Guía para instalar y habilitar el appliance de

AppGate
Este documento tiene por objetivo explicar como se lleva a cabo la instalación de la imagen ISO en
los hipervisores soportados:

• VMware ESX (5.5 or higher)

• KVM (libvirt 4.0.0 or higher)
• Microsoft Hyper-V (10.0.14393 or higher)
• Citrix Hypervisor (7.4 or higher), Agent (7.1 or higher)
• Nutanix AHV (5.5 or higher)

▪ Oracle VirtualBox & VMware workstation se recomienda solo para ambientes de pruebas no
productivos

Los sistemas operativos soportados son:

• Compatible con Windows 7SP1 y posteriores. El agente debe cumplir con los siguientes
prerequisitos:
o Todos los sistemas Windows: .NET 4.5 o posterior.
o Systemas antiguos o anteriores a Windows 10: descargar la siguiente actualización.
o Para Windows 7SP1: descargar está actualización.
• Compatible con Ubuntu 16.04 o posterior. Network manager 1.2.4 o posterior y gnome-
keyring son requeridos.
• Compatible con Fedora 29 and 30
• Compatible con CentOs y RedHat 7.7
• Compatible con OSX/macOS version 10.12.6 a 10.15.x.

Requisitos de hardware y red

Los requisitos de hardware están en función de la necesidad del proyecto o el objetivo de la prueba,
para este último escenario, el despliegue es muy rápido y controlado, no olvidemos que los “casos de
uso” están basados en el mismo principio y se trabaja de la misma forma sea para un usuario o
servidor, la diferencia es que las condiciones y la interacción de AppGate son con un usuario
“humano”, a diferencia de un servidor, que usualmente es desatendido por lo tanto no hay
interacción, de ahí en fuera las políticas de acceso y de ringfence aplican de la misma forma a
excepción de dispositivos móviles que no soportan esta funcionalidad.

Para una prueba de no más de 10 usuarios, sin LogServer, se requiere al menos:

Si se requieren mas usuarios favor de contactar al equipo técnico de AppGate

Servidores
CPUs (Haswell, Broadwell or
Componente Mem. RAM Disco Duro
Skylake)
Virtuales
Controlador/Gateway 1 4G 20G Min 2

©2020 AppGate. www.appgate.com

Para una prueba de más de 10 usuarios, con LogServer activo, se requiere al menos:

Servidores
CPUs (Haswell, Broadwell or
Componente Mem. RAM Disco Duro
Skylake)
Virtuales
Controlador/Gateway 1 8G 100G Min 2

En caso de que los usuarios/servidores crucen a través de un firewall los puertos que se utilizan para
tener comunicación entre el agente y el appliance son:

Función Puerto Tipo

Conexión Usuarios-controlador 443 TCP
443,
Utilizando SPA UDP
53

Para la administración de la solución AppGate se requiere tener acceso al puerto 444:

Función Puerto Tipo

Administración web 444 TCP

Después de instalar el ISO, la configuración inicial del appliance será de la siguiente forma:

1. escribir “sudo cz-setup” y elegir la primera opción

2. El primer paso es configurar el hostname del Appliance en el menú “Hostnames” dar ENTER

©2020 AppGate. www.appgate.com

3. Escribir el hostname y dar ENTER, después ESC

4. Ir al menú “Network interfaces” | “Configure eth0” | “IPv4 static addresses” | “Add address” y
escribir “x.x.x.x” posteriormente la máscara en "bits”, presionar ENTER y seleccionar “Associate with
ag.appgate.lab (el hostname que se haya definido)”

©2020 AppGate. www.appgate.com

Presionar ESC 3 veces para regresar al menú principal

5. En el Menú principal, escoger “Static Routes” damos ENTER, elegimos la opción “Add default
Gateway for IPv4”, damos ENTER y escribimos la IP del Gateway de la red X.X.X.X

6. Damos ESC y al regresar al Menú principal, escogemos “DNS servers” damos ENTER, de nuevo
ENTER en “Add DNS Server” y escribimos nuestros DNSs

©2020 AppGate. www.appgate.com

Presionamos ENTER y agregamos otro DNS si es necesario, damos ESC para regresar al menú
principal

7. Ir a la opción de “Administrator passwords” y escribir el password para los usuarios cz (consola) y

admin (web).

Después de confirmar el password, damos ESC y seleccionamos: Password for “admin” user:

Una vez confirmado el password, damos ESC y regresamos al menú principal

8. Finalmente seleccionar “Apply configuration”, y elegir “yes” para que se lleve a cabo el proceso
de self-registration

©2020 AppGate. www.appgate.com

9. Después de que concluya la instalación abrir el navegador (preferente Chrome o Firefox) y escribir
la dirección https://x.x.x.x:444 aceptar el certificado.

para posteriormente ver la siguiente pantalla en donde elegimos local

©2020 AppGate. www.appgate.com

Introducimos credenciales y tendremos acceso a nuestro appliance de AppGate

Configurando Gateway y Site

Desde la consola de AppGate dentro de System navegar hasta Sites, clic en Add New y configurar de
la siguiente forma.

©2020 AppGate. www.appgate.com

Agregando la funcionalidad de Gateway
Agregar la funcionalidad Gateway en el mismo dispositivo que el controlador es muy fácil. Vaya a
System -> Aplanches y elija “ag_appgate_lab” (previamente configurado). En la pestaña General, en
Functions, marque la casilla Gateway. En Site, elija "AppGate Lab" en el menú desplegable, que
definimos anteriormente. En User Tunneling - Allow Destinations, haga clic en Add nuevo y complete
el Target (Dirección / máscara de red e Interfaz de red) como se muestra a continuación.

©2020 AppGate. www.appgate.com

Crear un entitlement y policy

©2020 AppGate. www.appgate.com

Policy:

Solo nos falta configurar el Agente AppGate

La instalación del Agente de AppGate requiere permisos de administrador, se ejecuta el archivo

Aceptamos el acuerdo, damos clic en “Next” y después en “Install”

©2020 AppGate. www.appgate.com

Aceptamos la instalación de los componentes en caso de que lo solicite el instalador

Una vez terminada la instalación daremos clic en Finish

Una vez que se ha instalado el agente, damos clic en “Approve” al aviso de privacidad

©2020 AppGate. www.appgate.com

A continuación, será necesario crear un profile, damos clic en USE PROFILE LINK, pegamos el link que
se genera en el AppGate appliance, damos SUBMIT y damos clic en CONNECT TO APPGATE SDP e
introducimos usuario y contraseña y damos clic en CONNECT

¡Y es todo! estaremos conectados a nuestro AppGate, ahora podemos trabajar de forma segura y
controlada hacia los recursos autorizados.

Abajo el flujo de comunicación:

©2020 AppGate. www.appgate.com

Dimensionamiento y performance

A continuación, se describen las relaciones de cantidad de usuarios por cantidad de RAM y acciones,
esta tabla se puede utilizar como referencia para dimensionar las características de la instancia virtual
en donde ira montado AppGate.

Cabe mencionar que esta tabla se realizo en laboratorio, sin embargo, los datos son buena referencia,
no olvidemos que los 2 procedimientos importantes es al autenticar al usuario y cuando se ejecutan
acciones, a diferencia de otras tecnologías no se están abriendo o cerrando puertos de conexión, la
información de las autorizaciones o entitlements vive en los tokens que se asignan al usuario cuando
se lleva a cabo el proceso de autenticación.

AppGate SDP se divide principalmente en 2 roles Controller y Gateway, cada uno con funciones
específicas:

Controller: autentica, contiene las políticas, evalúa las condiciones de los usuarios y despliega los
tokens.
Gateways: contiene los puertos abiertos e IP’s destinos a los cuales tienen o no acceso los
usuarios
LogServer: guarda el log de la actividad que sucede en los otros dispositivos y de los usuarios, el
logserver es solo una herramienta que permite monitorear y realizar actividades de
troubleshooting.

CPU

El controller es el elemento que consume más CPU, un ejemplo del performance sería, para 1000
usuarios autenticándose en 1 minuto con una sola política aplicada, se requerirán 8 VCPUs, la
posibilidad de que 1000 usuarios se autentiquen en 1 minuto puede o no ser probable, por lo tanto,
si consideramos tener un promedio de 250 usuarios por minuto el requerimiento de CPU será de
aproximadamente de 2vCPUs para ese minuto.
La medición aproximada es de 500ms por cada inicio de sesión.

©2020 AppGate. www.appgate.com

Para un usuario que consuma 5 políticas con 10 entitlements el consumo puede variar, 500 usuarios
se estarían autenticando en 1 minuto, por lo tanto, se requieren 4 vCPUs para un promedio de 250
usuarios.
Para este último caso, tener 5 políticas por usuario con 10 entitlements puede ser mucho o
poco, esto dependerá del diseño de reglas y políticas

Disco Duro

Un controlador y un Gateway en la misma instancia virtual requiere 20 G de disco duro, en ellos se

almacenan Sistema Operativo, políticas, reglas y el log de la actividad.

RAM

El Gateway utiliza mayores recursos de memoria RAM, por ejemplo para reglas simples donde los
usuarios autenticados necesitan alcanzar 2 host, el consumo será de 2MB por usuario, es decir, si
tenemos 1000 usuarios X 2 reglas cada 1, tendremos un consumo simultaneo de 2000 MB para
dimensionar la RAM necesaria, la regla seria (.002 x 1000)+2= 4 G de RAM.

A continuación, una tabla de referencia según la cantidad de usuarios, políticas y reglas:

# usuarios vCPU RAM Entitlements Políticas

concurrentes
Hasta 150 2 8 10 5
Hasta 350 6 8 10
Hasta 1000 8 16 10 5

NOTA: Esto es una referencia, para realizar un buen diseño favor que contar al área de consultoría de
AppGate a través de su BDM.

©2020 AppGate. www.appgate.com