Configuración zona TAP Palo Alto

1. Conexión
Primeramente debemos conectarnos al equipo palo alto por medio del puerto management del
mismo, por defecto tiene configurada la ip 192.168.1.1 /24 sin Gateway, por lo que podemos
configurar nuestra máquina con la 192.168.1.2 /24 por ejemplo. (o cualquier IP dentro a red /24).

Cable Consola

.1 .2
Cable Ethernet
192.168.1.x /24

Ilustración 1. Interconexión de los dispositivos.

Nos conectamos al firewall a través del cable consola para poder revisar la configuración que trae
por defecto. La configuración que trae por defecto es:

- User: admin
- Password: admin

Entonces nos colocará en el prompt admin@PA-XXXX> donde las X son el modelo del equipo. Por
ejemplo admin@PA-3020>.

Cuando ya se esté en el modo de administración se podrá verificar la configuración del puerto de

administración, por medio del comando show interface management, mismo que nos arrojará la
IP con la cual está configurada dicha interface.

Ilustración 2. Verificación de la IP de management.

Como se puede verificar en la imagen anterior la IP es la 192.168.1.1, dicha IP la debemos colocar
en nuestro navegador para proceder a la configuración del equipo para la PoC. (se debe utilizar
https://192.168.1.1).

Ilustración 3. IP de administración WEB

Ilustración 4. Pantalla de inicio de sesión del equipo

Para ingresar al equipo se debe de utilizar el siguiente acceso,

- Nombre: admin
- Contraseña: admin

De esta manera se ingresa al dashboard del equipo como se muestra en la ilustración 5, a partir de
esta pantalla ya se puede proceder a la configuración.
 Ilustración 5. Dashboard del equipo.

2. Configuración del equipo

2.1 Creación de zonas
Para poder crear la zona TAP (zona para el security checkup), se debe ingresar a la pestaña de
network, y en el apartado de Zones, donde nos desplegará las zonas que el equipo tiene creadas
por defecto mismas que son dos, la trust y untrust.

Ilustración 6, Pestaña de Network y Zonas.

Cuando ya estamos en esta
pantalla, se procede a añadir una
nueva zona picándole en el botón
add,

Ilustración 7. Creación de nueva zona.

1. Definir un nombre
para la zona TAP.

2. Definir como tipo

TAP.

3. Le picamos en ok para
finalizar la creación

Ilustración 8. Creación de la zona.

2.2 Configuración de interfaces
Luego de crear la nueva zona nos vamos a la sección de interfaces en la misma pestaña de
network, en la misma seleccionamos la interface que nosotros queramos designar para que funja
como TAP.

Cabe recalcar que todas las interfaces que están disponibles no están asociadas a ninguna vlan ni
tienen una zona de seguridad, es importante revisar esto para no afectar servicios u otras
configuraciones.

1. Ingresar a interface.

2. Seleccionar la
interface que queramos

Ilustración 9. Configuración de interfaces.

1. Nombre de la interfaz seleccionada

2. Del scrolldown se debe escoger que

la interfaz sea tipo TAP

3. Seleccionar la zona de seguridad

creada en el paso anterior

Ilustración 10. Asociar una interface al modo TAP.

Ilustración 11. Verificación de configuración.

Una vez que ya se hizo la asociación de interfaz a la zona, en el dashboard de interface nos debe
decir lo siguiente:

- Tipo de interface: TAP

- Security Zone: [El nombre de la zona de seguridad creada]

2.3 Políticas
A continuación se deben crear la política para la zona TAP, misma que permita cualquier (any)
tráfico de un origen TAP a cualquier (any) destino TAP.

1. Pestaña de políticas.

2. Crear una nueva política.

Ilustración 12. Pestaña de Políticas.

Cuando se abre el cuadro de diálogo de la política, se tendrán 7 nuevas pestañas, de las cuales solo
trabajaremos con General, Source y Destination.

1. Definimos el nombre de la 2. Nos vamos a Source.

política.

Ilustración 13. Nueva política, pestaña General.

1. Seleccionamos la zona de seguridad 2. Nos vamos a Destination.
que se creó en el punto 2.1

Ilustración 14. Nueva política, pestaña Source.

1. Seleccionamos la zona de seguridad 2. Le damos OK.

que se creó en el punto 2.1

Ilustración 15Nueva política, pestaña destination.

 Ilustración 16. Política Creada.

Una vez que tenemos creada la política debemos cerciorarnos de que va de la zona de seguridad
origen a la de destino, acorde a los parámetros definidos.

2.4 Objetos
En esta sección se deben definir los objetos relacionados a los perfiles de seguridad, en las
opciones de que se detallan a continuación.

1. Pestaña de objetos.

2. Ingresar a Security Profiles.

Ilustración 17. Pestaña de Objetos.

2.4.1 Antivirus
Al ingresar a la primera opción Antivirus, se debe definir un nuevo perfil, mismo que se utilizará
para la PoC, donde todas las acciones que se vayan a crear deben estar en alert. Otra opción que
se tiene, es seleccionar el perfil ya existente llamado default y clonarlo, sin embargo se deben
modificar las acciones que este trae a alert.

Opción 2.

1. Seleccionar el perfil por

default, ya existente

1. Seleccionar Antivirus.

2. Crear un nuevo perfil.

Opción 2.

2. Clonar el perfil por default

y modificarlo.

Ilustración 18. Creación de Perfil de Antivirus

Cuando se ingresa o crea el nuevo perfil de antivirus, aparecerá una pantalla similar a la que se
muestra en la ilustración 19. Donde se debe definir el nombre del perfil y cambiar todas las
acciones a alert.
 1. Definir un nombre.

2. Cambiar todas las

acciones a alert.

Ilustración 19. Modificaciones del perfil de Antivirus

1. Picar en OK cuando esté

terminada la configuración

Ilustración 20. Modificaciones del perfil de Antivirus terminadas.

 Ilustración 21. Perfil de Antivirus correctamente creado.

2.4.2 Anti Spyware

Al ingresar a la segunda opción Anti Spyware, se debe definir un nuevo perfil, mismo que se
utilizará para la PoC, donde todas las acciones que se vayan a crear deben estar en alert. Otra
opción que se tiene, es seleccionar el perfil ya existente llamado default y clonarlo, sin embargo se
deben modificar las acciones que este trae a alert.

Opción 2.

1. Seleccionar el perfil por

default, ya existente
1. Seleccionar Anti Spyware.
Opción 2.

2. Crear un nuevo perfil. 2. Clonar el perfil por default

y modificarlo.

Ilustración 22. Dashboard de Anti-Spyware.

A continuación se muestra la creación de reglas para el perfil del Anti Spyware, para sus diferentes
reglas.

1. Declarar el nombre del

perfil.

2. Adherir la regla
correspondiente.

Ilustración 23. Adherir los perfiles de Severidad.

1. Definir un nombre para la regla.

2. Definir la acción como alerta.

3. La severidad varía del nivel de

severidad.

4. Una vez definido la acción y la

severidad picamos en OK.

Ilustración 24. Definir las reglas del Anti Spyware, Severidad Critical.
Los pasos anteriores se deben realizar para los niveles de critical, high, médium y low, en los
mismos se define la acción a alert y se termina la configuración del Anti Spyware.

Ilustración 25. Definir las reglas del Anti Spyware, Severidad High.

Ilustración 26. Definir las reglas del Anti Spyware, Severidad Medium.
 Ilustración 27. Definir las reglas del Anti Spyware, Severidad Low.

La configuración del Anti Spyware deberá quedar como se muestra a continuación.

Ilustración 28. Configuración terminada del Anti Spyware.

2.4.3 Vulnerability Protection

Al ingresar a la segunda opción Vulnerability Protection, se debe definir un nuevo perfil, mismo
que se utilizará para la PoC, donde todas las acciones que se vayan a crear deben estar en alert.
Otra opción que se tiene, es seleccionar el perfil ya existente llamado default y clonarlo, sin
embargo se deben modificar las acciones que este trae a alert.
 1. Seleccionar Vulnerability Opción 2.
Protection 1. Seleccionar el perfil por
default, ya existente

Opción 2.

2. Crear un nuevo perfil. 2. Clonar el perfil por default

y modificarlo.

Ilustración 29. Dashboard Vulnerability Protection.

1. Definir el nombre del perfil.

2. Seleccionar cada regla y

cambiar la acción a alert.

Ilustración 30. Edición del perfil de Vulnerability Protection.

 1. Colocar la acción a alert.

2. Presionar OK cuando se
haya terminado la edición.

Ilustración 31. Modificación de Acciones del Vulnerability Protection.

1. Presionar OK cuando se
haya verificado la edición.

Ilustración 32. Verificación de los cambios realizados.

 Ilustración 33. Cambios realizados correctamente.

2.4.4 URL Filtering

Al ingresar a la segunda opción URL Filtering, se debe definir un nuevo perfil, mismo que se
utilizará para la PoC, donde todas las acciones que se vayan a crear deben estar en alert. Otra
opción que se tiene, es seleccionar el perfil ya existente llamado default y clonarlo, sin embargo se
deben modificar las acciones que este trae a alert.

Opción 2.

1. Seleccionar el perfil por

default, ya existente

1. Seleccionar URL Filtering

Opción 2.

2. Crear un nuevo perfil. 2. Clonar el perfil por default

y modificarlo.

Ilustración 34. Dashboard URL Filtering.

1. Definir el nombre del perfil.

2. Cambiar la acción a alert para

todas las categorías.

Ilustración 35. Modificación del URL Filtering.

1. Verificar que todas las acciones

estén en alert.

2. Una vez terminador presionar

OK.

Ilustración 36. Revisión de la modificación del URL Filtering.

2.4.5 File Blocking

1. Seleccionar File Bloking

2. Crear un nuevo perfil.

Ilustración 37. Dashboard del File Blocking.

1. Añadir nombre de perfil.

3. Asegurarse de que esté

en alerta

2. Adherir acciones al perfil 4. Al finalizar presionar ok

2.4.6 Data Filtering

1. Seleccionar Data Filtering.

2. Crear un nuevo perfil.

 1. Definir un nombre.

2. Crear un nuevo patrón.

1. Definir un nombre para el patrón

3. Definir el peso.
2. Definir el nombre del registro

3. El regex determina como se verá

el registro
2.5 Definir las acciones para los perfiles
2.6 Modificación de parámetros del equipo
2.7 Habilitar un puerto para salida a internet
Se debe crear una zona LAN como se vió en el punto 2.1 con los parámetros que se muestran en la
siguiente ilustración.
Nos vamos a la parte de interfaces y seleccionamos la que nosotros veamos conveniente y
empezamos a configurarla como se muestra a continuación.
Para seleccionar el management profile se tiene que crearlo primeramente, bajo los siguientes
parámetros, luego se lo selecciona y se termina la configuración de la interface.
2.8 Generar el reporte
2.9 Verificación del funcionamiento del TAP
2.10 Verificación de licencias