/mscep. Especifique la URL de servidor que el dispositivo móvil debe usar para llegar al servidor SCEP. • Valor de nombre alternativo del asunto: El valor SAN que se desea incluir en el certificado. Paso 4 Especifique los atributos de los certificados 1. Guía del administrador de GlobalProtect . 3. SCEP. la parte de CN del nombre de asunto se sustituirá por el UDID del dispositivo o nombre de usuario real del propietario del certificado. Por ejemplo. en el formato especificado anteriormente. (Opcional) Si el dispositivo móvil va a obtener su certificado a través de HTTP.Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Definición de una configuración SCEP (Continuación) Paso 3 Especifique cómo conectar con el servidor 1. Por ejemplo. Haga clic en ACEPTAR para guardar los ajustes de configuración que ha definido y cerrar el cuadro de diálogo Configuración iOS. O=acme. introduzca la Huella digital (SHA1 o MD5) del certificado de CA del dispositivo que se usará para autenticar el servidor SCEP. que se deben generar. especifique el formato del SAN seleccionando uno de los siguientes valores: rfc822Name.CN=$USERNAME. O=acme. (Opcional) Defina las extensiones de certificado que desee incluir en los certificados: • Tipo de nombre alternativo del asunto: Si planifica suministrar un nombre alternativo del asunto (SAN). Por ejemplo. Este método garantiza que cada certificado que genere el servidor SCEP es único para el usuario o dispositivo específico. Hay dos formas de especificar el CN: • (Recomendada) CN basado en token. El nombre de asunto debe ser un nombre distinguido en el formato <atributo>=<valor> y debe incluir la clave de nombre común (CN). Defina el Tamaño de clave para que coincida con el tamaño de clave definido en la plantilla de certificado del servidor SCEP. 4.

Especifique a qué usuarios de dispositivos móviles desea implementar esta configuración. Antes de poder crear reglas de políticas para implementar las configuraciones en usuarios o grupos especificados. podría modificar la Paso 4 las instrucciones sobre cómo política de implementación para enviar las ordenar la lista de reglas. si tiene múltiples configuraciones. Perfiles HIP de la ventana y después seleccione un perfil HIP. implementaciones a los usuarios móviles. Escriba un Nombre descriptivo para identificar la regla de política. Seleccione Políticas > Políticas y haga clic en Añadir 2. 1.Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Creación de políticas de implementación Cuando un dispositivo se ha inscrito y registrado con éxito. el gestor de seguridad móvil usa el nombre de usuario del usuario del dispositivo o los datos HIP de los que se ha información para crear una política de implementación. correctamente. En cuanto el gestor de Considere crear al principio una configuración que se seguridad móvil encuentre una coincidencia aplique solo a los usuarios de su grupo de TI para que distribuirá la configuración. Repita este paso para cada usuario/grupo que desee añadir. haga clic en Añadir en la sección implementar en un dispositivo en el registro. Así. Hay dos formas de especificar qué dispositivos gestionados recibirán la configuración: por nombre de usuario/grupo o por coincidencia HIP. Creación de políticas de implementación Paso 1 Paso 2 Nota Cree una nueva regla de política. Así. Consulte en detenidamente la configuración. haga clic en Añadir en la sección Usuario de la ventana y después seleccione el usuario o grupo que desea que reciba esta configuración en la lista desplegable. El gestor de seguridad móvil usa los ajustes de Usuarios/Perfiles HIP que especifique • Para implementar esta configuración en dispositivos que coincidan para determinar qué configuración con un perfil HIP específico. Cuando haya probado preceder a las más generales. Seleccione la pestaña Usuarios/Perfiles HIP y especifique cómo determinar una coincidencia de configuración para esta regla de política: • Para implementar esta configuración en un usuario o grupo específicos. Guía del administrador de GlobalProtect 107 . deberá configurar el gestor de seguridad móvil para acceder a su directorio de usuario como se describe en Integración del gestor de seguridad móvil con su directorio LDAP. las puedan inscribirse en el gestor de seguridad móvil y probar configuraciones más específicas deberán las políticas de implementación. Nota Es recomendable probar sus políticas de implementación deberá asegurarse de ordenarlas antes de enviarlas a toda la base de usuarios móviles.

Definición de políticas de implementación

Configuración del gestor de seguridad
móvil de GlobalProtect

Creación de políticas de implementación (Continuación)

Paso 3

1.
Especifique los perfiles de configuración
que se deben implementar en los
dispositivos que coincidan con los criterios
de perfil de usuario/HIP definidos.

Adjunte los perfiles de configuración en la regla de política. Si su
regla está diseñada para coincidir con dispositivos iOS y Android,
debe adjuntar perfiles de configuración distintos de la siguiente
forma:
• Para añadir un perfil de configuración de iOS o un perfil de
aprovisionamiento de iOS, haga clic en Añadir en la sección iOS
y, a continuación, seleccione el perfil que debe añadir. Repita este
paso con cada perfil de iOS que se deba implementar en los
dispositivos que coincidan con esta regla.
• Para añadir un perfil de configuración de Android, haga clic en
Añadir en la sección Android y, a continuación, seleccione el
perfil para añadir a la regla. Repita este paso con cada perfil de
configuración que se deba implementar en los dispositivos que
coincidan con esta regla.

Paso 4

Prepare las reglas de política de
implementación para que la configuración
correcta se implemente en todos los
dispositivos al realizar el registro.

2.

Haga clic en ACEPTAR para guardar la regla de política.

3.

Repita del Paso 1 al Paso 3 con cada regla de política que necesite.

• Para subir una regla de política de implementación en la lista de reglas,
selecciónela y haga clic en Mover hacia arriba.
• Para bajar una regla de política de implementación en la lista de reglas,
selecciónela y haga clic en Mover hacia abajo.

Cuando un dispositivo se registra, el gestor
de seguridad móvil comparará el nombre de
usuario y los datos HIP que el dispositivo ha
proporcionado con las políticas que ha
definido. Como con la evaluación de la regla
de seguridad en el cortafuegos, el gestor de
seguridad móvil busca una coincidencia
empezando por la parte superior de la lista.
Cuando encuentra una coincidencia, aplica
las configuraciones correspondientes en el
dispositivo.
Paso 5

108

Guarde las reglas de política de
implementación.

Compile sus cambios.

Guía del administrador de GlobalProtect

Configuración del gestor de seguridad
móvil de GlobalProtect

Verificación de la configuración del gestor de seguridad móvil

Verificación de la configuración del gestor de seguridad móvil
Una vez terminada la configuración del gestor de seguridad móvil (configurar la interfaz de registro del dispositivo,
habilitar la inscripción y definir la configuración y los perfiles de implementación) y la configuración del portal de
GlobalProtect con la URL para la interfaz de registro del dispositivo, debe comprobar que puede inscribir
correctamente un dispositivo y que el perfil del gestor de seguridad móvil se ha instalado y aplicado correctamente.
Compruebe la configuración del gestor de seguridad móvil

Paso 1

Paso 2

Configure las políticas de implementación
que se enviarán a los usuarios de prueba.

Descargue e instale la aplicación de
GlobalProtect y acceda al portal de
GlobalProtect.

Se recomienda empezar a implementar las políticas en un grupo
reducido de usuarios, como por ejemplo los administradores del
departamento de TI responsables de la administración del gestor de
seguridad móvil:
1. Seleccione Políticas > Políticas y seleccione la política de
implementación que se debe editar.
2.

En la pestaña Usuarios/Perfiles HIP, haga clic en Añadir en la
sección Usuario/grupo de usuarios y, a continuación, seleccione
el usuario o grupo que probará la política.

3.

(Opcional) Seleccione la regla de política de implementación
que acaba de crear/modificar y haga clic en Mover hacia arriba
para que quede por encima de cualquier regla más genérica que
acabe de crear.

4.

Compile los cambios.

1.

Descargue la aplicación.
• En dispositivos Android, descargue la aplicación en
Google Play.
• En dispositivos iOS, descargue la aplicación de App Store.

2.

Toque el icono de GlobalProtect en la pantalla Inicio para iniciar
la aplicación.

3.

Toque ACEPTAR para habilitar las funciones de VPN en el
dispositivo.

4.

En la pantalla Configuración de GlobalProtect, introduzca el
nombre o dirección del portal, nombre de usuario y
contraseña y, a continuación, toque Conectar. El nombre del
portal introducido debe ser un nombre de dominio completo
(FQDN) y no incluirá https:// al principio.
Si el gestor de seguridad móvil se ha configurado en el portal, el
dispositivo se redirigirá automáticamente a la pantalla de
inscripción después de que se autentique con éxito en el portal.

Nota

Guía del administrador de GlobalProtect

Para completar el proceso de inscripción el dispositivo
móvil debe contar con conexión a Internet.

109

Verificación de la configuración del gestor de seguridad móvil

Configuración del gestor de seguridad
móvil de GlobalProtect

Compruebe la configuración del gestor de seguridad móvil (Continuación)

Paso 3

Paso 4

Inscriba el dispositivo móvil en el gestor 1.
de seguridad móvil de GlobalProtect.

Compruebe que los perfiles de
configuración que esperaba se han
aplicado en el dispositivo.

Cuando se le solicite inscribirse en la gestión de dispositivos
móviles de GlobalProtect, toque Inscripción.

2.

Cuando se le solicite recibir notificaciones push desde
GlobalProtect, toque ACEPTAR.

3.

Si el certificado de la interfaz de comprobación de dispositivos
no lo emitió una CA de confianza, debe instalar el certificado
de CA para continuar con la inscripción. Si tiene un código de
acceso en el dispositivo, debe introducirlo para poder instalar el
certificado.

4.

En la pantalla Instalar perfil, toque Instalar para instalar el perfil
y, a continuación, toque Instalar ahora para confirmar que la
inscripción cambiará la configuración del iPad. Si tiene un
código de acceso en el dispositivo, debe introducirlo para poder
instalar el perfil. En la pantalla de advertencia, toque Instalar
para continuar.

5.

Cuando el perfil se haya instalado correctamente, toque Listo.
Si está recopilando información de ubicación de GPS, la
aplicación le pedirá que permita a GlobalProtect utilizar su
ubicación actual.

Por ejemplo:
• Si ha aplicado el requisito del código de acceso en el dispositivo,
se le pedirá que establezca una nueva contraseña en 60 minutos.
Toque Continuar para cambiar/establecer el código de acceso.
Introduzca el código de acceso actual, escriba el nuevo código de
acceso cuando se le solicite y, a continuación, toque Guardar.
El cuadro de diálogo debe mostrar cualquier requisito que deba
cumplir el nuevo código de acceso.
• Si ha aplicado la configuración Exchange Active Sync en el
dispositivo, compruebe que puede conectar al servidor Exchange
y enviar y recibir correo electrónico.
• Si ha aplicado una configuración VPN de GlobalProtect,
compruebe que el dispositivo puede establecer una conexión
VPN.
• Pruebe cualquier clip web que haya aplicado en el dispositivo y
compruebe que puede conectarse a las URL asociadas.
• Si ha aplicado restricciones en el dispositivo, compruebe que no
puede realizar las acciones restringidas.

110

Guía del administrador de GlobalProtect

111 . Compruebe que recibe el mensaje en el dispositivo. 3. Haga clic en Mensaje e introduzca el texto que se debe enviar al dispositivo en Cuerpo del mensaje y. Guía del administrador de GlobalProtect 1. 2.Configuración del gestor de seguridad móvil de GlobalProtect Verificación de la configuración del gestor de seguridad móvil Compruebe la configuración del gestor de seguridad móvil (Continuación) Paso 5 Paso 6 En el gestor de seguridad móvil. haga clic en ACEPTAR. compruebe que las notificaciones push funcionan. Envíe las políticas al resto de su base de usuarios. Después de verificar que las políticas y configuración de su gestor de seguridad móvil funcionan como se esperaba. actualice las políticas para implementar el resto de su base de usuarios. Seleccione Dispositivos y busque y seleccione su dispositivo en la lista. a continuación.

pero las funciones de autenticación se derivan a un servicio LDAP. El acceso administrativo se configura en dos pasos:  Configuración de la autenticación administrativa  Creación de una cuenta administrativa Configuración de la autenticación administrativa Hay tres formas de autenticar a usuarios administrativos:  Cuenta de administrador local con autenticación local: tanto las credenciales de la cuenta de administrador como los mecanismos de autenticación son locales para el dispositivo. Es recomendable que cree una cuenta administrativa diferente para cada persona que necesite acceder a las funciones de administración o informes del dispositivo. Puede añadir un nivel de protección adicional a la cuenta del administrador local creando un perfil de contraseña que defina un período de validez para las contraseñas y estableciendo ajustes de complejidad de la contraseña para todo el dispositivo. antes debe crear un perfil de autenticación que defina el modo de acceso al servicio de autenticación externa y después crear una cuenta para cada administrador que haga referencia al perfil. que proporciona acceso completo de lectura-escritura (también conocido como acceso de superusuario) al dispositivo. Consulte Creación de un perfil de autenticación para obtener instrucciones sobre cómo configurar el acceso a servicios de autenticación externos. Kerberos o RADIUS existente. Kerberos o LDAP. puede crear las cuentas de administrador en el dispositivo. Consulte Activación de la autenticación basada en certificado para la interfaz web o Activación de la autenticación basada en certificado de SSH para la interfaz de la línea de comandos para ver las instrucciones.  Cuenta de administrador local con autenticación basada en certificado: con esta opción. Creación de un perfil de autenticación Un perfil de autenticación especifica el servicio de autenticación que valida las credenciales del administrador y define cómo acceder a dicho servicio.  Cuenta de administrador local con autenticación externa: las cuentas de administrador se gestionan en el cortafuegos local. Esto evita la configuración no autorizada (o modificación) y permite el registro de acciones de cada uno de los administradores. Debe crear un perfil de servidor en primer lugar para que el gestor de seguridad móvil pueda acceder a un servidor de autenticación RADIUS. el gestor de seguridad móvil de GlobalProtect viene preconfigurado con una cuenta administrativa predeterminada (admin). Para configurar este tipo de cuenta.Configuración del acceso administrativo en el gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso administrativo en el gestor de seguridad móvil De forma predeterminada. Continúe a Creación de una cuenta administrativa. pero la autenticación se basa en certificados SSH (para acceso a CLI) o certificados de cliente/tarjetas de acceso común (para la interfaz web). Con este tipo de cuenta no necesita realizar ninguna tarea de configuración para poder crear la cuenta administrativa. 112 Guía del administrador de GlobalProtect .

Cree un perfil de autenticación. Haga clic en Añadir y. Activación de la autenticación basada en certificado Paso 1 Genere un certificado de CA en el gestor de Para generar un certificado de CA en el gestor de seguridad móvil: seguridad móvil. 4. En el menú desplegable Autenticación. 5. móvil para que confíe en los certificados de cliente que genera. 2.Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso administrativo en el gestor de seguridad móvil Creación de un perfil de autenticación Paso 1 Paso 2 Paso 3 Cree un perfil de servidor que defina cómo conectar con el servidor de autenticación. puede cambiar los ajustes criptográficos y definir las opciones de certificados como el país. Utilice las siguientes instrucciones para activar la autenticación basada en certificado. Introduzca un nombre de usuario para identificar un perfil de autenticación. 1. a continuación. 1. Seleccione Configuración > Perfil de autenticación y. consulte la ayuda en línea. Asegúrese de dejar en blanco la opción Firmado por y seleccionar la opción Autoridad del certificado. Guía del administrador de GlobalProtect Seleccione Configuración > Gestión de certificados > Certificados y haga clic en Generar. RADIUS o Kerberos). Seleccione la casilla de verificación Únicamente uso de administrador. a continuación. Haga clic en Compilar. 113 . la organización. 1. 4. a continuación. seleccione el tipo de autenticación que utilizará. 4. Haga clic en Añadir para añadir una nueva entrada de servidor e introduzca la información necesaria para conectarse al servicio. introduzca un Nombre para el perfil. en lugar de una contraseña. Haga clic en Generar para crear el certificado usando los detalles especificados anteriormente. 5. Compile los cambios. 2. si corresponde. haga clic en Añadir. Activación de la autenticación basada en certificado para la interfaz web Una alternativa más segura al uso de contraseña para autenticar a un usuario administrativo es activar la autenticación basada en certificado para asegurar el acceso al gestor de seguridad móvil. Inicie sesión en la interfaz web del gestor de seguridad móvil. 3. Con la autenticación basada en certificado se intercambia y verifica una firma. Nota Si desea utilizar certificados de un tercero de 2. Introduzca un nombre de certificado y añada la dirección IP o FQDN que necesita que aparezca en el certificado del campo Nombre común. etc. el estado. Haga clic en ACEPTAR para guardar el perfil de servidor. 3. Para obtener detalles sobre los valores de campo necesarios para cada tipo de servicio. Seleccione Configuración > Perfiles de servidor y. Seleccione el Perfil de servidor que creó en el Paso 1. Opcionalmente. seleccione el tipo de servicio de autenticación al que conectarse (LDAP. confianza o CA de empresa. debe importar el certificado de CA al gestor de seguridad 3.

En la pestaña Configuración > Configuración.Configuración del acceso administrativo en el gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Activación de la autenticación basada en certificado (Continuación) Paso 2 Cree el perfil del certificado que se utilizará 1. 3. Introduzca un nombre para el perfil del certificado y en Campo de nombre de usuario seleccione Asunto. Cree o modifique una cuenta de 1. Seleccione la función que se asignará a este administrador. Paso 3 Paso 4 Configure el gestor de seguridad móvil para 1. (Opcional) Para funciones personalizadas. 3. administrador para activar el certificado del cliente en la cuenta. 2. para asegurar el acceso a la interfaz web. el nombre distingue entre mayúsculas y minúsculas. Seleccione Configuración > Administradores y. Haga clic en ACEPTAR para guardar los cambios. Puede seleccionar una de las funciones dinámicas predefinidas o seleccionar una función personalizada y adjuntar un perfil de autenticación que especifique los privilegios de acceso para este administrador. 6. Haga clic en ACEPTAR para guardar los ajustes de la cuenta. Introduzca un nombre de inicio de sesión para el administrador. Guía del administrador de GlobalProtect . 3. en el menú desplegable Certificado de CA. haga clic en Añadir. Seleccione Utilizar únicamente el certificado de autenticación de cliente (web) para activar el uso del certificado para la autenticación. seleccione el certificado de CA creado en el Paso 1. Seleccione Configuración > Gestión de certificados > Perfil del certificado y haga clic en Añadir. las plantillas y el contexto del dispositivo que el usuario administrativo puede modificar. seleccione los grupos de dispositivos. 5. 114 4. a continuación. 2. seleccione el perfil del certificado del cliente creado en el Paso 2. En el campo Perfil del certificado. haga clic en el icono Editar de la sección Configuración de autenticación de la pantalla. 2. que utilice el perfil de certificado del cliente para la autenticación administrativa. Seleccione Añadir en la sección de certificados de CA y.

2. Haga clic en ACEPTAR para exportar el certificado. En el campo Nombre común. Introduzca una frase de contraseña para cifrar la clave privada y confirmar la entrada. seleccione el certificado cliente que ha importado en el Paso 7. Añada el certificado a la lista de excepciones e inicie sesión en la interfaz web del gestor de seguridad móvil. Seleccione el certificado que acaba de crear y haga clic en Exportar. a. 3. Haga clic en Compilar. a. seleccione el mismo certificado de CA creado en el Paso 1. en Firefox: 1. introduzca el nombre del administrador para el que está generando el certificado. 2. d. Utilice el certificado de CA para generar un certificado de cliente para cada uno de los usuarios administrativos. Paso 6 Guarde sus cambios de configuración. En el campo Firmado por. d. 4. Haga clic en Generar para crear el certificado usando los detalles especificados anteriormente. Seleccione el menú Herramientas > Opciones > Avanzado. se utilizará para autenticar un administrador. seleccione PKCS12 como formato de archivo. c. Para cifrar la clave privada. Seleccione Configuración > Gestión de certificados > Certificados y haga clic en Generar. Guía del administrador de GlobalProtect 115 . Acceda a la dirección IP o nombre de host del gestor de seguridad móvil. c. Seleccione la pestaña Sus certificados y haga clic en Importar. 3. Inicie sesión en la interfaz web del gestor de 1. 2. Paso 7 Paso 8 Importe el certificado del cliente del administrador en el navegador web del cliente que el administrador utilizará para acceder a la interfaz web del gestor de seguridad móvil. Aparecerá una advertencia de certificación.Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso administrativo en el gestor de seguridad móvil Activación de la autenticación basada en certificado (Continuación) Paso 5 Cree y exporte el certificado del cliente que 1. Se cerrará su sesión de la interfaz web. Acceda a la ubicación en la que ha guardado el certificado del cliente. b. Por ejemplo. seguridad móvil. Cuando se le solicite. b. La sintaxis del nombre debe coincidir con el formato usado por el mecanismo de autenticación local o externo. Exporte el certificado del cliente que acaba de generar. Cuando se le solicite. Haga clic en el botón Ver certificados. introduzca la frase de contraseña para descifrar la clave privada.

Seleccione Configuración > Administradores y. 3. 2. Seleccione la función que se asignará a este administrador. Asegúrese de introducir una contraseña fuerte o compleja y guárdela en un lugar seguro. 4. Paso 3 Compile los cambios. La clave pública y la privada son dos archivos diferentes. Para saber los comandos necesarios para generar el par de claves. 5. Haga clic en ACEPTAR para guardar la cuenta. consulte la documentación del producto para el cliente de SSH. 1. introduzca una frase de contraseña para cifrar la clave privada. Introduzca un nombre y contraseña para el administrador. Haga clic en Compilar. solo se le pedirá en caso de que los certificados estén dañados o que se produzca un fallo del sistema. Tendrá que configurar una contraseña. Para una mayor seguridad.Configuración del acceso administrativo en el gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Activación de la autenticación basada en certificado de SSH para la interfaz de la línea de comandos Para habilitar la autenticación basada en certificados de SSH. Puede seleccionar una de las funciones dinámicas predefinidas o un perfil basado en función personalizado. a continuación. Habilite Utilizar autenticación de clave pública (SSH). 2. complete el siguiente flujo de trabajo para cada usuario administrativo: Habilitación de la autenticación de SSH (basada en clave pública) Paso 1 Utilice una herramienta de generación de claves de SSH para crear un par de claves asimétricas en la máquina cliente. Haga clic en Importar clave y acceda a la clave pública que guardó en el Paso 1 para importarla. haga clic en Añadir. Vuelva a iniciar sesión en la CLI del gestor de seguridad móvil. Paso 2 Cree una cuenta para el administrador y permita la autenticación basada en certificado. 6. 116 Guía del administrador de GlobalProtect . Paso 4 Compruebe que el cliente SSH utiliza su clave privada para autenticar la clave pública presentada por el gestor de seguridad móvil. 7. Los formatos de clave admitidos son: IETF SECSH y Open SSH. Configure el cliente SSH para utilizar la clave privada para autenticar en el gestor de seguridad móvil. (Opcional) Seleccione un Perfil de autenticación. los algoritmos admitidos son: DSA (1024 bits) y RSA (768-4096 bits). Se le solicitará este código de acceso cuando inicie sesión en el gestor de seguridad móvil. guárdelos ambos en una ubicación a la que el gestor de seguridad móvil pueda acceder. 1.

Deshabilitar ) para cada web. especifique el tipo de acceso que permitirá a la CLI: superuser. Tenga en cuenta que con los perfiles de función de administrador deberá actualizar los perfiles para asignar privilegios de forma explícita para nuevos componentes/características que se añadan al producto. cree los perfiles que definan continuación. Se recomienda restringir la acción de borrado de dispositivo a solo uno o dos administradores muy familiarizados con el gestor de seguridad móvil para garantizar que los dispositivos de usuarios finales no se borran por accidente. haga clic en Añadir. logs e informes. a dinámicas. El siguiente ejemplo muestra el modo de crear una cuenta de administrador local con autenticación local: Creación de una cuenta administrativa Paso 1 Si pretende usar perfiles de funciones de Complete los siguientes pasos para cada función que desee crear: administrador en lugar de funciones 1. Se pueden asignar dos tipos de funciones:  Funciones dinámicas: Funciones integradas que proporcionan acceso como superusuario. ya que se añaden nuevas características cuando las funciones se actualizan automáticamente. Cuando cree una cuenta deberá definir cómo autenticar al usuario. Por ejemplo. superreader. CLI y API XML para cada área funcional de la interfaz haciendo clic en el icono para administrador asignado a la función. 117 . Además. deberá especificar un rol para el administrador. En la pestaña Línea de comandos. de haberlo. Una función define el tipo de acceso al sistema que tiene el administrador asociado. Guía del administrador de GlobalProtect 3.Solo lectura . 4. qué tipo de acceso.Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso administrativo en el gestor de seguridad móvil Creación de una cuenta administrativa Cuando haya definido los mecanismos de autenticación de los usuarios administrativos deberá crear una cuenta para cada administrador. Seleccione Configuración > Funciones de administrador y. CLI o API XML. se dará a 2. En las pestañas UI Web o API XML. cambiar al ajuste deseado. Introduzca un nombre para el perfil y haga clic en ACEPTAR para guardarlo.  Perfiles de función de administrador: Le permiten crear sus propias definiciones de función para ofrecer un control de acceso más granular a las diversas áreas funcionales de la interfaz web. Con las funciones dinámicas solo tendrá que preocuparse de actualizar las definiciones de función. podría crear un perfil de función de administrador para su personal de operaciones que proporcione acceso a las áreas de configuración de red y dispositivo de la interfaz web y un perfil separado para los administradores de seguridad que proporcione acceso a la definición de política de seguridad. deviceadmin. devicereader o Ninguno para deshabilitar por completo el acceso a la CLI. establezca los niveles de las diferentes secciones de la interfaz acceso (Habilitar . superusuario (de solo lectura) o administrador de dispositivos al gestor de seguridad móvil.

lo que obligará a los administradores a crear contraseñas más difíciles de adivinar o evitar. haga clic en Añadir. haga clic en el icono Editar de la sección Complejidad de contraseña mínima. Haga clic en ACEPTAR para guardar la cuenta. Seleccione la función que se asignará a este administrador.Configuración del acceso administrativo en el gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Creación de una cuenta administrativa (Continuación) Paso 2 (Opcional) Establezca requisitos para contraseñas definidas por usuarios locales. 4. Haga clic en Compilar. Paso 4 118 Compile los cambios. a continuación. Para crear un perfil de contraseña. Para configurar los ajustes. A diferencia de los perfiles de contraseña. Paso 3 Cree una cuenta para cada administrador. que se pueden aplicar a cuentas individuales. estas reglas son para todo el dispositivo y se aplican a todas las contraseñas. que solo será obligatorio en caso de que los certificados se dañen o se produzca un fallo del sistema. • Para usar la autenticación basada en certificados/clave. 1. introduzca una Contraseña y después repítala en el campo Confirmar contraseña. 5. seleccione Configuración > Ajustes > Gestión y. seleccione Configuración > Perfiles de la contraseña y haga clic en Añadir. Especifique cómo autenticar el administrador: • Para usar la autenticación local. seleccione la casilla de verificación Utilizar únicamente el certificado de autenticación de cliente (web) para acceder a la interfaz web y seleccione Utilizar autenticación de clave pública (SSH) para acceder a la CLI. • Para usar la autenticación externa seleccione un Perfil de autenticación. Puede seleccionar una de las funciones dinámicas predefinidas o un perfil basado en función personalizado si ha creado uno en Paso 1. Seleccione Configuración > Administradores y. 6. Puede crear varios perfiles de contraseña y aplicarlos a las cuentas de administrador según sea necesario para imponer la seguridad deseada. 2. a continuación. También deberá introducir un valor en Contraseña. Guía del administrador de GlobalProtect . Introduzca un nombre para el administrador. (Opcional) Seleccione un perfil de contraseña. • Configurar ajustes de complejidad mínima de la contraseña: Defina reglas que rijan la complejidad de la contraseña. 3. • Crear perfiles de contraseña: Defina la frecuencia con que los administradores deberán cambiar sus contraseñas.

también puede usar el gestor de seguridad móvil para resolver las infracciones de seguridad interaccionando con el dispositivo afectado. si un usuario final pierde su dispositivo. Por ejemplo.  Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos  Supervisión de dispositivos móviles  Administración de dispositivos remotos  Creación de políticas de seguridad para aplicación de tráfico de dispositivos móviles Guía del administrador de GlobalProtect 119 . puede alojar la información que el dispositivo remite al gestor de seguridad móvil para aplicar las políticas de seguridad de acceso a aplicaciones a través de la puerta de enlace de GlobalProtect y usar las herramientas de supervisión integradas en el cortafuegos de próxima generación de Palo Alto para supervisar el tráfico del dispositivo móvil y el uso de aplicaciones. En este capítulo se describe cómo gestionar los dispositivos móviles desde el gestor de seguridad móvil y cómo integrar la información obtenida por el gestor de seguridad móvil en su infraestructura de seguridad existente. Aunque el el gestor de seguridad móvil de GlobalProtect simplifica la administración de los dispositivos móviles y le permite implementar automáticamente los ajustes de su configuración de cuenta de empresa a los dispositivos que cumplen las normas. si el usuario final informa de la pérdida o sustracción del dispositivo. puede bloquearlo de forma remota a través del gestor de seguridad móvil o incluso borrar toda o parte de la información del dispositivo. al integrarlo con su infraestructura VPN de GlobalProtect ya existente. puede supervisar los dispositivos y garantizar que su mantenimiento se realiza conforme a sus normas para proteger los recursos de su empresa y sus normas de integridad de datos. Además de las funciones de aprovisionamiento de cuentas y gestión remota del dispositivo que ofrece el gestor de seguridad móvil. O bien.Gestión de dispositivos móviles Una vez inscritos los usuarios de dispositivos móviles en el gestor de seguridad móvil de GlobalProtect. puede enviar una solicitud al dispositivo mediante OTA (over-the-air) para que emita una alarma que le facilite la búsqueda al usuario. De este modo se logra proteger tanto la información de la empresa con la información personal del usuario final.

lo cual ofrece posibilidades infinitas de agrupar los dispositivos gestionados para la implementación de la configuración. esta se incluye en el perfil de información del host (HIP) para el dispositivo. incluidos los caracteres especiales) que describa el uso previsto para esta etiqueta. El nombre introducido será el que hará coincidir cuando cree objetos / perfiles HIP para implementaciones o políticas de seguridad. puede crear perfiles HIP en la puerta de enlace que le permitan aplicar la política de seguridad basada en el valor de la etiqueta. Introduzca un Nombre descriptivo para la etiqueta. puede crear las etiquetas en el gestor de seguridad móvil y luego asignarlas a los dispositivos tras la inscripción. puede asignar una etiqueta a los dispositivos aprobados y. como se describe en el siguiente flujo de trabajo: Creación de etiquetas y asignación a los dispositivos gestionados Paso 1 120 Defina las etiquetas que necesita para supervisar dispositivos. A continuación. haga clic en Añadir. 4. crear un perfil HIP para enviar la política solo a los dispositivos con la etiqueta de aprobación. Por ejemplo. Haga clic en ACEPTAR para guardar la etiqueta. interaccionar con OTA (p. para enviar una nueva política o un mensaje). 1. puede crear objetos HIP que coincidan con etiquetas específicas. (Opcional) Introduzca un comentario (hasta 63 caracteres alfanuméricos. a continuación. 2..Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos Gestión de dispositivos móviles Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos Una etiqueta es una marca de texto que puede asignar a un dispositivo móvil gestionado para simplificar la administración de dispositivos habilitando su agrupación. 3. enviar políticas de implementación o aplicar políticas de seguridad en la puerta de enlace de GlobalProtect. a continuación. ej. le proporcionan un mecanismo flexible para lograr cualquier tipo de aprovisionamiento de dispositivos o aplicaciones de seguridad que le puedan hacer falta. Guía del administrador de GlobalProtect . O bien. Después de asignar una etiqueta a un dispositivo. Puesto que puede crear las etiquetas manualmente. Seleccione Configuración > Etiquetas y. si quiere tener la capacidad de aprobar dispositivos antes de aplicarles la política. Hay dos formas diferentes de asignar etiquetas a dispositivos móviles:  Etiquetar dispositivos manualmente  Preetiquetado de dispositivos Etiquetar dispositivos manualmente Para etiquetar dispositivos manualmente. puede crear etiquetas para distinguir dispositivos personales de dispositivos de la empresa. Dado que el perfil HIP también se comparte con la puerta de enlace de GlobalProtect. Las etiquetas que defina servirán para identificar un grupo de dispositivos al que se aplicarán las mismas políticas.

busque las etiquetas que quiere asociar a los dispositivos seleccionados haciendo clic en para añadir cada etiqueta a la lista de etiquetas asociadas con los dispositivos seleccionados. 4. Tiene la opción de añadir una segunda columna a su archivo CSV/XLS para el nombre de etiqueta si quiere especificar cualquier etiqueta adicional con el fin de asignarla a dispositivos importados. a continuación. Haga clic en Confirmar.Gestión de dispositivos móviles Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos Creación de etiquetas y asignación a los dispositivos gestionados (Continuación) Paso 2 Nota Asigne las etiquetas a los dispositivos móviles gestionados. si tiene diferentes niveles de acceso para diferentes grupos de usuarios que reciben dispositivos de empresa. Para simplificar el proceso. para ello. por ejemplo. puede ordenar los dispositivos por cualquiera de los encabezados de columna o usar uno de los filtros predefinidos en el panel izquierdo. haga clic en Examinar y. Repita este paso con cada etiqueta para que cada una se asocie con el dispositivo seleccionado. 2. Haga clic en . o bien haga clic en Nueva etiqueta para definir una nueva etiqueta en el momento. También puede usar este procedimiento para eliminar etiquetas de los dispositivos. Haga clic en Etiqueta para guardar las asociaciones de etiquetas. seleccione las etiquetas que quiere eliminar y haga clic en Anular etiqueta. 5. No tiene que asignar la misma etiqueta a todos los dispositivos importados. 3. Guía del administrador de GlobalProtect 121 . importándola desde el gestor de seguridad móvil. a continuación. a los dispositivos importados se les asigna la etiqueta “Importado”. • Para navegar por la lista de etiquetas que ha creado. Paso 3 Guarde la configuración. Vaya a la pestaña Dispositivos. Preetiquetado de dispositivos Para simplificar las políticas de administración de dispositivos proporcionados por la empresa. 1. Seleccione los dispositivos a los que quiere asignar la etiqueta haciendo clic en la fila que corresponde a la entrada del dispositivo. puede preetiquetar los dispositivos de empresa compilando una lista de números de serie para los dispositivos con formato de archivo de valores separados por comas (CSV) y. Por defecto. Asocie las etiquetas con los dispositivos seleccionados de una de las siguientes formas: • Haga clic en Añadir para mostrar la lista de etiquetas que ha creado y poder hacer clic en una.

además de la etiqueta importados: automáticamente al dispositivo. En la pestaña Dispositivos. si lo desea. mientras que los lista importada. Verifique que la importación del dispositivo se realizó correctamente. 3. . Tenga en cuenta que los números de serie para los que no especificó un valor En cuanto el dispositivo se inscribe en la de etiqueta reciben solo la etiqueta importados. guárdelo en su ordenador local o en un recurso de red compartido: la lista de números de serie de dispositivos en la primera columna y. las etiquetas que asoció al números de serie para los que especificó uno o más valores de número de serie se asignarán etiquetas contienen esas etiquetas.Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos Gestión de dispositivos móviles Importación de un grupo de dispositivos Paso 1 Cree el archivo CSV en dos columnas sin añadir encabezados de Cree un archivo CSV o una hoja de cálculo de Microsoft Excel que contenga columnas del siguiente modo y. Vaya a la pestaña Dispositivos y haga clic en 2. junto con otras etiquetas que definiera para cada dispositivo dentro del archivo. Paso 3 122 1. Guía del administrador de GlobalProtect . Haga clic en ACEPTAR para importar la lista de dispositivos y asocie la etiqueta Importados con los dispositivos. use Examinar para encontrarlo. a continuación. o bien. Paso 2 Importe la lista de dispositivos. haga clic en Ver importados. Verifique que el dispositivo que acaba de importar aparece en la lista. Introduzca la ruta y el nombre del archivo CSV o XLS que ha creado. una lista de etiquetas para asignarlas a los dispositivos en la segunda columna.

modelo iOS y sistema operativo. La pestaña Panel ofrece una serie de widgets que muestran información acerca del estado del gestor de seguridad móvil. modelo Android. Puede hacer clic en cada gráfico para ver estadísticas actualizadas minuto a minuto. • Tendencias de dispositivo: Muestra recuentos rápidos durante la última semana de dispositivos inscritos y desapuntados. Haga clic en un widget para ver una lista de estadísticas detallada de los dispositivos que no cumplen los requisitos Guía del administrador de GlobalProtect 123 . que suponen una amenaza para su red y sus aplicaciones. así como información acerca de los dispositivos móviles que gestiona. Puede definir qué widgets se muestran y la ubicación de cada uno en la pantalla.Gestión de dispositivos móviles Supervisión de dispositivos móviles Supervisión de dispositivos móviles Uno de los problemas de permitir el acceso de dispositivos móviles a sus recursos de empresa es la falta de visibilidad del estado de los dispositivos y la información de identificación necesaria para localizarlos. El panel le permite supervisar la información de los dispositivos móviles en las siguientes categorías. tales como dispositivos infectados con software malintencionado. dispositivos que no se registraron y el número diario total de dispositivos en mantenimiento. • Cumplimiento de dispositivo: Le permite ver un recuento rápido de los dispositivos que pueden suponer una amenaza. Supervisión de dispositivos móviles • Use el Panel para ver información de los dispositivos gestionados de un vistazo. dispositivos que no tienen un código de acceso establecido o que están modificados o desbloqueados. • Resumen de dispositivo: Muestra gráficos circulares que le permiten ver la distribución por modelo de los dispositivos gestionados.

Supervisión de dispositivos móviles Gestión de dispositivos móviles Supervisión de dispositivos móviles (Continuación) • Use la pestaña Dispositivos para ver estadísticas de dispositivos detalladas acerca de los dispositivos gestionados (o gestionados previamente). para ver todos los dispositivos Nexus. • Para realizar una acción en un dispositivo o grupo de dispositivos. Para obtener más información. consulte Administración de dispositivos remotos. Por ejemplo. La pestaña Dispositivos muestra información acerca de los dispositivos que gestiona actualmente el gestor de seguridad móvil y los dispositivos móviles que ha gestionado en el pasado. seleccione los dispositivos y haga clic en el botón de acción en la parte inferior de la máquina. debería introducir (model contains 'Nexus') y hacer clic en el botón Aplicar filtro . • Modifique las columnas que se muestran pasando el puntero del ratón por encima del nombre de una columna y haciendo clic en el icono de flecha hacia abajo . • Introduzca a mano un filtro en el cuadro de texto del filtro. 124 Guía del administrador de GlobalProtect . Consejos: • Seleccione un filtro predefinido de la lista Filtros.

el log MDM ofrece información de los usuarios de dispositivos que se desconectan manualmente de la VPN de GlobalProtect. que incluye una lista de las aplicaciones consideradas portadoras de software malintencionado. El informe HIP recopilado por el gestor de seguridad móvil es una versión extendida del informe HIP. El log MDM también le avisará de eventos de gravedad. el número de teléfono (si se aplica) y el IMEI. como registros. información del estado del dispositivo y una lista de todas las aplicaciones instaladas en el dispositivo. Haga clic en el icono de detalles de log para ver el informe HIP del dispositivo completo asociado con la entrada de log. seleccione Supervisar > Logs > MDM. Desde la interfaz web del gestor de seguridad móvil. como el número de serie.Gestión de dispositivos móviles Supervisión de dispositivos móviles Supervisión de dispositivos móviles (Continuación) • Supervise los logs MDM para obtener información sobre las actividades de los dispositivos. como que un dispositivo informe de un estado modificado o desbloqueado. mensajes en la nube y difusión de informes o puerta de enlace HIP. Asimismo. que incorpora información detallada. Guía del administrador de GlobalProtect 125 . incluyendo información de identificación del dispositivo.

En la puerta de enlace. En la puerta de enlace. se genera un log de coincidencia HIP cada vez que la puerta de enlace recibe un informe HIP de un cliente de GlobalProtect que cumple los criterios de un objeto HIP o perfil HIP definido en la puerta de enlace. O bien. supervise los logs de coincidencias HIP en Panorama para obtener una vista global de los datos de coincidencia HIP en todas las puertas de enlace de GlobalProtect gestionadas. seleccione Supervisar > Logs > Coincidencias HIP. seleccione Supervisar > Logs > Coincidencias HIP. • Supervise los logs de coincidencias HIP en la puerta de enlace de GlobalProtect. Haga clic en un encabezamiento de columna para elegir las columnas que quiere ver. 126 Guía del administrador de GlobalProtect . Desde la interfaz web en el cortafuegos que aloja la puerta de enlace de GlobalProtect.Supervisión de dispositivos móviles Gestión de dispositivos móviles Supervisión de dispositivos móviles (Continuación) • Supervise los logs de coincidencias HIP en el gestor de seguridad móvil. Desde la interfaz web del gestor de seguridad móvil. se usan los perfiles HIP en la aplicación de políticas de seguridad para el tráfico iniciado por el cliente.

Informes de dispositivo e Informes de resumen en PDF). seleccione ACC y consulte la sección Coincidencias HIP. O bien. Puede visualizar la información en cada informe del período de tiempo seleccionado. haga clic en los nombres de informes en la parte derecha de la página ( El gestor de seguridad móvil proporciona diversos Informes de aplicación. • Supervise el ACC en el cortafuegos que aloja la puerta de enlace de GlobalProtect. supervise el ACC en Panorama para obtener una vista global de los datos de coincidencia HIP en todas las puertas de enlace de GlobalProtect gestionadas. Los informes aparecen en secciones. Para ver los informes. Guía del administrador de GlobalProtect Desde la interfaz web del cortafuegos que aloja la puerta de enlace de GlobalProtect. aparecen todos los informes del día de calendario anterior. Para ver informes de cualquiera de los días anteriores. bien de un día seleccionado de la semana anterior. Para exportar el log en formato CSV. Para abrir la información de log en formato PDF. • Examine los informes integrados o cree informes personalizados. Haga clic en los iconos en la parte superior de la ventana para imprimir o guardar el archivo. De forma predeterminada. Los archivos en PDF se abren en una nueva ventana. seleccione una fecha de creación de informe en el calendario de la parte inferior de la página. haga clic en Exportar a CSV. 127 .Gestión de dispositivos móviles Supervisión de dispositivos móviles Supervisión de dispositivos móviles (Continuación) Seleccione Supervisar > Informes. informes de las estadísticas de 50 dispositivos principales. haga clic en Exportar a PDF. bien del día anterior.

hacer clic en el botón Aplicar filtro . Por ejemplo. Para dispositivos Android. También puede añadir filtros al cuadro de texto haciendo clic en un campo en una de las entradas de dispositivos. Puede seleccionar varios filtros para mostrar una vista personalizada de los dispositivos móviles inscritos en el gestor de seguridad móvil. se añadirá automáticamente el filtro (os eq 'android'). debería introducir (model contains 'Nexus') y (os-version eq '4.  Interacción con dispositivos  Reacción ante la pérdida o sustracción de un dispositivo  Eliminación de dispositivos Interacción con dispositivos Siempre que quiera interactuar con un dispositivo móvil. puede reaccionar rápidamente si duda de la seguridad de un dispositivo o si un empleado abandona su organización y quiere asegurarse de que se ha deshabilitado el acceso al sistema de su empresa.Administración de dispositivos remotos Gestión de dispositivos móviles Administración de dispositivos remotos Una de las funciones más potentes del gestor de seguridad móvil de GlobalProtect es la capacidad de administrar dispositivos gestionados (en cualquier lugar del mundo) enviando notificaciones push mediante OTA (over-the-air). haga clic en el botón Añadir filtro . haga clic en uno de los botones de la parte inferior de la página. Para dispositivos iOS.2') y. a continuación.1. y haga clic en para aplicar el filtro. el gestor de seguridad móvil envía mensajes a través de Mensajería de Google Cloud (GCM).2. 2. 1. el gestor de seguridad móvil envía mensajes a través del servicio Notificaciones Push de Apple (APN). para ver todos los dispositivos Nexus que ejecutan Android 4. seleccione el dispositivo móvil o grupo de dispositivos de la pestaña Dispositivos y. • Para crear un filtro mediante la interfaz de usuario. • Introduzca a mano un filtro en el cuadro de texto del filtro. separados por operadores. 128 Guía del administrador de GlobalProtect . De este modo. Por ejemplo.1. También sirve para enviar un mensaje específico a un grupo de usuarios de dispositivos móviles. como se describe a continuación: Realización de una acción en un dispositivo remoto Paso 1 Seleccione los dispositivos con los que quiere interaccionar. cree el filtro añadiendo pares de valores de atributos. Seleccione la pestaña Dispositivos. Seleccione los dispositivos con los que interaccionar de uno de estos modos: • Seleccione un filtro predefinido de la lista Filtros. al hacer clic en una entrada de Android en la columna OS. a continuación.

Gestión de dispositivos móviles Administración de dispositivos remotos Realización de una acción en un dispositivo remoto (Continuación) Paso 2 Seleccione una acción. haga clic en . a continuación. Para acceder a las aplicaciones y a los datos del dispositivo. haga clic en para enviar una notificación push a los dispositivos que lo soliciten el registro con el gestor de seguridad móvil. por ejemplo en una lista filtrada de dispositivos que no se han registrado el día anterior (last-checkin-time leq '2013/09/09'). para que emita una • Elimine el acceso a sistemas de la empresa. Consulte las recomendaciones e instrucciones para la creación de perfiles en Definición de políticas de implementación. incluyendo cualquier dato asociado a esas aplicaciones. haga clic en ACEPTAR. • Para solicitar el registro de un dispositivo. Cuando la nueva política “vacía” se envíe al dispositivo. Reacción ante la pérdida o sustracción de un dispositivo Si un usuario final informa de la pérdida o sustracción de un dispositivo gestionado. se borrarán todos los perfiles con acceso habilitado a sus sistemas corporativos. • Para desbloquear un dispositivo móvil de forma remota (por ejemplo. lleve a cabo una de las siguientes acciones en función de la situación: Protección de un dispositivo perdido o sustraído • Bloquee el dispositivo. Por ejemplo: • Para enviar un mensaje a los usuarios finales propietarios de los dispositivos seleccionados. debe reaccionar inmediatamente para proteger los datos del dispositivo. Guía del administrador de GlobalProtect 129 . el usuario del mismo debe volver a introducir el código de acceso. Tan pronto como un usuario le informe de la pérdida o sustracción de un dispositivo. a continuación. seleccione el dispositivo y haga clic en . a continuación. equivocadas. Haga clic en uno de los botones de la parte inferior de la pantalla para realizar la acción correspondiente en los dispositivos seleccionados. • Trate de localizar el dispositivo. El dispositivo se desbloqueará y se le pedirá al usuario que defina un nuevo código de acceso. debe bloquear el mismo para garantizar que los datos que contiene no acaben en manos de quien no deben. puede realizar un “borrado selectivo del dispositivo” creando una política de implementación que devuelva un perfil vacío al dispositivo y. introduzca el Cuerpo del mensaje y. hacer clic en . Este Si cree que un dispositivo puede haber acabado en las manos procedimiento se denomina borrado selectivo. Seleccione el dispositivo en la pestaña Dispositivos y. a continuación. seleccione los dispositivos y. si el usuario final ha olvidado el código de acceso). Seleccione el dispositivo y haga clic en alarma. Seleccione el dispositivo y haga clic en para bloquear el dispositivo inmediatamente.

si el dispositivo está inscrito en el momento de realizar la eliminación. seleccione el dispositivo y haga clic en . Para eliminar un dispositivo del gestor de seguridad móvil de GlobalProtect sin borrar su entrada en el gestor. 130 Guía del administrador de GlobalProtect . Esta opción es útil cuando un empleado ha abandonado la empresa sin desapuntar su dispositivo personal del gestor de seguridad móvil.Administración de dispositivos remotos Gestión de dispositivos móviles Protección de un dispositivo perdido o sustraído (Continuación) • Borre todos los datos del dispositivo. No obstante. Es una buena opción si quiere limpiar la base de datos y eliminar entradas de usuarios que ya no pertenecen a la empresa o eliminar los dispositivos que han sido reemplazados. podrá seguir viendo la información del dispositivo. Al dejar la entrada del dispositivo en el gestor. informes y estadísticas del dispositivo. Asimismo. Para desapuntar dispositivos. Para proteger tanto los datos de la empresa en el dispositivo como los datos personales del usuario. Es una buena opción si el usuario final sigue trabajando en su empresa. incluyendo el historial de logs de coincidencia HIP. el usuario final puede solicitarle que borre todos los datos del dispositivo. Este procedimiento se denomina borrado porque elimina todos los datos del dispositivo. Eliminación de dispositivos Aunque los usuarios finales pueden desapuntarse manualmente de la aplicación del gestor de seguridad móvil de GlobalProtect. seleccione los dispositivos que quiere eliminar en la pestaña Dispositivos y siga una de las dos opciones siguientes: Eliminación de dispositivos desde gestión • Desapuntar dispositivos. seleccione el dispositivo y haga clic en . pero el dispositivo va a dejar de estar gestionado permanente o temporalmente. Para eliminar un dispositivo móvil de la gestión y eliminar su entrada en el gestor de seguridad móvil. el dispositivo se desapuntará y después el registro se eliminará de la base de datos del gestor de seguridad móvil. Para ello. tenga en cuenta que esta acción eliminará el dispositivo de la base de datos de forma permanente. no solo el acceso a los sistemas de la empresa. • Eliminar dispositivos. como administrador también puede desapuntar dispositivos mediante OTA. seleccione el dispositivo y haga clic en .

podría crear una política de seguridad en la puerta de enlace que permita a los dispositivos móviles con la etiqueta “dispositivo de la empresa” acceder sin restricciones a su red y proporcionar una segunda política de seguridad a los dispositivos móviles con la etiqueta “dispositivo personal” para acceder solamente a Internet. Creación de políticas de seguridad para dispositivos gestionados en la puerta de enlace GlobalProtect Paso 1 Configure las puertas de enlace de GlobalProtect para recuperar informes HIP desde el gestor de seguridad móvil. dado que el gestor de seguridad móvil recopila de forma exhaustiva datos HIP de los dispositivos que gestiona (aprovechando los datos HIP que recopila el gestor de seguridad móvil). Aunque tiene un control granular de la asignación de políticas a los usuarios.Gestión de dispositivos móviles Creación de políticas de seguridad para aplicación de tráfico de dispositivos móviles Creación de políticas de seguridad para aplicación de tráfico de dispositivos móviles Las políticas de implementación que crea en el gestor de seguridad móvil ofrecen aprovisionamiento de cuentas simplificado para que los usuarios de dispositivos móviles puedan acceder a las aplicaciones de la empresa. el gestor de seguridad móvil requiere que defina el valor a 5008. puede crear políticas de seguridad granulares en sus puertas de enlace de GlobalProtect que le permitan tener en cuenta el cumplimiento del dispositivo y las etiquetas del gestor de seguridad móvil. que controlan a qué aplicaciones tienen acceso (basadas en usuario/grupo o cumplimiento del dispositivo). 131 . la oferta de información de coincidencias HIP para dispositivos móviles es un tanto limitada. Sin embargo. La opción para configurar este valor se proporciona para habilitar la integración con soluciones MDM de terceros. Nota Aunque el valor de Puerto de conexión se puede configurar en la puerta de enlace. el gestor de seguridad móvil no proporciona aplicación de tráfico del tráfico de dispositivos móviles. Guía del administrador de GlobalProtect Consulte las instrucciones detalladas de Configuración del acceso de puerta de enlace al gestor de seguridad móvil. Por ejemplo. Mientras que la puerta de enlace de GlobalProtect ya cuenta con la capacidad de aplicar políticas de seguridad para usuarios de la aplicación de GlobalProtect.

Compile los cambios en la puerta de enlace. Guía del administrador de GlobalProtect . 132 Consulte las instrucciones detalladas de Configuración de la aplicación de políticas basadas en HIP. para la aplicación de la política de seguridad en la puerta de enlace y asígnelas a los dispositivos móviles gestionados. Paso 3 En las puertas de enlace de GlobalProtect. cree los objetos HIP y perfiles HIP que necesitará para la aplicación de políticas de tráfico de dispositivos móviles. defina las etiquetas que quiere usar por etiqueta para simplificar la administración de dispositivos. a continuación. Paso 4 Adjunte el perfil HIP a la política de seguridad y.Creación de políticas de seguridad para aplicación de tráfico de dispositivos móviles Gestión de dispositivos móviles Creación de políticas de seguridad para dispositivos gestionados en la puerta de enlace GlobalProtect Paso 2 Consulte las instrucciones detalladas de Agrupación de dispositivos (Opcional) En el gestor de seguridad móvil.

lo que a veces requiere acceso a recursos de la empresa desde distintos lugares (aeropuertos. La función Perfil de información del host (HIP) de GlobalProtect le permite recopilar información acerca del estado de seguridad de sus hosts de extremo (p. o si funciona con un software específico que es obligatorio en su organización. A consecuencia de ello. en realidad la seguridad de su red se reduce a la seguridad los dispositivos que acceden a la misma. lógicamente debe extender la seguridad de su red a los terminales para garantizar una aplicación de la seguridad de forma exhaustiva y constante.Uso de información del host en la aplicación de políticas Aunque puede que la seguridad del límite de su red corporativa sea muy estricta. La fuerza de trabajo de hoy en día es cada vez más móvil.) y desde diversos dispositivos (tanto de la empresa como del empleado). Este capítulo presenta información acerca del uso de la información del host en la aplicación de las políticas. ej. si el dispositivo está desbloqueado o modificado (solo dispositivos móviles). si tienen instalados los parches de seguridad más recientes y las definiciones de antivirus. incluidas las aplicaciones personalizas) para poder fundamentar la decisión de si se permite o deniega el acceso a un host específico basándose en el cumplimiento de las políticas de host que defina.. Incluye las siguientes secciones:  Acerca de la información del host  Configuración de la aplicación de políticas basadas en HIP Guía del administrador de GlobalProtect 133 . hoteles. si tienen habilitado el cifrado de disco. cafeterías. etc.

el agente de GlobalProtect recopila datos específicos del proveedor relativos a los paquetes de seguridad del usuario final que se ejecutan en el ordenador (según la compilación del programa de asociación global OPSWAT) y remite estos datos a la puerta de enlace de GlobalProtect para que se usen en la aplicación de la política. En este caso. La puerta de enlace compara esta información sin procesar enviada por el agente con cualquiera de los objetos HIP y perfiles HIP que ha definido.Acerca de la información del host Uso de información del host en la aplicación de políticas Acerca de la información del host Una de las tareas del agente de GlobalProtect consiste en recopilar información acerca del host en el que se ejecuta. Mientras el agente recopila una gran cantidad de datos acerca del host en el que se está ejecutando. El agente recopila datos acerca de las siguientes categorías de información de forma predeterminada para ayudarle a identificar el estado de seguridad del host. Asimismo. en el caso de clientes que no cumplan esta regla. puede crear un mensaje de notificación que alerte a los usuarios del motivo por el cual se les deniega el acceso y los redirija al recurso compartido de archivos. Puesto que el software de seguridad debe evolucionar continuamente para garantizar la protección del usuario final. donde podrán acceder al programa de instalación del software de cifrado que les falta (evidentemente. Puede aplicar esta política creando una regla de seguridad que solo permita acceder a la aplicación si el sistema cliente tiene habilitado el cifrado. antes de permitir el acceso a los sistemas de datos más importantes. Además. aplica la correspondiente política de seguridad. Por ejemplo. el agente envía la información del host a la puerta de enlace de GlobalProtect tras una conexión correcta. debería crear la correspondiente regla de seguridad que permita acceder al recurso compartido a los hosts que coincidan con un perfil HIP concreto). El uso de los perfiles de información del host para la aplicación de políticas posibilita una seguridad granular que garantiza que los hosts remotos que acceden a sus recursos críticos posean un mantenimiento adecuado y conforme a sus normas de seguridad antes de que se les permita acceder a los recursos de su red. en clientes Mac OS) o que recopile información acerca de si se ejecutan en el host los servicios específicos. las licencias de portal y puerta de enlace de GlobalProtect también le permiten recibir actualizaciones dinámicas del archivo de datos de GlobalProtect con los parches y las versiones de software más recientes disponibles para cada paquete. A continuación. para permitir al usuario acceder a dicho recurso compartido. si encuentra una coincidencia con un perfil HIP en una política de reglas. información lista de preferencias (plist. puede definir comprobaciones personalizadas que indiquen al agente que recopile información específica del registro (en clientes Windows). puede que exija a sus usuarios finales que ejecuten software adicional para conectarse a su red o acceder a determinados recursos. tal vez quiera asegurarse de que los hosts que acceden a los mismos tienen habilitado el cifrado en sus unidades de disco duro. genera una entrada en el log de coincidencias HIP. ¿Qué datos recopila el agente? Por defecto. Si encuentra una coincidencia. 134 Guía del administrador de GlobalProtect .

la hora del último análisis. la versión de definición de virus. Prevención de pérdida de datos Información acerca de si está instalado o no el software de prevención de pérdida de datos (DLP) para evitar que la información corporativa confidencial salga de la red o se almacene en un dispositivo potencialmente inseguro. Copia de seguridad de disco Información de si está instalado el software de copia de seguridad del disco. la hora del último análisis. incluido el nombre del host. como el número de modelo. Dispositivos móviles Información de identificación acerca del dispositivo móvil.y otros son remitidos directamente por el sistema operativo. Antivirus Información acerca del software antivirus habilitado o instalado en el host. el sistema operativo y la versión del cliente. Por ejemplo. Asimismo. el dominio al que pertenece el equipo. Antispyware Información acerca del software antispyware habilitado o instalado en el host. Tenga en cuenta que para dispositivos iOS. También puede excluir la recopilación de ciertas categorías de información en determinados hosts (para evitar ciclos de CPU y mejorar el tiempo de respuestas del cliente). el número de teléfono. como si se ha definido o no un código de acceso. opcionalmente. el sistema operativo.Uso de información del host en la aplicación de políticas Acerca de la información del host Tabla: Categorías de recopilación de datos Categoría Datos recopilados General Información acerca del propio host. incluyendo el nombre de host. de si está habilitada o no la protección en tiempo real. el proveedor y el nombre del producto. algunos de los datos son recopilados por la aplicación GlobalProtect. el agente recopila información acerca de los ajustes específicos en el dispositivo. la hora de la última copia de seguridad y el proveedor y el nombre de producto del software. puede excluir esta categoría y el agente no recopilará información acerca de copias de seguridad. si se ha desbloqueado el dispositivo e incluso si contiene aplicaciones de las que se sabe que contienen software malintencionado (solo dispositivos Android) y. la localización GPS del dispositivo. para sistemas Windows. cree una configuración en el portal donde se excluyan las categorías que no le interesen. Para ello. la versión del cliente y. Cifrado de disco Información acerca de si está instalado el software de cifrado del disco. Cortafuegos Información acerca de cualquier cortafuegos del cliente instalado o habilitado en el host. el dominio de inicio de sesión. la versión de definición de virus. las unidades o rutas configuradas para el cifrado y el proveedor y el nombre de producto del software. de si está habilitada o no la protección en tiempo real. si no tiene pensado crear una política basada en que los sitemas del cliente ejecuten o no software de copia de seguridad. Guía del administrador de GlobalProtect 135 . el proveedor y el nombre del producto. Esta información solo se obtiene de clientes de Windows. el número de serie y el número IMEI (Identidad Internacional de Equipo Móvil). Dispositivos móviles Información de identificación del dispositivo móvil. Administración de parches Información acerca de cualquier software de administración de parches habilitado o instalado en el host e información de cualquier parche que falte.

la regla de política correspondiente se aplicará. el log de coincidencias HIP es un buen recurso para supervisar el estado de los hosts en su red a lo largo del tiempo. de forma que solo coincidan con un elemento. depende en gran medida de su política y de lo que el usuario entiende por coincidencia (o no coincidencia) de HIP. En este caso. como con cualquier otro criterio de coincidencia de política. Por ejemplo. coincidencia.  Crea un perfil HIP que coincide si esas mismas aplicaciones están instaladas. ¿Cómo pueden saber los usuarios si sus sistemas cumplen los requisitos? Por defecto. donde podrán acceder al instalador del software correspondiente). Es decir. les proporcione un enlace al recurso compartido de archivos. puede habilitar esta funcionalidad definiendo que se muestren mensajes de notificación HIP cuando un perfil HIP concreto coincida o no. que solo crea una entrada de log si hay una coincidencia de política. Cuando crea sus perfiles HIP. de manera opcional. el log de coincidencias HIP genera una entrada siempre que los datos sin procesar enviados por un agente coincidan con un objeto HIP o un perfil HIP que haya definido. ¿significa la coincidencia que se concede total acceso a los recursos de su red? ¿O significa que tiene acceso limitado debido a un problema de incumplimiento? Por ejemplo. o no. antes de adjuntar sus perfiles HIP a políticas de seguridad. para supervisión o para la aplicación de políticas de seguridad.  Objetos HIP: Proporcionan los criterios de coincidencia que filtran la información de host que está interesado en utilizar para aplicar la política a partir de los datos sin formato de los que ha informado el agente. si no coincide. De este modo. puede que desee mantener la sencillez de sus objetos. Si coincide. y quizás quiera crear el mensaje para usuarios que no coincidan con el perfil y dirigirlos a la ubicación del paquete de instalación. Tenga en cuenta que los objetos HIP son solo los ladrillos que le permiten crear los perfiles HIP que se utilizan en sus políticas de seguridad. Por este motivo. puede que solo esté interesado en una aplicación concreta que necesite en su organización. puede combinar objetos HIP que haya creado previamente (así como otros perfiles HIP) usando lógica booleana como la que se usa cuando un flujo de tráfico se evalúa con respecto al perfil HIP resultante con el que tendrá. si aparece cuando la configuración del usuario coincide con un perfil HIP en la política o cuando no coincide). puede definir qué atributos le interesa supervisar o usar para la aplicación de la política mediante la creación de objetos HIP y perfiles HIP en la puerta o puertas de enlace. tendrá la flexibilidad de crear una política aumentada HIP muy granular (y muy potente). La mejor forma de determinar qué objetos HIP necesita es determinar cómo utilizará la información de host que recopila para aplicar la política.Acerca de la información del host Uso de información del host en la aplicación de políticas Cómo usa la puerta de enlace la información del host para aplicar las políticas Mientras el agente obtiene información acerca de la información que debe recopilar de la configuración del cliente descargada desde el portal. tal vez quiera crear un mensaje de notificación HIP para los usuarios que coincidan con el perfil HIP que les avise de que necesitan instalar el software (y. el flujo se evaluará con respecto a la siguiente regla. La decisión de cuándo mostrar un mensaje (es decir. los usuarios finales no reciben información acerca de decisiones de políticas tomadas como consecuencia de la aplicación de una regla de seguridad HIP. En este caso.  Perfiles HIP: Una colección de objetos HIP que deben evaluarse en conjunto. Por lo tanto. crearía un objeto HIP que coincida con la aplicación específica que está interesado en aplicar. la pertenencia a un dominio específico o la presencia de un SO cliente determinado. 136 Guía del administrador de GlobalProtect . A diferencia de un log de tráfico. aunque los datos de host sin formato pueden incluir información sobre varios paquetes antivirus instalados en el cliente. Sin embargo. como la presencia de un tipo concreto de software necesario. para ayudarle a determinar exactamente qué políticas cree que necesitan aplicarse. imagínese estas situaciones:  Crea un perfil HIP que coincide si el antivirus requerido por la empresa y los paquetes de software antispyware no están instalados.

debe seguir estos pasos: Habilitación de la comprobación de HIP Paso 1 Verifique que las comprobaciones HIP tienen la licencia adecuada. seleccione Dispositivo > Licencias. Póngase en contacto con su ingeniero de ventas o distribuidor de Palo Alto Networks si no tiene todas las licencias necesarias. Para usar la función HIP. Si desea más información sobre licencias.Uso de información del host en la aplicación de políticas Configuración de la aplicación de políticas basadas en HIP Configuración de la aplicación de políticas basadas en HIP Para habilitar el uso de la información del host en la aplicación de políticas. consulte Acerca de las licencias de GlobalProtect. Para verificar el estado de sus licencias en cada portal y puerta de enlace. Guía del administrador de GlobalProtect 137 . debe haber comprado e instalado una licencia del portal de GlobalProtect en el cortafuegos donde está configurado su portal y una licencia de suscripción a la puerta de enlace de GlobalProtect en cada puerta de enlace que vaya a realizar comprobaciones de HIP.

haga clic en Añadir en la sección Plist. 7. Para obtener instrucciones. a continuación. Introduzca la Plist para la que recopilará datos. También tiene la posibilidad de hacer clic en Añadir para restringir la recopilación de datos a valores de Clave específicos. • Para recopilar información acerca de los procesos en ejecución: Seleccione la pestaña apropiada (Windows o Mac) y. También tiene la posibilidad de hacer clic en Añadir para restringir la recopilación de datos a uno o varios valores de registro específicos. puede crear una comprobación personalizada que le permita determinar si se ha instalado esa aplicación (tiene un registro o clave plist que corresponde) o se está ejecutando (tiene un proceso en ejecución que corresponde). Compile sus cambios. consulte Definición de las configuraciones de clientes. consulte las instrucciones en Configuración del portal de GlobalProtect. haga clic en Añadir en la sección Clave de registro. si tiene aplicaciones necesarias que no estén incluidas en la lista de productos o de proveedores para crear objetos HIP. En la pestaña Configuración clientes. seleccione Red > GlobalProtect > Portales. Haga clic en ACEPTAR para guardar la configuración. Por ejemplo. Haga clic en ACEPTAR para guardar la configuración de cliente. Introduzca la Clave de registro para la que recopilará datos. defina los datos que quiere recopilar de los hosts que ejecutan esta configuración de cliente del siguiente modo: Tanto el Paso 2 como el Paso 3 dan por hecho que ya ha creado una configuración de portal. Si se trata de una nueva configuración de cliente.Configuración de la aplicación de políticas basadas en HIP Uso de información del host en la aplicación de políticas Habilitación de la comprobación de HIP (Continuación) Paso 2 Nota (Opcional) Defina cualquier información de host personalizada que desee que recopile el agente. haga clic en Añadir en la sección Lista de procesos. 6. • Para recopilar información acerca de listas de propiedades específicas: En la pestaña Mac. Guía del administrador de GlobalProtect . a continuación. 1. 138 5. Haga clic en ACEPTAR para guardar la configuración. Si aún no ha configurado su portal. complete el resto de la configuración según sus necesidades. 4. Seleccione Recopilación de datos > Comprobaciones personalizadas y. Introduzca el nombre del proceso del que quiere que el agente recopile información. • Para recopilar información acerca de claves de registro específicas: En la pestaña Windows. Seleccione su configuración para abrir el cuadro de diálogo del portal de GlobalProtect. 2. 3. seleccione la configuración del cliente que quiere añadir a una comprobación HIP personalizada o haga clic en Añadir para crear una nueva configuración de cliente. En el cortafuegos donde se aloja su portal de GlobalProtect.

seleccione Red > GlobalProtect > Portales. 3. si lo desea. Repita el paso 5 y el paso 6 para cada categoría que quiera excluir. Seleccione Recopilación de datos > Excluir categorías y. 4. Puede añadir a varios proveedores y productos a la lista de exclusión. 5. A continuación. Seleccione su configuración para abrir el cuadro de diálogo del portal de GlobalProtect. Cuando haya terminado de definir a dicho proveedor. En el cortafuegos donde se aloja su portal de GlobalProtect. 7. Para obtener más información sobre la definición de configuraciones de cliente. Compile sus cambios. seleccione la configuración del cliente de la que quiere excluir categorías o haga clic en Añadir para crear una nueva configuración de cliente. 10. haga clic en Añadir. (Opcional) Si quiere excluir de la recopilación a proveedores o productos específicos dentro de la categoría seleccionada en lugar de excluir toda la categoría. Aparecerá el cuadro de diálogo Editar categoría de exclusión. haga clic en Añadir. puede seleccionar el proveedor que quiere excluir del menú desplegable en el cuadro de diálogo Editar proveedor y. Seleccione la Categoría que quiere excluir de la lista desplegable. haga clic en ACEPTAR. Guía del administrador de GlobalProtect 139 . 2. 1. Si se trata de una nueva configuración de cliente.Uso de información del host en la aplicación de políticas Configuración de la aplicación de políticas basadas en HIP Habilitación de la comprobación de HIP (Continuación) Paso 3 (Opcional) Excluya categorías de la colección. hacer clic en Añadir para excluir productos concretos de dicho proveedor. 6. complete el resto de la configuración según sus necesidades. consulte Definición de las configuraciones de clientes. Haga clic en ACEPTAR para guardar la configuración de cliente. En la pestaña Configuración clientes. a continuación. 9. 8.

utilizará la información de host que 3. Repita este paso para cada categoría que quiera comparar con este objeto. la siguiente captura de pantalla muestra cómo crear un objeto que coincidirá si está instalada la aplicación Symantec Norton AntiVirus 2004 Professional. recopila para aplicar la política. seleccione Objetos > GlobalProtect > Objetos HIP y haga clic en Añadir. introduzca un Nombre para el objeto. seleccione la casilla de verificación Antivirus para habilitar los campos correspondientes. Para obtener más información. si Real Time Protection está habilitada y si se han actualizado las definiciones de virus en los 5 últimos días. En la pestaña General. consulte Tabla: Categorías de recopilación de datos. Seleccione la pestaña que corresponde a la categoría de información del host que le interesa comparar y seleccione la casilla de verificación para habilitar la comparación del objeto con esta categoría. a continuación. host sin procesar recopilados por los agentes. Tenga en cuenta que los objetos HIP son solo los ladrillos que le permiten crear los perfiles HIP que se utilizan en sus políticas de seguridad.Configuración de la aplicación de políticas basadas en HIP Uso de información del host en la aplicación de políticas Habilitación de la comprobación de HIP (Continuación) Paso 4 Cree objetos HIP para filtrar los datos del 1. 6. seleccione la pestaña Antivirus y. De este modo. como la presencia de un tipo concreto de software necesario. consulte la ayuda en línea. puede que desee mantener la sencillez de sus objetos. Por ejemplo. la pertenencia a un dominio específico o la presencia de un SO cliente determinado. Complete los campos para definir los criterios de correspondencia que desea. 140 4. Guía del administrador de GlobalProtect . para crear un objeto que busque información acerca de software Antivirus. Haga clic en ACEPTAR para guardar el objeto HIP. La mejor forma de determinar qué objetos HIP necesita es determinar cómo 2. tendrá la flexibilidad de crear una política aumentada HIP muy granular (y muy potente). Repita estos pasos para crear cada objeto HIP adicional que necesite. 5. Por lo tanto. de forma que solo coincidan con un elemento. Nota En la puerta de enlace (o en Panorama si tiene pensado compartir los objetos HIP con varias puertas de enlace). Compile sus cambios. Para obtener información detallada sobre un campo o categoría HIP específicos. Por ejemplo.

Repita estos pasos para crear cada perfil HIP adicional que necesite. puede 2. debe añadir manualmente el paréntesis en los lugares adecuados del cuadro de texto Coincidencia para asegurarse de que el perfil HIP se evalúa usando la lógica que desea. el flujo se evaluará con respecto a la siguiente regla. de nuevo. tendrá. 6. 5. Si está creando una expresión booleana compleja. Cuando termine de añadir criterios de coincidencia. cuando un flujo de tráfico se evalúa con respecto al perfil HIP resultante con el que 4. si no coincide. que pertenezca al dominio requerido y que también tenga instalado un cliente antivirus de Symantec: 7. coincidencia. Por ejemplo. seleccione Objetos > GlobalProtect > Perfiles HIP y haga clic en Añadir.Uso de información del host en la aplicación de políticas Configuración de la aplicación de políticas basadas en HIP Habilitación de la comprobación de HIP (Continuación) Paso 5 Cree los perfiles HIP que tiene pensado usar 1. la regla de política correspondiente se aplicará. En la puerta de enlace (o en Panorama si tiene pensado compartir los perfiles HIP con varias puertas de enlace). use la casilla de verificación NO cuando corresponda). si desea que el perfil HIP evalúe el objeto como una coincidencia solo cuando el criterio del objeto no sea verdadero para un flujo. Compile sus cambios. Seleccione el primer objeto o perfil HIP que desea utilizar como criterio de búsqueda y. Continúe añadiendo criterios de coincidencia como corresponda para el perfil que está creando. haga clic en Añadir para moverlo sobre el cuadro de texto Coincidencia en el cuadro de diálogo Perfil HIP. haga clic en ACEPTAR para guardar el perfil. el siguiente perfil HIP buscará coincidencias con el tráfico desde un host que tenga cifrado de disco FileVault (en sistemas de SO Mac) o TrueCrypt (en sistemas Windows). Tenga en cuenta que. Guía del administrador de GlobalProtect 8. o no. seleccionando el botón de opción del operador booleano apropiado (Y u O) cada vez que añada un elemento (y. Cuando crea sus perfiles HIP. Si coincide. seleccione la casilla de verificación NO antes de añadir el objeto. una Descripción. 9. Haga clic en Añadir criterios de coincidencia para abrir el generador de objetos/perfiles HIP. 141 . en sus políticas. como con cualquier otro criterio de coincidencia de política. combinar objetos HIP que haya creado previamente (así como otros perfiles HIP) usando lógica booleana como la que se usa 3. Introduzca un Nombre descriptivo para el perfil y. a continuación. opcionalmente.

Compile sus cambios. Haga clic en el Nombre de la zona en la que desee habilitar User-ID para abrir el cuadro de diálogo Zona. A diferencia de otros logs. Añada los perfiles HIP a sus reglas de seguridad: 1. actividad de los extremos de su host. Esto le permitirá determinar mejor la ubicación adecuada de las reglas HIP dentro 4. ya que de lo contrario el cortafuegos no generará ninguna entrada de coincidencia HIP. Compruebe que los objetos HIP y los perfiles HIP que ha creado coinciden con el tráfico de su cliente GlobalProtect según lo esperado. Este log muestra todas las coincidencias que ha identificado la puerta de enlace durante la evaluación de los datos de HIP sin procesar Puede supervisar objetos y perfiles HIP para suministrados por los agentes en comparación con los objetos HIP y los perfiles HIP. seleccione Supervisar > Logs > Coincidencias HIP. 5. 1. Seleccione la casilla de verificación Habilitar identificación de usuarios y. Habilite User-ID (ID de usuario) en las zonas de origen que contengan los usuarios 2. 142 Seleccione Red > Zonas. de GlobalProtect que enviarán solicitudes que requieran controles de acceso basados 3. En la pestaña Usuario. una coincidencia HIP no supervisar el estado de seguridad y la requiere una coincidencia de política de seguridad para ser registrada. en HIP. Es recomendable que cree sus reglas de seguridad y que pruebe que coinciden con 2. haga clic en Añadir en la sección Perfiles HIP y seleccione los perfiles HIP que quiere añadir a la regla (puede añadir hasta 63 perfiles HIP a una regla).Configuración de la aplicación de políticas basadas en HIP Uso de información del host en la aplicación de políticas Habilitación de la comprobación de HIP (Continuación) Paso 6 Nota Paso 7 Paso 8 En las puertas de enlace a las que se conectan sus usuarios de GlobalProtect. asegúrese de que la Zona de origen es una zona para la que ha habilitado User-ID Paso 7. Seleccione Políticas > Seguridad y seleccione la regla a la que quiere añadir un perfil HIP. podrá entender mejor dónde se encuentran sus problemas de seguridad y conformidad y usar esta información como orientación para crear una política útil. Guía del administrador de GlobalProtect . los flujos esperados basándose en los criterios de origen y destino según lo 3. de la política. Cree las reglas de seguridad HIP en sus puertas de enlace. Haga clic en ACEPTAR para guardar la regla. Debe habilitar User-ID incluso aunque no piense usar la función de identificación de usuarios. Al supervisar la información del host durante un tiempo. a continuación. En la pestaña Origen. haga clic en ACEPTAR. esperado antes de añadir sus perfiles de HIP.

entre las que puede alternar usando el icono Mostrar código fuente . puede que quiera crear el mensaje para aquellos usuarios que no coinciden con el perfil. Introduzca el texto de su mensaje en el cuadro de texto Plantilla y. 9. coincidan con el perfil HIP que les indique que necesitan instalar el software. Por el contrario. para enlazar a los usuarios directamente a la URL de descarga de un programa de software requerido. Seleccione el Perfil HIP al que se aplica este mensaje en el menú desplegable. puede que quiera crear mensajes tanto para coincidencia como para no coincidencia. incluir la lista de aplicaciones con coincidencia en el mensaje e indicar qué aplicaciones activan la coincidencia HIP. a continuación. Para el mensaje de coincidencia. En este caso. La decisión de cuándo mostrar un mensaje (es decir. 4. ¿significa la coincidencia que se concede total acceso a los recursos de su red? ¿O significa que tiene acceso limitado debido a un problema de incumplimiento? 2. 3. dependiendo de si quiere que se muestre el mensaje cuando el perfil HIP correspondiente coincide con la política o cuando no coincide. Seleccione su configuración de puerta de enlace previamente definida para abrir el cuadro de diálogo de la puerta de enlace de GlobalProtect. Seleccione Configuración clientes > Notificación HIP y. puede que quiera crear un mensaje de notificación HIP para los usuarios que 6. suponga que crea un perfil HIP que coincide si el antivirus requerido por la empresa y los paquetes de software antispyware no están instalados. Seleccione Coincidir mensaje o Mensaje no coincidente. haga clic en Añadir. Seleccione la casilla de verificación Habilitar y seleccione si quiere mostrar el mensaje como Mensaje emergente o como Icono en la barra de tareas. 143 . Repita este procedimiento para cada mensaje que quiera definir. En algunos casos. a continuación. La barra de herramientas ofrece asimismo muchas opciones para dar formato al texto y crear hiperenlaces a documentos externos. Defina los mensajes de notificación que verán los usuarios finales cuando se aplique una regla de seguridad con un perfil HIP. haga clic en ACEPTAR. si su perfil HIP coincidía si esas 7. Compile sus cambios. El cuadro de texto permite una visualización del aspecto real del texto y una del código HTML. 8. dependiendo de los objetos que compare y sus objetivos para la política.Uso de información del host en la aplicación de políticas Configuración de la aplicación de políticas basadas en HIP Habilitación de la comprobación de HIP (Continuación) Paso 9 1. 5. seleccione Red > GlobalProtect > Puertas de enlace. Es decir. por ejemplo. Guía del administrador de GlobalProtect En el cortafuegos donde se alojan sus puertas de enlace de GlobalProtect. mismas aplicaciones estaban instaladas. si aparece cuando la configuración del usuario coincide con un perfil HIP en la política o cuando no coincide). depende en gran medida de su política y de lo que el usuario entiende por coincidencia (o no coincidencia) de HIP. también puede habilitar la opción que permite Por ejemplo.

Configuración de la aplicación de políticas basadas en HIP Uso de información del host en la aplicación de políticas Habilitación de la comprobación de HIP (Continuación) Paso 10 Compruebe que sus perfiles HIP funcionan Puede supervisar qué tráfico cumple la política HIP usando el log de según lo esperado. 144 Filtre el log para mostrar solo el tráfico que coincida con la regla que tiene adjunto el perfil HIP que le interesa supervisar. seleccione Supervisar > Logs > Tráfico. Por ejemplo. tráfico del siguiente modo: 1. para buscar tráfico que coincida con una regla de seguridad con el nombre “Apps iOS” debería introducir ( rule eq 'Apps iOS' ) en el cuadro de texto de filtro del siguiente modo: Guía del administrador de GlobalProtect . Desde la puerta de enlace. 2.

Configuraciones rápidas de GlobalProtect En la siguiente sección se proporcionan instrucciones detalladas para configurar algunas implementaciones globales de GlobalProtect:  VPN de acceso remoto (Perfil de autenticación)  VPN de acceso remoto (Perfil del certificado)  VPN de acceso remoto con autenticación de dos factores  Configuración de VPN siempre activada  VPN de acceso remoto con función anterior al inicio de sesión  Configuración de varias puertas de enlace de GlobalProtect  GlobalProtect para comprobación de HIP interna y acceso basado en usuario  Configuración de puerta de enlace externa e interna combinada Guía del administrador de GlobalProtect 145 .

21. Ilustración: VPN de GlobalProtect para acceso remoto Configuración rápida: Acceso remoto de VPN proporciona los pasos de configuración para este ejemplo.7. Como los túneles VPN de GlobalProtect terminan con una zona corp-vpn independiente. el agente establece un túnel VPN desde su adaptador virtual.2 a una nueva zona denominada corp-vpn.com. Configuración rápida: Acceso remoto de VPN Paso 1 Creación de interfaces y zonas para GlobalProtect. • Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel. • Habilite la identificación de usuario en la zona corp-vpn. Asígnela al enrutador virtual predeterminado. Nota Utilice el enrutador virtual predeterminado para que todas las configuraciones de la interfaz eviten tener que crear el enrutamiento entre zonas. • Seleccione Red > Interfaces > Ethernet y configure ethernet1/2 como interfaz Ethernet de capa 3 con la dirección IP 199.VPN de acceso remoto (Perfil de autenticación) Configuraciones rápidas de GlobalProtect VPN de acceso remoto (Perfil de autenticación) En la Ilustración: VPN de GlobalProtect para acceso remoto.3-10. la interfaz física donde se conectan los clientes de GlobalProtect.32.31. al que se le ha asignado una dirección en el grupo de direcciones IP asociado con la configuración tunnel.118 en este ejemplo. así como la capacidad de adaptar la política de seguridad para usuarios remotos. tendrá visibilidad sobre el tráfico VPN. • Cree un registro “A” DNS que asigne la dirección IP 199. Después de que los clientes se conecten y se autentiquen correctamente en el portal y en la puerta de enlace.42 a gp.42 y asígnela a la zona l3-nofiable y al enrutador virtual predeterminado.31.acme. el portal y la puerta de enlace de GlobalProtect se configuran en Ethernet1/2.2 de la puerta de enlace 10. Guía del administrador de GlobalProtect .32.7. Paso 2 146 Cree una política de seguridad (Políticas > Seguridad) para habilitar el flujo de tráfico entre la zona corp-vpn y la zona l3-fiable y permitir el acceso a sus recursos internos.21.

7. se puede utilizar el mismo certificado de servidor para ambos componentes. RADIUS.pem emitido por Go Daddy Perfil de autenticación: Corp-LDAP Interfaz de túnel: tunnel. Cree un perfil de servidor. Cree el perfil de servidor para conectarse al servidor LDAP: El perfil de servidor enseña al cortafuegos cómo conectarse al servicio de autenticación.3 .com. Instale el perfil del servidor a un perfil de autenticación: Dispositivo > Perfil de autenticación.32.acme. gp. Dispositivo > Perfiles de servidor > LDAP Cree un perfil de autenticación. • Genere un nuevo certificado de servidor autofirmado. En este ejemplo se muestra un perfil de autenticación LDAP para autenticar a los usuarios con respecto a Active Directory.Configuraciones rápidas de GlobalProtect VPN de acceso remoto (Perfil de autenticación) Configuración rápida: Acceso remoto de VPN (Continuación) Paso 3 Paso 4 Paso 5 Obtenga un certificado de servidor para la interfaz que aloja el portal y la puerta de enlace de GlobalProtect con uno de los siguientes métodos: • (Recomendado) Importe un certificado de servidor desde una CA externa conocida. Seleccione Red > GlobalProtect > Portales y añada la siguiente configuración: Interfaz: ethernet1/2 Dirección IP: 199. Paso 6 Configuración de una puerta de enlace.31.42 Certificado de servidor: GP-server-cert. Seleccione Dispositivo > Gestión de certificados > Certificados para gestionar certificados de la siguiente forma: • Obtenga un certificado de servidor.21. • El CN del certificado debe coincidir con el FQDN. Los métodos de autenticación locales.2 Grupo de IP: 10. utilice un certificado de servidor desde una CA pública. Kerberos y LDAP son compatibles. • Para permitir a los clientes conectarse con el portal sin que reciban errores de certificado.118 Guía del administrador de GlobalProtect 147 .31.10. Como el portal y la puerta de enlace se encuentran en la misma interfaz.32.

En este ejemplo. Seleccione Dispositivo > Cliente de GlobalProtect. Haga clic en Compilar. Seleccione Red > GlobalProtect > Portales y añada la siguiente configuración: 1.VPN de acceso remoto (Perfil de autenticación) Configuraciones rápidas de GlobalProtect Configuración rápida: Acceso remoto de VPN (Continuación) Paso 7 Configuración del portal de GlobalProtect. utilice el procedimiento para Alojamiento de actualizaciones de agente en el portal. Configuración del acceso al portal.7.acme. Adquiera e instale una suscripción a la puerta de enlace de GlobalProtect (Dispositivo > Licencias) para permitir el uso de la aplicación. 148 Guía del administrador de GlobalProtect .com Paso 8 Paso 9 Implementación del software del agente de GlobalProtect. Creación de una configuración de cliente de GlobalProtect usando los siguientes ajustes: Método de conexión: según demanda Dirección de puerta de enlace externa: gp.21.pem emitido por Go Daddy Perfil de autenticación: Corp-LDAP 2. En este ejemplo se utilizan los siguientes ajustes: Interfaz: ethernet1/2 Dirección IP: 199.42 Certificado de servidor: GP-server-cert. Paso 10 Guarde la configuración de GlobalProtect. (Optativo) Permita el uso de la aplicación móvil de GlobalProtect.

acme. Ilustración: Configuración de autenticación del certificado de cliente de GlobalProtect Esta configuración rápida utiliza la misma topología que la Ilustración: VPN de GlobalProtect para acceso remoto. • Habilite la identificación de usuario en la zona corp-vpn. Cuando la autenticación es correcta. añádala a la nueva zona denominada corp-vpn. Nota Utilice el enrutador virtual predeterminado para que todas las configuraciones de la interfaz eviten tener que crear el enrutamiento entre zonas. Asígnela al enrutador virtual predeterminado. Para habilitar la aplicación de políticas basadas en el usuario en sesiones de la zona corp-vpn.com. • Seleccione Red > Interfaces > Ethernet y configure ethernet1/2 como interfaz de Ethernet de capa 3 con la dirección IP 199. • Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel. Si se necesita un nombre de dominio para la aplicación de políticas. Configuración rápida: Acceso remoto de VPN con autenticación de certificado de cliente Paso 1 Creación de interfaces y zonas para GlobalProtect. • Cree un registro “A” DNS que asigne la dirección IP 199. el nombre de usuario del certificado se asigna a la dirección IP asignada por la puerta de enlace.42 y asígnela a la zona de seguridad l3-nofiable y el enrutador virtual predeterminado. el certificado que presenta el cliente debe contener el nombre de usuario en uno de los campos de certificado.Configuraciones rápidas de GlobalProtect VPN de acceso remoto (Perfil del certificado) VPN de acceso remoto (Perfil del certificado) Cuando se autentican usuarios con autenticación de certificado. Guía del administrador de GlobalProtect 149 .2. La única diferencia de configuración es que. A continuación. el cliente debe presentar un certificado de cliente único que identifique al usuario final para poder conectar a GlobalProtect. normalmente.21.21. el valor de dominio especificado en el perfil de certificado se adjunta al nombre de usuario. el agente de GlobalProtect establece un túnel de VPN con la puerta de enlace y se le asigna una dirección IP desde el grupo de IP en la configuración de túnel de la puerta de enlace.42 a gp. el nombre de usuario corresponde al nombre común (CN) del campo Asunto del certificado.7. en lugar de autenticar a los usuarios con respecto a un servidor de autenticación. Cuando se utiliza como único método de autenticación.7. esta configuración utiliza solo la autenticación del certificado de cliente.

1. • Obtenga un certificado de servidor. utilice un certificado de servidor desde una CA pública.10. Paso 3 Obtenga un certificado de servidor para la interfaz que aloja el portal y la puerta de enlace de GlobalProtect con uno de los siguientes métodos: • (Recomendado) Importe un certificado de servidor desde una CA externa conocida. seleccione el certificado de CA que emitieron los certificados de cliente y haga clic en ACEPTAR dos veces.VPN de acceso remoto (Perfil del certificado) Configuraciones rápidas de GlobalProtect Configuración rápida: Acceso remoto de VPN con autenticación de certificado de cliente (Continuación) Paso 2 Cree una política de seguridad (Políticas > Seguridad) para habilitar el flujo de tráfico entre la zona corp-vpn y la zona l3-fiable y permitir el acceso a sus recursos internos. 3.32. Instale certificados en el almacén de certificados personales de los sistemas cliente.acme. Seleccione Dispositivo > Gestión de certificados > Perfil del certificado. • Genere un nuevo certificado de servidor autofirmado. como GP-client-cert.42 Certificado de servidor: GP-server-cert. Consulte el diagrama de topología que se muestra en la Ilustración: VPN de GlobalProtect para acceso remoto. • El CN del certificado debe coincidir con el FQDN.pem emitido por Go Daddy Perfil del certificado GP-client-cert Interfaz de túnel: tunnel.7. se puede utilizar el mismo certificado de servidor para ambos componentes. 1. Paso 6 Configuración de una puerta de enlace. gp.com.118 150 Guía del administrador de GlobalProtect . • Para permitir a los clientes conectarse con el portal sin que reciban errores de certificado. Como el portal y la puerta de enlace se encuentran en la misma interfaz.2 Grupo de IP: 10. Utilice su PKI empresarial o CA pública para emitir un certificado de cliente único para cada usuario de GlobalProtect. 2.31. Seleccione Red > GlobalProtect > Puertas de enlace y añada la siguiente configuración: Interfaz: ethernet1/2 Dirección IP: 199.32.3 .31. Seleccione Asunto en el menú desplegable Campo de nombre de usuario. Seleccione Dispositivo > Gestión de certificados > Certificados para gestionar certificados de la siguiente forma: Emita certificados de cliente para máquinas/usuarios de GlobalProtect. Haga clic en Añadir en la sección Certificados de CA.21. 2. haga clic en Añadir e introduzca un perfil Nombre Paso 4 Paso 5 Cree un perfil de certificado de cliente.

Guía del administrador de GlobalProtect 151 . Seleccione Red > GlobalProtect > Portales y añada la siguiente configuración: 1. Seleccione Dispositivo > Cliente de GlobalProtect.21.pem emitido por Go Daddy Perfil del certificado GP-client-cert 2. Adquiera e instale una suscripción a la puerta de enlace de GlobalProtect (Dispositivo > Licencias) para permitir el uso de la aplicación. (Optativo) Permita el uso de la aplicación móvil de GlobalProtect. Configuración del acceso al portal: Interfaz: ethernet1/2 Dirección IP: 199. Haga clic en Compilar.42 Certificado de servidor: GP-server-cert.Configuraciones rápidas de GlobalProtect VPN de acceso remoto (Perfil del certificado) Configuración rápida: Acceso remoto de VPN con autenticación de certificado de cliente (Continuación) Paso 7 Configuración del portal de GlobalProtect. Creación de una configuración de cliente de GlobalProtect: Método de conexión: según demanda Dirección de puerta de enlace externa: gp.acme. En este ejemplo. utilice el procedimiento para Alojamiento de actualizaciones de agente en el portal.com Paso 8 Paso 9 Implementación del software del agente de GlobalProtect. Paso 10 Guarde la configuración de GlobalProtect.7.

En cuanto a la autenticación de portales. en esta configuración. Campo de nombre de usuario está definido como Ninguno). Además. Si no quiere obligar a los usuarios a autenticar con un nombre de usuario del certificado. el cliente debe proporcionar el nombre de usuario cuando autentique con este perfil de autenticación. el certificado de cliente no necesitará contar con un nombre de usuario.  Si el perfil del certificado no especifica ningún campo de nombre de usuario (es decir. los clientes deben autenticar con un perfil de certificado y un perfil de autenticación. esto significa que los certificados deben implantarse previamente en clientes finales antes de su conexión inicial al portal. los certificados presentados por los clientes deben coincidir con lo definido en el perfil del certificado. el certificado presentado por el cliente debe contener un valor en el campo de nombre común o la autenticación fallará. Además.  Si el perfil del certificado especifica un campo de nombre de usuario. el valor del campo de nombre de usuario del certificado se cumplimentará automáticamente con el nombre de usuario cuando el usuario trate de introducir la autenticación en el perfil de autenticación. Para obtener más detalles sobre un tipo específico de autenticación de dos factores. consulte los siguientes temas:  Habilitación de la autenticación en dos fases  Habilitación de la autenticación en dos fases mediante contraseñas de un solo uso (OTP)  Habilitación de autenticación en dos fases mediante tarjetas inteligentes 152 Guía del administrador de GlobalProtect . En este caso.VPN de acceso remoto con autenticación de dos factores Configuraciones rápidas de GlobalProtect VPN de acceso remoto con autenticación de dos factores Cuando configura un portal o puerta de enlace de GlobalProtect con un perfil de autenticación y un perfil de certificado (denominada autenticación de dos factores). Esta configuración rápida utiliza la misma topología que la Ilustración: VPN de GlobalProtect para acceso remoto. Por ejemplo. Sin embargo. el certificado que presenta el cliente debe contener un nombre de usuario en el campo correspondiente. cuando se necesite el campo del nombre de usuario. no especifique ningún campo de nombre de usuario en el perfil del certificado. se le pedirá al usuario final que autentique correctamente en ambos antes de que se le permita el acceso. si el perfil del certificado especifica que el campo del nombre de usuario es el asunto.

Instale certificados en el almacén de certificados personales de los sistemas cliente. • Genere un nuevo certificado de servidor autofirmado. añádala a la nueva zona denominada corp-vpn.42 y asígnela a la zona de seguridad l3-nofiable y el enrutador virtual predeterminado. Seleccione Dispositivo > Gestión de certificados > Certificados para gestionar certificados de la siguiente forma: Emita certificados de cliente para máquinas/usuarios de GlobalProtect. • Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel. 1. • Seleccione Red > Interfaces > Ethernet y configure ethernet1/2 como interfaz de Ethernet de capa 3 con la dirección IP 199.21.acme. • El CN del certificado debe coincidir con el FQDN. 2. Asígnela al enrutador virtual predeterminado. • Cree un registro “A” DNS que asigne la dirección IP 199. A continuación. Paso 3 Obtenga un certificado de servidor para la interfaz que aloja el portal y la puerta de enlace de GlobalProtect con uno de los siguientes métodos: • (Recomendado) Importe un certificado de servidor desde una CA externa conocida. gp. Paso 2 Cree una política de seguridad (Políticas > Seguridad) para habilitar el flujo de tráfico entre la zona corp-vpn y la zona l3-fiable y permitir el acceso a sus recursos internos.acme.7. 153 . utilice un certificado de servidor desde una CA pública. Paso 4 Guía del administrador de GlobalProtect • Obtenga un certificado de servidor. • Para permitir a los clientes conectarse con el portal sin que reciban errores de certificado.com. Nota Utilice el enrutador virtual predeterminado para que todas las configuraciones de la interfaz eviten tener que crear el enrutamiento entre zonas. se puede utilizar el mismo certificado de servidor para ambos componentes.42 a gp.Configuraciones rápidas de GlobalProtect VPN de acceso remoto con autenticación de dos factores Configuración rápida: Acceso remoto de VPN con autenticación de dos factores Paso 1 Creación de interfaces y zonas para GlobalProtect.7. Utilice su PKI empresarial o CA pública para emitir un certificado de cliente único para cada usuario de GlobalProtect.21.com. • Habilite la identificación de usuario en la zona corp-vpn. Como el portal y la puerta de enlace se encuentran en la misma interfaz.2.

RADIUS. Especifique dónde obtener el nombre de usuario que se utilizará para autenticar al usuario final: • De usuario: si quiere que el usuario final proporcione un nombre de usuario cuando se autentique en el servicio especificado en el perfil de autenticación. Cree un perfil de servidor. Cree el perfil de servidor para conectarse al servidor LDAP: El perfil de servidor enseña al cortafuegos cómo conectarse al servicio de autenticación. el CN contenido en el certificado cumplimentará automáticamente el campo de nombre de usuario cuando al usuario se le solicite iniciar sesión en el portal/puerta de enlace. En este ejemplo se muestra un perfil de autenticación LDAP para autenticar a los usuarios con respecto a Active Directory. Los métodos de autenticación locales. Seleccione Dispositivo > Gestión de certificados > Perfil del certificado. 1. Kerberos y LDAP son compatibles.VPN de acceso remoto con autenticación de dos factores Configuraciones rápidas de GlobalProtect Configuración rápida: Acceso remoto de VPN con autenticación de dos factores (Continuación) Paso 5 Cree un perfil de certificado de cliente. seleccione Asunto como Campo de nombre de usuario. 3. Dispositivo > Perfiles de servidor > LDAP Cree un perfil de autenticación. 154 Guía del administrador de GlobalProtect . 2. haga clic en Añadir e introduzca un perfil Nombre como GP-client-cert. • De certificado: si desea extraer el nombre de usuario del certificado. Paso 6 Paso 7 Haga clic en Añadir en la sección Certificados de CA. Instale el perfil del servidor a un perfil de autenticación: Dispositivo > Perfil de autenticación. Al usuario se le pedirá que inicie sesión usando ese nombre de usuario. seleccione el certificado de CA que emitieron los certificados de cliente y haga clic en ACEPTAR dos veces. Si utiliza esta opción. seleccione Ninguno como Campo de nombre de usuario.

7.Configuraciones rápidas de GlobalProtect VPN de acceso remoto con autenticación de dos factores Configuración rápida: Acceso remoto de VPN con autenticación de dos factores (Continuación) Paso 8 Configuración de una puerta de enlace.118 Paso 9 Configuración del portal de GlobalProtect. Paso 12 Guarde la configuración de GlobalProtect.31.7. Seleccione Dispositivo > Cliente de GlobalProtect.pem emitido por Go Daddy Perfil del certificado: GP-client-cert Perfil de autenticación: Corp-LDAP 2. Configuración del acceso al portal: Interfaz: ethernet1/2 Dirección IP: 199.10.32. En este ejemplo. GlobalProtect (Dispositivo > Licencias) para permitir el uso de la aplicación.42 Certificado de servidor: GP-server-cert.21.com Paso 10 Implementación del software del agente de GlobalProtect. Creación de una configuración de cliente de GlobalProtect: Método de conexión: según demanda Dirección de puerta de enlace externa: gp.21.31.pem emitido por Go Daddy Perfil del certificado: GP-client-cert Perfil de autenticación: Corp-LDAP Interfaz de túnel: tunnel.32. Seleccione Red > GlobalProtect > Puertas de enlace y añada la siguiente configuración: Consulte el diagrama de topología que se Interfaz: ethernet1/2 muestra en la Ilustración: VPN de GlobalProtect para acceso remoto. utilice el procedimiento para Alojamiento de actualizaciones de agente en el portal.2 Grupo de IP: 10.3 .acme. Guía del administrador de GlobalProtect Haga clic en Compilar. Seleccione Red > GlobalProtect > Portales y añada la siguiente configuración: 1. Paso 11 (Optativo) Permita el uso de la aplicación Adquiera e instale una suscripción a la puerta de enlace de móvil de GlobalProtect. 155 .42 Certificado de servidor: GP-server-cert. Dirección IP: 199.

Configuración de VPN siempre activada Configuraciones rápidas de GlobalProtect Configuración de VPN siempre activada En una configuración de GlobalProtect “siempre activada”. Establece automáticamente el túnel de VPN a la puerta de enlace especificada en la configuración del cliente distribuida por el portal sin la intervención del usuario final como se muestra en la siguiente ilustración. 156 Guía del administrador de GlobalProtect . solo tiene que cambiar el método de conexión:  VPN de acceso remoto (Perfil de autenticación)  VPN de acceso remoto (Perfil del certificado)  VPN de acceso remoto con autenticación de dos factores Cambio a una configuración “siempre activada” Paso 1 Seleccione Red > GlobalProtect > Portales y seleccione la configuración de portal para abrirla. Para cambiar a cualquier configuración de VPN de acceso remoto anterior en una configuración “siempre activada”. Paso 4 Haga clic en ACEPTAR dos veces para guardar la configuración de cliente y la de portal y. a continuación. el agente se conecta al portal de GlobalProtect al iniciar sesión el usuario para enviar información de usuario y de host y recibir la configuración de cliente. Paso 2 Seleccione la pestaña Configuración clientes y. a continuación. Paso 3 Seleccione Inicio de sesión de usuario como método de conexión. Repita esto para cada una de las configuraciones del cliente. seleccione la configuración de cliente que desea modificar. compile el cambio.

A continuación. cuando un agente se conecta al portal por primera vez. se informará inmediatamente sobre el nombre de usuario a la puerta de enlace. antivirus o servicios de actualización del sistema operativo. Guía del administrador de GlobalProtect 157 . después de que el usuario inicie sesión en el sistema y realice la autenticación. Como el túnel ya está establecido. el usuario final debe autenticar (mediante el perfil de autenticación o un perfil de certificado configurado para validar un certificado de cliente que contiene un nombre de usuario). si el inicio de sesión único (SSO) está habilitado en la configuración del cliente de inicio de sesión de usuario. En ese momento. Antes de que el usuario inicie sesión. Entonces. en lugar de usar credenciales en caché. se conectará a la puerta de enlace especificada en la configuración y autenticará usando su certificado de máquina (según se especifica en un perfil de certificado configurado en la puerta de enlace) y establecerá el túnel de VPN. el túnel de VPN cambia su nombre para incluir el nombre de usuario. de forma que el túnel pueda cambiar el nombre y se pueda aplicar la política basada en usuario y en grupo. Cuando posteriormente el usuario final inicia sesión en la máquina. Con el modo anterior al inicio de sesión. utilizará la cookie para autenticarse en el portal y recibir su configuración de cliente anterior al inicio de sesión. Una vez que la autenticación finaliza con éxito. de forma que esa política basada ese grupo y usuario se pueda aplicar. las secuencias de comandos de dominio se pueden ejecutar cuando el usuario inicia sesión. debe crear políticas de seguridad que coincidan con el usuario con modo anterior al inicio de sesión.Configuraciones rápidas de GlobalProtect VPN de acceso remoto con función anterior al inicio de sesión VPN de acceso remoto con función anterior al inicio de sesión El método de conexión anterior al inicio de sesión de GlobalProtect es una función que permite a GlobalProtect autenticar al agente y establecer el túnel de VPN en la puerta de enlace de GlobalProtect usando un certificado de máquina preinstalado antes de que el usuario haya iniciado sesión. Active Directory. Por lo tanto. Estas políticas solo deben permitir el acceso a servicios básicos necesarios para iniciar el sistema. el portal aplica la configuración del cliente al agente junto con una cookie que se utilizará para la autenticación de portal con el objetivo de recibir una actualización de configuración. no hay ningún nombre de usuario asociado con el tráfico. para permitir que el sistema de cliente acceda a los recursos de la zona fiable. cuando un sistema de cliente trata de conectar en modo anterior al inicio de sesión. como DHCP. DNS.

añádala a la nueva zona denominada corp-vpn. 1.42 y asígnela a la zona de seguridad l3-nofiable y el enrutador virtual predeterminado.acme. utilice un certificado de servidor desde una CA pública. se puede utilizar el mismo certificado de servidor para ambos componentes. • Genere un nuevo certificado de servidor autofirmado.com. Paso 3 Obtenga un certificado de servidor para la interfaz que aloja el portal y la puerta de enlace de GlobalProtect con uno de los siguientes métodos: • (Recomendado) Importe un certificado de servidor desde una CA externa conocida. • Cree un registro “A” DNS que asigne la dirección IP 199. (Almacén del equipo local en Windows o llavero del sistema en SO Mac) Guía del administrador de GlobalProtect . A continuación. Genere un certificado de máquina para cualquier sistema cliente que se conecte a GlobalProtect e impórtelos al almacén de 2. recomendamos utilizar su propia infraestructura de clave pública (PKI) para emitir y distribuir certificados para sus clientes. gp.21. • En segundo lugar. • Habilite la identificación de usuario en la zona corp-vpn. DNS. después de que el usuario inicie sesión con éxito.2. • El CN del certificado debe coincidir con el FQDN. como servicios de autenticación. Como el portal y la puerta de enlace se encuentran en la misma interfaz.42 a gp. • Para permitir a los clientes conectarse con el portal sin que reciban errores de certificado. • Seleccione Red > Interfaces > Ethernet y configure ethernet1/2 como interfaz de Ethernet de capa 3 con la dirección IP 199. Paso 2 Cree las siguientes reglas de política de seguridad (Políticas > Seguridad): • En primer lugar. Nota Utilice el enrutador virtual predeterminado para que todas las configuraciones de la interfaz eviten tener que crear el enrutamiento entre zonas.com. cree una regla que permita el acceso entre la zona corp-vpn y la zona l3-fiable a cualquier usuario conocido.acme. certificados personales de cada máquina. • Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.7.VPN de acceso remoto con función anterior al inicio de sesión Configuraciones rápidas de GlobalProtect Este ejemplo utiliza la topología de GlobalProtect que se muestra en Ilustración: VPN de GlobalProtect para acceso remoto. Asígnela al enrutador virtual predeterminado. Instale certificados en el almacén de certificados personales de los sistemas cliente. Configuración rápida: VPN de acceso remoto con inicio de sesión anterior Paso 1 Creación de interfaces y zonas para GlobalProtect. Paso 4 • Obtenga un certificado de servidor. DHCP y actualizaciones de Microsoft. Aunque podría generar certificados autofirmados para cada sistema cliente. 158 Seleccione Dispositivo > Gestión de certificados > Certificados para gestionar certificados de la siguiente forma: Emita certificados de cliente para máquinas/usuarios de GlobalProtect.7. cree una regla que permita el acceso del usuario anterior al inicio de sesión a los servicios básicos necesarios para que aparezca el ordenador.21.

Paso 6 Paso 7 1. caso de que sean distintos. En este ejemplo. además de al certificado de CA que emitió los certificados de máquina. Establezca el Campo nombre de usuario en Ninguno. se usa el mismo perfil de LDAP que el usado para autenticar a usuarios en el portal. asegúrese de que en el 4. En todos los cortafuegos que alojan una puerta de enlace de GlobalProtect.31.10. haga clic en Aceptar.Configuraciones rápidas de GlobalProtect VPN de acceso remoto con función anterior al inicio de sesión Configuración rápida: VPN de acceso remoto con inicio de sesión anterior (Continuación) Paso 5 Nota Importe el certificado de CA raíz de confianza desde la CA que generó los certificados de máquina al portal y las puertas de enlace.42 Certificado de servidor: GP-server-cert. Seleccione Dispositivo > Certificados > Gestión de certificados > Perfil de certificados. autenticación de certificados del cliente para autenticar a los usuarios cuando inician sesión en el sistema.7. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y haga clic en Importar. a continuación. f. puede utilizar la autenticación de certificado del cliente o la autenticación basada en perfil para aquellos usuarios que han iniciado sesión. Aunque debe crear un perfil de certificado para el modo de acceso anterior al inicio de sesión a la puerta de enlace. en el 5. Importe el certificado en todos los cortafuegos que alojan un portal o puerta de enlace de la siguiente forma: a. Consulte el diagrama de topología que se muestra en la Ilustración: VPN de GlobalProtect para acceso remoto. haga clic en ACEPTAR.32. 2. por ejemplo De forma optativa. Descargue el certificado de CA en el formato Base64.pem emitido por Go Daddy Perfil del certificado: PreLogonCert Perfil de autenticación: Corp-LDAP Interfaz de túnel: tunnel. d. perfil del certificado se hace referencia al certificado de CA que emite los certificados de cliente. Seleccione Red > GlobalProtect > Puertas de enlace y añada la siguiente configuración: Interfaz: ethernet1/2 Dirección IP: 199. b. haga clic en Aceptar. cree un perfil de certificado para identificar qué certificado de CA utilizar para validar los certificados de máquina cliente. haga clic en Añadir. Configuración de una puerta de enlace. 1. Guía del administrador de GlobalProtect PreLogonCert. 2.32.21. si planea utilizar la 3. Introduzca un Nombre de certificado que identifique al certificado como su certificado de CA de cliente. 159 . a continuación. Seleccione Certificado codificado en Base64 (PEM) como Formato de archivo y.3 . añada el certificado de CA que emitió los certificados del cliente si es distinto al que emitió los certificados de máquina. (Optativo) Si quiere utilizar la autenticación de certificado de cliente para autenticar a los usuarios al iniciar sesión.31. En el campo Certificados de CA. Seleccione el certificado que acaba de importar en la pestaña Certificados de dispositivos para abrirlo. e.118 Confirmar la configuración de la puerta de enlace.2 Grupo de IP: 10. Desplácese hasta el archivo del certificado que descargó de la CA. Haga clic en Aceptar para guardar el perfil. seleccione el certificado de CA raíz de confianza que importó en el Paso 5 y. haga clic en Añadir e introduzca un nombre para identificar de forma exclusiva el perfil. No necesita importar la clave privada. c. Seleccione CA raíz de confianza y. a continuación.

Nota Se recomienda habilitar el inicio de sesión único en la segunda configuración cliente para garantizar que se indica inmediatamente el nombre de usuario correcto a la puerta de enlace cuando el usuario inicia sesión en la máquina.com Usuario/grupo de usuarios: modo anterior al inicio de sesión Configuración del segundo cliente: Utilizar registro único: habilitado Método de conexión: modo anterior al inicio de sesión Dirección de puerta de enlace externa: gp. Dirección IP: 199. Paso 9 Interfaz: ethernet1/2 Asegúrese de que la configuración del cliente en modo anterior al inicio de sesión está la primera en la lista de configuraciones. selecciónela y haga clic en Mover hacia arriba. Si el inicio de sesión único no está habilitado. Puede que desee limitar el acceso 2. cree dos configuraciones cliente: una que se aplicará al agente cuando el usuario no haya iniciado sesión (método de conexión anterior al inicio de sesión) y otro que se aplicará cuando el usuario haya iniciado sesión (método de conexión de inicio de sesión de usuario).7. Si no es así. Haga clic en Compilar.42 Certificado de servidor: GP-server-cert. Guía del administrador de GlobalProtect .acme. se utilizará el nombre de usuario guardado en el panel de configuración del agente de GlobalProtect. 160 Guarde la configuración de GlobalProtect.com Usuario/grupo de usuarios: cualquiera Modificador de autenticación: Autenticación de cookies para actualización de configuración 3. Configuración del acceso al portal: Para esta configuración.VPN de acceso remoto con función anterior al inicio de sesión Configuraciones rápidas de GlobalProtect Configuración rápida: VPN de acceso remoto con inicio de sesión anterior (Continuación) Paso 8 Configuración del portal de GlobalProtect.pem emitido por Go Daddy Perfil del certificado: Ninguno Perfil de autenticación: Corp-LDAP Creación de una configuración de cliente de GlobalProtect para usuarios del modo anterior al inicio de sesión y usuarios que ya han iniciado sesión: Configuración del primer cliente: Método de conexión: modo anterior al inicio de sesión Dirección de puerta de enlace externa: gp.acme. Seleccione Red > GlobalProtect > Portales y añada la siguiente configuración: 1. de la puerta de enlace a una única puerta de enlace a los usuarios con el modo anterior al inicio de sesión.21. pero proporcionar acceso a varias puertas de enlace a los usuarios que ya hayan iniciado sesión.

cuando se establecen las configuraciones cliente que se van a implementar en el portal. Las instrucciones adicionales explican la instalación de una licencia de portal de GlobalProtect para permitir el uso de varias puertas de enlace y la configuración del segundo cortafuegos como puerta de enlace de GlobalProtect. Además. puede decidir si desea acceder a todas las puertas de enlace o especificar diferentes puertas de enlace para diferentes configuraciones. Si una configuración cliente contiene más de una puerta de enlace. el agente tratará de conectar a todas las puertas de enlace indicadas en su configuración cliente. El agente utilizará la prioridad y el tiempo de respuesta para determinar a qué puerta de enlace conectarse. En todas las configuraciones anteriores de ejemplo se admiten varias puertas de enlace.Configuraciones rápidas de GlobalProtect Configuración de varias puertas de enlace de GlobalProtect Configuración de varias puertas de enlace de GlobalProtect En la Ilustración: Topología de puerta varias puertas de enlace de GlobalProtect se ha añadido una segunda puerta de enlace a la configuración. Ilustración: Topología de puerta varias puertas de enlace de GlobalProtect Guía del administrador de GlobalProtect 161 .

42 a gp1. Guía del administrador de GlobalProtect . Compruebe que la licencia se haya activado correctamente. Después de adquirir la licencia de portal y de recibir su código de activación.51. debe configurar las • Seleccione Red > Interfaces > Ethernet y configure ethernet1/2 como interfaz de Ethernet de capa 3 con la dirección IP interfaces de cada cortafuegos que alberga 198. Paso 2 Nota Paso 3 162 Adquiera e instale una licencia de portal GlobalProtect en el cortafuegos que aloja el portal. 2.0. cree una política de seguridad (Políticas > Seguridad) que habilite el flujo del tráfico entre la zona corp-vpn y la zona l3-fiable para permitir el acceso a sus recursos internos.2. enrutador virtual predeterminado. Seleccione Activar característica mediante código de autorización. • Cree un registro “A” DNS que asigne la dirección IP 192.0.42 y asígnela a la zona de seguridad l3-nofiable y el una puerta de enlace. En el cortafuegos que aloja la segunda puerta de enlace (puerta de enlace 2): • Seleccione Red > Interfaces > Ethernet y configure ethernet1/5 como interfaz de Ethernet de capa 3 con la dirección IP 192.acme. En el cortafuegos que aloja el portal/puerta de enlace (puerta de enlace 1): En esta configuración. A continuación. • Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.100. • Habilite la identificación de usuario en la zona corp-vpn. Seleccione Dispositivo > Licencias. instale la licencia en el cortafuegos que aloja el portal de la siguiente forma: 1.4 y asígnela a la zona de seguridad l3-nofiable y el enrutador virtual predeterminado. las puertas de enlace si tiene usuarios que utilizarán la aplicación GlobalProtect en sus 4. A continuación. • Habilite la identificación de usuario en la zona corp-vpn. Asígnela al enrutador virtual predeterminado.4 a gp2.com.com.2.2. También necesitará una suscripción de puerta de enlace de GlobalProtect en todas 3. añádala a la nueva zona denominada corp-vpn.51.acme.100. En aquellos cortafuegos que alojan una puerta de enlace de GlobalProtect. • Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel. interfaz eviten tener que crear el enrutamiento entre zonas. Utilice el enrutador virtual predeterminado para que todas las configuraciones de la • Cree un registro “A” DNS que asigne la dirección IP 198. Asígnela al enrutador virtual predeterminado. dispositivos móviles o si planea utilizar la política de seguridad HIP. Esta licencia es necesaria para permitir una configuración de varias puertas de enlace.2. Cuando se le indique.Configuración de varias puertas de enlace de GlobalProtect Configuraciones rápidas de GlobalProtect Configuración rápida: Configuración de varias puertas de enlace de GlobalProtect Paso 1 Nota Creación de interfaces y zonas para GlobalProtect. añádala a la nueva zona denominada corp-vpn. introduzca el Código de autorización y haga clic en Aceptar.

configure los ajustes En el cortafuegos que aloja gp2. • (En un cortafuegos que solo aloja una puerta de enlace) Genere un nuevo certificado de servidor autofirmado. Consulte Configuración de una puerta de enlace para ver instrucciones detalladas sobre cómo crear configuraciones de puerta de enlace. gp1.32.acme.10. El CN del certificado debe coincidir con el FQDN. En todos los cortafuegos que alojan un portal/puerta de enlace o puerta de enlace.3 .2.com.Configuraciones rápidas de GlobalProtect Configuración de varias puertas de enlace de GlobalProtect Configuración rápida: Configuración de varias puertas de enlace de GlobalProtect (Continuación) Paso 4 Paso 5 Obtenga certificados de servidor para las interfaces que alojan el portal de GlobalProtect y para cada una de las puertas de enlace de GlobalProtect siguiendo estas recomendaciones: • (En el cortafuegos que aloja el portal o portal/puerta de enlace) Importe un certificado de servidor desde una CA externa conocida.31. configure los ajustes de la puerta de de la siguiente: enlace de la siguiente forma: Seleccione Red > GlobalProtect > Puertas de enlace y añada la siguiente configuración: Seleccione Red > GlobalProtect > Puertas de enlace y añada la siguiente configuración: Interfaz: ethernet1/2 Interfaz: ethernet1/2 Dirección IP: 198. Los portales y las puertas de enlace individuales también pueden utilizar distintos esquemas de autenticación. • Obtenga un certificado de servidor para la interfaz que aloja la puerta de enlace 2: Como esta interfaz aloja una puerta de enlace.118 Guía del administrador de GlobalProtect 163 . GP2-server-cert. de autenticación como sea necesario para garantizar la seguridad del portal y las puertas de enlace. seleccione Dispositivo > Gestión de certificados > Certificados para gestionar certificados de la siguiente forma: • Obtenga un certificado de servidor para el portal/puerta de enlace 1: Como el portal y la puerta de enlace se encuentran en la misma interfaz. utilice un certificado de servidor desde una CA pública.0.31. gp2.31.10.pem por Go Daddy Interfaz de túnel: tunnel.33.42 Dirección IP: 192.4 Certificado de servidor: GP1-server-cert.pem emitido Certificado de servidor: certificado autofirmado.31.com.2 Grupo de IP: 10.33.100. En el cortafuegos que aloja gp1. Defina cómo autenticará a los usuarios en el Puede utilizar cualquier combinación de perfiles de certificado o perfiles portal y las puertas de enlace.118 Grupo de IP: 10. debe utilizar el mismo certificado de servidor.acme. En este ejemplo se muestra la configuración para gp1 y gp2 que aparece en la Ilustración: Topología de puerta varias puertas de enlace de GlobalProtect. solo puede utilizar un certificado autofirmado.32. El CN del certificado debe coincidir con el FQDN.51. Consulte las siguientes secciones para obtener instrucciones detalladas: • Configuración de autenticación externa (perfil de autenticación) • Configuración de la autenticación de certificado de cliente (perfil del certificado) • Configuración de la autenticación en dos fases (basada en token u OTP) Necesitará hacer referencia al perfil del certificado o perfiles de autenticación que ha definido en las configuraciones de puerta de enlace y portal.3 .1 Interfaz de túnel: tunnel. Paso 6 Configure las puertas de enlace. Para permitir a los clientes conectarse con el portal sin que reciban errores de certificado.

51. utilice el procedimiento para Alojamiento de actualizaciones de agente en el portal. Creación de una configuración de cliente de GlobalProtect: El número de configuraciones cliente que crea depende de sus requisitos de acceso específicos. Guarde la configuración de GlobalProtect.pem emitido por Go Daddy 2. Configuración del acceso al portal: Interfaz: ethernet1/2 Dirección IP: 198.100. En este ejemplo. Paso 8 Paso 9 164 Implementación del software del agente de GlobalProtect. incluido si necesita la aplicación de una política basada en usuario/grupo o HIP. Haga clic en Confirmar en el cortafuegos que aloja el portal y las puertas de enlace.42 Certificado de servidor: GP1-server-cert. Seleccione Red > GlobalProtect > Portales y añada la siguiente configuración: 1. Guía del administrador de GlobalProtect . Seleccione Dispositivo > Cliente de GlobalProtect.Configuración de varias puertas de enlace de GlobalProtect Configuraciones rápidas de GlobalProtect Configuración rápida: Configuración de varias puertas de enlace de GlobalProtect (Continuación) Paso 7 Configuración del portal de GlobalProtect.

Todos los usuarios autenticados tienen acceso a recursos Web internos. En una configuración que solo tenga puertas de enlace internas. se utilizan las puertas de enlace internas para aplicar políticas basadas en grupos que permitan el acceso de los usuarios del grupo técnico a las bases de datos de errores y control de origen interno y el acceso de los usuarios del grupo de finanzas a las aplicaciones CRM. todos los clientes deben configurarse con inicio de sesión de usuario. Ilustración: Configuración de puerta de enlace interna de GlobalProtect Guía del administrador de GlobalProtect 165 . se puede utilizar una puerta de enlace interna para ofrecer un método preciso y seguro con el que identificar y controlar el tráfico por usuario o estado del dispositivo. Además. En esta configuración rápida. De igual forma. Las puertas de enlace internas son útiles en entornos confidenciales que requieren acceso autenticado a los recursos críticos. los perfiles HIP configurados en la puerta de enlace comprueban todos los hosts para garantizar el cumplimiento con los requisitos de mantenimiento internos (si están instalados los parches de seguridad y las definiciones de antivirus más recientes. Además. como los hosts internos no necesitan establecer una conexión de túnel con la puerta de enlace. sustituyendo otros servicios de control de acceso para redes (NAC). se utiliza la dirección IP del adaptador de red físico del sistema cliente. se recomienda que configure todas las configuraciones cliente que se deben utilizar para el inicio de sesión único (SSO).Configuraciones rápidas de GlobalProtect GlobalProtect para comprobación de HIP interna y acceso basado en usuario GlobalProtect para comprobación de HIP interna y acceso basado en usuario Junto con el ID de usuario o las comprobaciones HIP. el modo según demanda no es compatible. si está habilitado el cifrado de disco o si está instalado el software necesario).

Activar identificación de usuarios en la zona l3-fiable. Importe un certificado de servidor desde una CA externa conocida. c. Paso 3 Obtenga certificados de servidor para el portal GlobalProtect y todas las puertas de enlace de GlobalProtect. a. Si desea más información sobre licencias.GlobalProtect para comprobación de HIP interna y acceso basado en usuario Configuraciones rápidas de GlobalProtect Configuración rápida: Configuración de puerta de enlace interna de GlobalProtect En todos los cortafuegos que alojan un portal/puerta de enlace: 1. Nota Utilice el enrutador virtual predeterminado para que todas las configuraciones de la interfaz eviten tener que crear el enrutamiento entre zonas. Seleccione un puerto Ethernet para alojar el portal/puerta de enlace y. 3. Paso 1 Creación de interfaces y zonas para GlobalProtect. Puede utilizar certificados autofirmados en las puertas de enlace. los clientes finales deben confiar en el certificado de CA raíz utilizado para emitir el certificado de servidor del portal. Después de adquirir la licencia de portal y de recibir su código de activación. consulte Acerca de las licencias de GlobalProtect. Repita este paso para cada puerta de enlace. Implemente los certificados de servidor autofirmados. (Red > interfaces de cada cortafuegos que aloje Interfaces > Ethernet). un portal o puerta de enlace. Cree el certificado de CA raíz para la emisión de certificados autofirmados de los componentes de GlobalProtect. Genere un nuevo certificado de servidor autofirmado. la primera conexión de portal u obtener un certificado de servidor para el portal desde una CA de confianza. En todos los cortafuegos que alojan una puerta de enlace interna: a. b. 2. introduzca el Código de autorización y haga clic en Aceptar. Póngase en contacto con su ingeniero de ventas o distribuidor de Palo Alto Networks si no tiene todas las licencias necesarias. 166 Guía del administrador de GlobalProtect . Seleccione Activar característica mediante código de autorización. 4. configure una interfaz de capa 3 con En esta configuración. Cuando se le indique. Esto es necesario para habilitar una configuración de puerta de enlace interna y habilitar las comprobaciones HIP. debe configurar el portal y las puertas de enlace en interfaces de la red interna. Compruebe que la licencia se haya activado correctamente. Seleccione Dispositivo > Licencias. instale la licencia en el cortafuegos que aloja el portal de la siguiente forma: 1. En el cortafuegos que aloja el portal: Para conectarse al portal por primera vez. Puede utilizar un certificado autofirmado en el portal e implementar el certificado de CA raíz en los clientes finales antes de 2. debe configurar las una dirección IP en la zona de seguridad l3-fiable. Como esta 2. Paso 2 Adquiera e instale una licencia de portal de GlobalProtect en el cortafuegos que aloja las suscripciones de portal y de puerta de enlace en cada cortafuegos que aloje una puerta de enlace interna. a continuación. El flujo de trabajo recomendado es el siguiente: 1. configuración solo utiliza puertas de enlace internas.

perfiles de autenticación como sea necesario para garantizar la seguridad del portal y las puertas de enlace. Cree los perfiles HIP que tiene pensado usar en sus políticas. Consulte las siguientes secciones para obtener instrucciones detalladas: • Configuración de autenticación externa (perfil de autenticación) • Configuración de la autenticación de certificado de cliente (perfil del certificado) • Configuración de la autenticación en dos fases (basada en token u OTP) Necesitará hacer referencia al perfil del certificado o perfiles de autenticación que ha definido en las configuraciones de puerta de enlace y portal. Consulte Uso de información del host en la aplicación de políticas para obtener más información sobre las evaluaciones HIP. Cree objetos HIP para filtrar los datos del host sin procesar recopilados por los agentes. Por ejemplo. Paso 5 Cree los perfiles HIP que necesitará para 1. si está interesado en evitar a los usuarios que no tengan actualizados los parches necesarios. puede que quiera crear un objeto HIP con el que evaluar si está instalado el software de gestión de parches y que todos los parches con una gravedad determinada están actualizados. Los portales y las puertas de enlace individuales también pueden utilizar distintos esquemas de autenticación.Configuraciones rápidas de GlobalProtect GlobalProtect para comprobación de HIP interna y acceso basado en usuario Configuración rápida: Configuración de puerta de enlace interna de GlobalProtect (Continuación) Paso 4 Defina cómo autenticará a los usuarios en Puede utilizar cualquier combinación de perfiles de certificado o el portal y las puertas de enlace. puede que desee adjuntar el siguiente perfil HIP que coincidirá con los hosts a los que NO les falte ningún parche: Guía del administrador de GlobalProtect 167 . aplicar la política de seguridad en el acceso a la puerta de enlace. Por ejemplo. 2. si quiere asegurarse de que solo los usuarios de Windows con parches actualizados puedan acceder a sus aplicaciones internas.

la configuración de la puerta de enlace interna siempre debe estar activada y. newyork. utilice el procedimiento para Alojamiento de actualizaciones de agente en el portal.com Creación de una configuración de cliente de GlobalProtect: Utilizar registro único: habilitado Método de conexión: inicio de sesión de usuario Dirección de puerta de enlace interna: california. por lo tanto.acme. Seleccione Red > GlobalProtect > Puertas de enlace y agregue la siguiente configuración: • Interfaz • Dirección IP • Certificado de servidor • Perfil de autenticación o Perfil de configuración Observe que no es necesario configurar los ajustes de la configuración cliente en las configuraciones de la puerta de enlace (a no ser que desee establecer las notificaciones HIP) porque las conexiones de túnel no son necesarias.GlobalProtect para comprobación de HIP interna y acceso basado en usuario Configuraciones rápidas de GlobalProtect Configuración rápida: Configuración de puerta de enlace interna de GlobalProtect (Continuación) Paso 6 Configure las puertas de enlace internas.34. Configuración del acceso al portal: Interfaz: ethernet1/2 Dirección IP: 10.pem emitido por Go Daddy con CN=gp. Compile la configuración del portal. En este ejemplo.acme. Guía del administrador de GlobalProtect .com Usuario/grupo de usuarios: cualquiera 3. Seleccione Red > GlobalProtect > Portales y añada la siguiente configuración: 1. Seleccione Dispositivo > Cliente de GlobalProtect.13 Certificado de servidor: GP-server-cert.com. Paso 8 168 Implementación del software del agente de GlobalProtect. Nota Aunque todas las configuraciones anteriores pueden utilizar un método de conexión de inicio de sesión de usuario o según demanda. necesita un método de conexión de inicio de sesión 2. Consulte Configuración de una puerta de enlace para ver instrucciones detalladas sobre cómo crear configuraciones de puerta de enlace. Paso 7 Configuración del portal de GlobalProtect.31.acme. de usuario.

de enlace.Configuraciones rápidas de GlobalProtect GlobalProtect para comprobación de HIP interna y acceso basado en usuario Configuración rápida: Configuración de puerta de enlace interna de GlobalProtect (Continuación) Paso 9 Cree las reglas de seguridad HIP o Agregue las siguientes reglas de seguridad para este ejemplo: basadas en grupo/usuario en sus puertas 1. añada el perfil HIP y el usuario/grupo que se debe evaluar. Haga clic en ACEPTAR para guardar la regla. • Haga clic en Añadir en la sección Usuario de origen y seleccione el grupo (Finanzas o Técnico según la regla que esté creando). En la pestaña Usuario. 5. 2. 3. establezca la zona de origen en l3-fiable. Confirmar la configuración de la puerta de enlace. Seleccione Políticas > Seguridad y haga clic en Añadir. • Haga clic en Añadir en la sección Perfiles HIP y seleccione el perfil HIP MissingPatch. 169 . En la pestaña Origen. Guía del administrador de GlobalProtect 4.

los portales y las tres puertas de enlace (una externa y dos internas) se implementan en cortafuegos distintos. dispondrá de un control granular sobre los recursos a los que tendrán acceso los usuarios externos e internos. tratará de conectar a las puertas de enlace externas que se indican en su configuración cliente y establecerá una conexión de VPN (túnel) con la puerta de enlace con la prioridad más alta y el menor tiempo de respuesta. La puerta de enlace externa en gpvpn. las comprobaciones HIP se utilizan para garantizar que los hosts que tienen acceso al centro de datos tienen los parches de seguridad actualizados. Además.com proporciona acceso de VPN remoto a la red corporativa mientras las puertas de enlace internas proporcionan acceso granular a recursos especializados del centro de datos según la pertenencia a un grupo u otro. configure puertas de enlace independientes para el acceso de VPN y para el acceso a sus recursos internos confidenciales. los agentes realizan la detección de host interno para determinar si se encuentran en una red interna o externa. también tendrá un control granular sobre a qué puertas de enlace tendrán acceso los usuarios configurando el portal para implementar las distintas configuraciones cliente según la pertenencia a un grupo/usuario o la coincidencia del perfil HIP. Con esta configuración.Configuración de puerta de enlace externa e interna combinada Configuraciones rápidas de GlobalProtect Configuración de puerta de enlace externa e interna combinada En una configuración de puerta de enlace interna y externa combinada.acme. Si el agente determina que la red es externa. Ilustración: Implementación de GlobalProtect con puertas de enlace internas y externas 170 Guía del administrador de GlobalProtect . Además. En este ejemplo. Como las políticas de seguridad se definen de forma independiente en cada puerta de enlace.

com. • Habilite la identificación de usuario en la zona corp-vpn. alojan una puerta de enlace. añádala a la nueva zona denominada corp-vpn. Guía del administrador de GlobalProtect 171 . debe configurar las • Seleccione Red > Interfaces > Ethernet y configure ethernet1/2 como interfaz de Ethernet de capa 3 con la dirección IP interfaces en el cortafuegos que aloja un 198. A continuación.2.com): • Seleccione Red > Interfaces > Ethernet y configure la interfaz de Ethernet de capa 3 con direcciones IP en la red interna y asígnelas a la zona de seguridad l3-fiable y al enrutador virtual predeterminado.42 y asígnela a la zona de seguridad l3-nofiable y el portal y en todos los cortafuegos que enrutador virtual predeterminado.com y newyork. Utilice el enrutador virtual predeterminado • Cree un registro “A” DNS que asigne la dirección IP 198. • Habilite la identificación de usuario en la zona corp-vpn.acme. • Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.3. Asígnela al enrutador virtual predeterminado. A continuación.2.com.com y newyork.acme.51. En el cortafuegos que aloja la puerta de enlace externa (gpvpn.4 en gpvpn.100.acme. añádala a la nueva zona denominada corp-vpn.4 y asígnela a la zona de seguridad l3-nofiable y el enrutador virtual predeterminado.acme.0. En el cortafuegos que aloja la puerta de enlace del portal (gp.51. • Habilite la identificación de usuarios en la zona l3-fiable.com): • Seleccione Red > Interfaces > Ethernet y configure ethernet1/5 como interfaz de Ethernet de capa 3 con la dirección IP 192. En el cortafuegos que aloja las puertas de enlace internas (california.acme.acme.com): En esta configuración.acme.0.acme. Asígnela al enrutador virtual predeterminado.com. • Cree un registro “A” DNS que asigne la dirección IP 192.42 en gp. para que todas las configuraciones de la interfaz eviten tener que crear el • Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.2. enrutamiento entre zonas. • Cree un registro “A” DNS que asigne las direcciones IP internas california.100.Configuraciones rápidas de GlobalProtect Configuración de puerta de enlace externa e interna combinada Configuración rápida: Configuración de puerta de enlace externa e interna combinada de GlobalProtect Paso 1 Nota Creación de interfaces y zonas para GlobalProtect.

Defina cómo autenticará a los usuarios en el Puede utilizar cualquier combinación de perfiles de certificado o perfiles portal y las puertas de enlace. instale la licencia en el cortafuegos que aloja el portal e instale las suscripciones de la puerta de enlace en los cortafuegos que alojan sus puertas de enlace de la siguiente forma: 1. Los portales y las puertas de enlace individuales también pueden utilizar distintos esquemas de autenticación. Implemente los certificados de servidor autofirmados. Consulte las siguientes secciones para obtener instrucciones detalladas: • Configuración de autenticación externa (perfil de autenticación) • Configuración de la autenticación de certificado de cliente (perfil del certificado) • Configuración de la autenticación en dos fases (basada en token u OTP) Necesitará hacer referencia al perfil del certificado o perfiles de autenticación que ha definido en las configuraciones de puerta de enlace y portal. Seleccione Dispositivo > Licencias. Repita este paso para cada puerta de enlace. En todos los cortafuegos que alojan una puerta de enlace: a. certificado de CA raíz para los agentes en la configuración cliente. Cree el certificado de CA raíz para la emisión de certificados autofirmados de los componentes de GlobalProtect. 2. Puede utilizar certificados autofirmados en las puertas de enlace e implementar el 2. consulte Acerca de las licencias de GlobalProtect. Póngase en contacto con su ingeniero de ventas o distribuidor de Palo Alto Networks si no tiene todas las licencias necesarias. Genere un nuevo certificado de servidor autofirmado. introduzca el Código de autorización y haga clic en Aceptar. Cuando se le indique. Importe un certificado de servidor desde una CA externa conocida. Se recomienda generar todos los certificados del cortafuegos que aloja el portal e implementarlos en las puertas de enlace. Seleccione Activar característica mediante código de autorización. Si desea más información sobre licencias.Configuración de puerta de enlace externa e interna combinada Configuraciones rápidas de GlobalProtect Configuración rápida: Configuración de puerta de enlace externa e interna combinada de GlobalProtect Paso 2 Adquiera e instale una licencia de portal de GlobalProtect en el cortafuegos que aloja las suscripciones de portal y de puerta de enlace en cada cortafuegos que aloje una puerta de enlace (interna y externa). Compruebe que la licencia y las suscripciones se hayan activado correctamente. los clientes finales deben confiar en el certificado de CA raíz utilizado para emitir el certificado de servidor del portal. Paso 3 Obtenga certificados de servidor para el portal GlobalProtect y todas las puertas de enlace de GlobalProtect. Después de adquirir la licencia del portal y las suscripciones de la puerta de enlace y recibir su código de activación. b. 3. Para conectarse al portal por primera vez. 4. El flujo de trabajo recomendado es el siguiente: 1. En el cortafuegos que aloja el portal: a. de autenticación como sea necesario para garantizar la seguridad del portal y las puertas de enlace. Paso 4 c. 172 Guía del administrador de GlobalProtect .

aplicar la política de seguridad en el acceso a la puerta de enlace. Guía del administrador de GlobalProtect 173 . puede que desee adjuntar el siguiente perfil HIP que coincidirá con los hosts a los que NO les falte ningún parche: Paso 6 Configure las puertas de enlace internas. puede que quiera crear un objeto HIP con el que coincidir si el software de gestión de parches está instalado y que todos los parches con una gravedad determinada estén actualizados. Consulte Uso de información del host en la aplicación de políticas para obtener más información sobre las evaluaciones HIP. Por ejemplo. si quiere asegurarse de que solo los usuarios de Windows con parches actualizados puedan acceder a sus aplicaciones internas. Cree los perfiles HIP que tiene pensado usar en sus políticas. 2. Cree objetos HIP para filtrar los datos del host sin procesar recopilados por los agentes. Consulte Configuración de una puerta de enlace para ver instrucciones detalladas sobre cómo crear configuraciones de puerta de enlace. si está interesado en avisar a usuarios no actualizados sobre los parches que necesitan. Por ejemplo.Configuraciones rápidas de GlobalProtect Configuración de puerta de enlace externa e interna combinada Configuración rápida: Configuración de puerta de enlace externa e interna combinada de GlobalProtect Paso 5 Cree los perfiles HIP que necesitará para 1. Seleccione Red > GlobalProtect > Puertas de enlace y agregue la siguiente configuración: • Interfaz • Dirección IP • Certificado de servidor • Perfil de autenticación o Perfil de configuración Observe que no es necesario configurar los ajustes de la configuración cliente en las configuraciones de la puerta de enlace (a no ser que desee establecer las notificaciones HIP) porque las conexiones de túnel no son necesarias.

que se ejecuta el agente/aplicación (Android. Paso 8 Paso 9 Implementación del software del agente de GlobalProtect. iOS. Seleccione Red > GlobalProtect > Portales y añada la siguiente configuración: 1. Para obtener visibilidad. utilice el procedimiento para Alojamiento de actualizaciones de agente en el portal. para permitir le acceso granular a sus recursos de centro de datos internos. Mac o Windows). a continuación. Interfaz: ethernet1/2 Dirección IP: 10.com Usuario/grupo de usuarios: cualquiera 3. cree una política de seguridad (Políticas > Seguridad) que habilite el flujo del tráfico entre la zona corp-vpn y la zona l3-fiable. cree reglas que permitan a todos los usuarios un acceso de navegación Web a la zona l3-nofiable usando perfiles de seguridad predeterminados que le protejan de amenazas conocidas. Seleccione Dispositivo > Cliente de GlobalProtect.31. newyork.com.pem emitido por Go Daddy con CN=gp. Además. Paso 10 Guarde la configuración de GlobalProtect.acme. puede elegir crear configuraciones separadas para distintos usos y. Configuración del acceso al portal: Aunque este ejemplo muestra cómo crear una configuración cliente única que se implementará para todos los agentes.Configuración de puerta de enlace externa e interna combinada Configuraciones rápidas de GlobalProtect Configuración rápida: Configuración de puerta de enlace externa e interna combinada de GlobalProtect Paso 7 Configuración del portal de GlobalProtect.acme. Guía del administrador de GlobalProtect . implementarlas según el nombre del grupo/usuario o el sistema operativo en el 2. En este ejemplo. En aquellos cortafuegos que alojan una puerta de enlace de GlobalProtect externa.com Dirección de puerta de enlace interna: california.acme.com Creación de una configuración de cliente de GlobalProtect: Detección de host interno: habilitada Utilizar registro único: habilitado Método de conexión: inicio de sesión de usuario Dirección de puerta de enlace: gpvpn. 174 Compile la configuración del portal.34. Haga clic en Compilar en el portal y en todas las puertas de enlace.acme. cree políticas HIP y basadas en usuario/grupo.13 Certificado de servidor: GP-server-cert.