Web_Security_Deployment_Guide.pdf

Guía de implementación de soluciones de seguridad web

Serie febrero 2012

PrefacioSerie febrero 2012

Prefacio

¿A quién va dirigida esta guía?Esta guía de Cisco® Smart Business Architecture (SBA) va dirigida a personas con diversos cometidos:

• Ingenieros de sistemas que necesitan procedimientos estándar para implementar soluciones.

• Directores de proyecto que crean declaraciones de trabajo para implementaciones Cisco SBA.

• Partners que venden nuevas tecnologías o crean documentación para la implementación.

• Formadores que necesitan materiales pedagógicos para la sala de clases o la capacitación práctica.

En general, las guías de Cisco SBA pueden emplearse para unificar las prácticas entre distintos ingenieros e implementaciones, así como para mejorar la estimación del alcance y los costos de las tareas de implementación.

Versión de la serieCisco se esfuerza por actualizar y mejorar las guías SBA con regularidad. A medida que se van desarrollando, las nuevas guías SBA se someten a pruebas junto con el resto de las guías de la serie, para garantizar que funcionen como un sistema unificado. Para asegurarse de que los diseños descritos en las distintas guías de Cisco SBA sean compatibles entre sí, debe utilizar guías pertenecientes a la misma serie.

La serie a la que pertenece cada guía de Cisco SBA se indica en la esquina inferior izquierda de cada página. La serie a la que pertenece la guía se distingue por el mes y el año de publicación, como sigue:

Serie mes año

Por ejemplo, las guías publicadas en agosto de 2011 pertenecen a la “Serie agosto 2011”.

Puede acceder a la serie más reciente de guías de SBA en las siguientes direcciones:

Acceso para clientes: http://www.cisco.com/go/sba

Acceso para partners: http://www.cisco.com/go/sbachannel

Cómo interpretar los comandosMuchas de las guías de Cisco SBA proporcionan detalles específicos acerca de la configuración de dispositivos de red Cisco que ejecutan Cisco IOS, Cisco NX-OS u otros sistemas operativos que se configuran mediante una interfaz de línea de comandos (CLI). En esta sección se describen las convenciones que se emplean para especificar los comandos que se deben utilizar.

Los comandos que se deben introducir en la CLI se indican de la forma siguiente:configure terminal

Los comandos que especifican un valor para una variable se indican de la forma siguiente:

ntp server 10.10.48.17Los comandos con variables que el usuario debe definir se indican de la forma siguiente:

class-map [nombre de la variable de la clase más alta]Los comandos que se muestran en un ejemplo interactivo, como un script, o cuando se incluye el símbolo del sistema, se indican de la forma siguiente:

Router# enableLos comandos largos que no caben en una línea se subrayan y deben introducirse como un solo comando:

wrr-queue random-detect max-threshold 1 100 100 100 100 100 100 100 100

Los elementos de la salida del sistema o de los archivos de configuración de los dispositivos sobre los que se desea llamar la atención se destacan de la forma siguiente:

interface Vlan64 ip address 10.5.204.5 255.255.255.0

Comentarios y preguntasSi desea realizar cualquier comentario o tiene alguna pregunta acerca de alguna de nuestras guías, acceda al foro cuya dirección figura en la parte inferior de la página web correspondiente:

Acceso para clientes: http://www.cisco.com/go/sbaAcceso para partners: http://www.cisco.com/go/sbachannel

Si desea recibir notificaciones cuando se publiquen nuevos comentarios en estos foros, hay una fuente RSS disponible.

http://www.cisco.com/go/sba

http://www.cisco.com/go/sbachannel



ContenidoSerie febrero 2012

Contenido de esta guía de SBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

Acerca de SBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

Descripción comercial de la solución . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Descripción general de la tecnología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Detalles de la implementación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

Preparación para la implementación de Cisco IronPort WSA . . . . . . . . . . . 5

Implementación básica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Habilitación de servicios de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Implementación de WCCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Implementación de HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Habilitación de la autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Mantenimiento de Cisco WSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Apéndice A: números de pieza del producto . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

Contenido

TODOS LOS DISEÑOS, ESPECIFICACIONES, DECLARACIONES, INFORMACIÓN Y RECOMENDACIONES (EN CONJUNTO, "DISEÑOS") DE ESTE MANUAL SE PRESENTAN "TAL CUAL", CON TODAS LAS FA-LLAS. CISCO Y SUS PROVEEDORES DENIEGAN TODAS LAS GARANTÍAS INCLUSO, SIN LIMITACIÓN, LA GARANTÍA DE COMERCIALIZACIÓN, IDONEIDAD PARA UN PROPÓSITO DETERMINADO Y DE NO CONTRAVENCIÓN O LAS QUE SURJAN DE LA DISTRIBUCIÓN DE LA DISTRIBUCIÓN, USO O PRÁCTICA COMERCIAL. EN NINGÚN CASO, CISCO O SUS PROVEEDORES SERÁN RESPONSABLES POR NINGÚN DAÑO INDIRECTO, ESPECIAL, CRÍTICO O INCIDENTAL, INCLUSO SIN LIMITACIÓN, POR GANANCIAS PERDIDAS, PÉRDIDA O DAÑO A LOS DATOS QUE SE ORIGINEN DEL USO O INCAPA-CIDAD PARA USAR ESTOS DISEÑOS, INCLUSO SI CISCO O SUS PROVEEDORES HAN SIDO ADVERTIDOS DE LA POSIBILIDAD DE TALES DAÑOS. LOS DISEÑOS ESTÁN SUJETOS A CAMBIOS SIN AVISO. LOS USUARIOS SON RESPONSABLES EXCLUSIVAMENTE DE LA APLICACIÓN DE LOS DISEÑOS. LOS DISEÑOS NO CONSTITUYEN CONSEJOS PROFESIONALES O TÉCNICOS DE CISCO, SUS PROVEEDO-RES O PARTNERS. LOS USUARIOS DEBEN CONSULTAR A SUS PROPIOS ASESORES TÉCNICOS ANTES DE IMPLEMENTAR LOS DISEÑOS. LOS RESULTADOS DE LA IMPLEMENTACIÓN PUEDEN VARIAR EN FUNCIÓN DE FACTORES QUE CISCO NO HAYA SOMETIDO A PRUEBAS.

Las direcciones de Protocolo de Internet (IP) utilizadas en este documento no son direcciones reales. Los ejemplos, los resultados en pantalla de los comandos y otras figuras incluidas en el documento solo tienen fines ilustrativos. Cualquier uso de direcciones IP reales en los ejemplos es accidental e impremeditado.

© 2012 Cisco Systems, Inc. Todos los derechos reservados.

Contenido de esta guía de SBA

Acerca de SBACisco SBA lo ayuda a diseñar e implementar rápidamente una red empresarial de servicio completo. Las implementaciones de Cisco SBA son preceptivas, escalables y flexibles, además de estar listas para ser utilizadas.

Cisco SBA incluye tecnologías de distinto tipo (LAN, WAN, inalámbricas, de seguridad, de Data Center, de optimización de aplicaciones y de comunicaciones unificadas) sometidas a pruebas en su conjunto, como un sistema completo. Este enfoque orientado a componentes simplifica la integración de varias tecnologías en un sistema y le permite elegir soluciones que resuelven los problemas de su organización, dejando de lado las complicaciones técnicas.

Si desea obtener más información, consulte el documento How to Get Started with Cisco SBA (Introducción a Cisco SBA):

http://www.cisco.com/en/US/docs/solutions/Enterprise/Borderless_Networks/Smart_Business_Architecture/SBA_Getting_Started.pdf

Acerca de esta guíaEsta descripción general complementaria del diseño contiene la siguiente información:

• Una introducción a un diseño de Cisco SBA que se puede añadir a una implementación básica de SBA.

• Una explicación de los requisitos que conforman el diseño.

• Una descripción de las ventajas de este diseño complementario para su organización.

El presente documento da por supuesto que ha leído y que comprende en su totalidad la descripción general del diseño básico como se muestra en el siguiente diagrama que describe el camino hacia el éxito.

1Contenido de esta guía de SBASerie febrero 2012

Camino hacia el éxitoPara garantizar el éxito de la implementación de los diseños descritos en esta guía es preciso leer la documentación sobre la que se basa, que aparece a la izquierda de la presente guía en el diagrama anterior. Las guías que aparecen a la derecha de esta guía dependen de ella.

Los clientes pueden acceder a todas las guías SBA en la siguiente dirección: http://www.cisco.com/go/sba

Descripción general del diseñode Foundation

Guía de implementaciónde Foundation

Guía de implementaciónde seguridad web

de BN

Usted está aquíGuías de requisitos previos

Los partners pueden acceder a ellas en la siguiente dirección: http://www.cisco.com/go/sbachannel






2IntroducciónSerie febrero 2012

Introducción

Descripción comercial de la soluciónEl acceso a la Web ofrece grandes ventajas para las organizaciones, pero también implica considerables riesgos.

Ofrecer a los empleados acceso a la Web acarrea cuatro riesgos principales: • Pérdida de productividad de los empleados como resultado de la

navegación web no relacionada con el trabajo.• Aumento del consumo de ancho de banda.• Posibilidad de ser víctima de ataques de software malicioso, susceptibles

de provocar filtraciones de datos.• Posibles consecuencias jurídicas derivadas del acceso de los empleados

a contenidos inapropiados.Proporcionar acceso a la Web a los empleados es arriesgado debido a la combinación de la proliferación de contenido creado por los usuarios y al enorme número de hosts de Internet que distribuyen contenidos de dudosa seguridad o maliciosos como consecuencia del uso de medidas de seguridad desactualizadas o de configuraciones de seguridad insuficientes (Figura 1). El carácter dinámico de los contenidos de la Web hace que resulte enormemente difícil mantener una perspectiva actualizada del perfil de amenazas que alberga. Internet está sujeta al constante escrutinio de operadores humanos y de equipos infectados por gusanos en búsqueda de servidores web que puedan ser infectados a su vez para continuar propagando el contagio al resto de usuarios de Internet.

Figura 1: Justificación empresarial de la implementación de Cisco IronPort WSA

Descripción general de la tecnologíaCisco® IronPort Web Security Appliance (WSA) es un proxy web que, en combinación con otros componentes de red de Cisco, supervisa y controla las solicitudes de salida de contenido web y limpia el tráfico de vuelta de contenidos no deseados o maliciosos (Figura 2).

Figura 2: Flujode tráfico lógico con IronPort WSA

Cisco IronPort WSA se implementa en la red mediante el uso de una o varias interfaces que se utilizan para enviar solicitudes y respuestas. El tráfico se dirige a Cisco IronPort WSA mediante proxys específicos configurados en el host final o bien al ejecutar un protocolo de red como el protocolo WCCP (protocolo de control de caché) en un dispositivo en línea como, por ejemplo, el firewall perimetral o el router.


Cisco IronPort WSA utiliza varios mecanismos para implementar medidas de seguridad web y control de contenidos.

• El proceso se inicia con un filtrado básico de URL mediante los controles de uso web por categorías de Cisco IronPort, a partir de una base de datos activa donde se recogen análisis de sitios web de 190 países en más de 50 idiomas.

• Una base de datos de reputación es la encargada de filtrar el contenido. La aplicación Cisco Security Intelligence Operations actualiza la base de datos de reputación cada cinco minutos. Estas actualizaciones contienen información sobre amenazas procedente de varias fuentes de Internet, así como información relativa a la reputación de los contenidos obtenida a partir de los dispositivos de seguridad utilizados por clientes que han optado por colaborar con la red Cisco SenderBase.

• Si no se dispone de datos sobre el sitio web o sus contenidos, Cisco IronPort WSA utiliza un análisis dinámico de contenidos para determinar las características del contenido en tiempo real; el resultado de dicho análisis se envía al repositorio SenderBase si el cliente ha optado por colaborar con él.

En el caso de SBA para organizaciones empresas, Cisco IronPort WSA se conecta mediante una interfaz a la red interna de Cisco Adaptive Security Appliance (ASA) 5500. Cisco IronPort WSA se conecta al switch de distribución de alta disponibilidad en la misma VLAN que la interfaz interna de Cisco ASA. Cisco ASA redirige las conexiones a Cisco IronPort WSA mediante protocolo WCCP (Figura 3).

Figura 3: Implementación de seguridad web en la red sin fronteras

Notas


Figura 4: Arquitectura básica de la red

5Detalles de la implementaciónSerie febrero 2012

Detalles de la implementación

En esta sección se detallan los siguientes procesos necesarios para la implementación de Cisco IronPort WSA, entre otros:

• Preparación para la implementación de Cisco IronPort WSA

• Implementación básica

• Habilitación de servicios de seguridad

• Implementación de WCCP

• Implementación de HTTPS

• Habilitación de la autenticación

• Mantenimiento de Cisco IronPort WSA

Preparación para la implementación de Cisco IronPort WSA

1. Preparación para la implementación de Cisco IronPort WSA

Proceso

Dado que Cisco IronPort WSA no se implementa en línea, en cuyo caso se situaría entre el cliente y el sitio web al que el cliente intenta acceder, es preciso utilizar un método alternativo para desviar o dirigir el tráfico web a IronPort WSA. Existen dos métodos diferenciados para lograr esta redirección del tráfico a IronPort WSA.

Una implementación proxy explícita se produce cuando una aplicación cliente que reconoce proxys, como, por ejemplo, un navegador web avanzado, posee un área de configuración de proxys que permite declarar y utilizar un proxy como Cisco IronPort WSA. Normalmente, este método se combina con un firewall que restringe el tráfico web cuyo origen no es la dirección IP de IronPort WSA, para evitar así que los usuarios eludan los controles de la política web y puedan acceder a Internet directamente. Desde un punto de vista operativo, este método es el que presenta menos complicaciones,

ya que las aplicaciones que reconocen proxys saben qué es un proxy e interactúan con él para ofrecer al cliente el servicio solicitado, a diferencia del otro método, la implantación de un proxy transparente, que hace que las aplicaciones utilicen el proxy "sin darse cuenta". Sin embargo, desde el punto de vista de la implementación, el proxy explícito supone dificultades para el administrador, ya que este se ve obligado a configurar cada cliente con los parámetros del proxy Cisco IronPort WSA.

El proxy explícito es un buen método para poner a prueba la configuración de Cisco IronPort WSA durante su implementación, puesto que el modo explícito no depende de ningún otro aspecto de la red para su funcionamiento.

Para simplificar la implementación como proxy explícito, Microsoft Active Directory (AD) admite protocolos como Web Proxy Autodiscovery Protocol (WPAD) y scripts y herramientas PAC, como los controles de políticas de grupo y de sistema de Microsoft. Estos temas no están tratados en el presente documento.

Sugerencia para el lector

En el caso de una implementación de proxy transparente, el tráfico del puerto 80 (y posiblemente también del puerto 443) se redirige íntegramente a Cisco IronPort WSA a través de otro dispositivo de red situado en un punto de bloqueo de la red. La implementación de proxy transparente puede realizarse fácilmente utilizando un firewall Cisco ASA (o posiblemente cualquier otro dispositivo de red que admita la redirección WCCP v2) y es el método utilizado en la presente guía de implementación.

Si su base de usuarios es pequeña, puede configurar manualmente cada uno de los clientes sin que ello afecte a la red en su conjunto y omitir la parte relativa a la WCCP de esta guía de implementación.

Sugerencia técnica

En cualquier caso, siempre existe la posibilidad de utilizar ambas alternativas al mismo tiempo (proxy explícito y transparente) en el mismo IronPort WSA.


Procedimiento 1 Preparación para la implementación de Cisco IronPort WSA

Paso 1: Determine cómo se enviará el tráfico web a Cisco IronPort WSA. Normalmente, este es el aspecto de la integración de Cisco WSA que parece más complejo ya que afecta a otros dispositivos. Si desea obtener una descripción de los dos métodos disponibles, consulte la sección dedicada a los métodos de implementación de los proxys de la sección anterior Descripción general de la tecnología.

Paso 2: Determine el tipo de topología física que se va a utilizar.

El dispositivo tiene seis interfaces de 1 gigabit:

• Dos interfaces de administración identificadas como M1 y M2

• Dos interfaces de supervisión de tráfico identificadas como T1 y T2

• Dos interfaces de datos proxy identificadas como P1 y P2.

En la presente guía de implementación, el dispositivo combina los servicios de administración y proxy en la interfaz de administración y no utiliza ninguna otra interfaz. Este método es el más habitual, ya que elimina la complejidad del routing y solo necesita una dirección IP para Cisco WSA, lo que simplifica el proceso de implementación.

Implementación básica

1. Configuración del puerto del switch

2. Configuración de parámetros de red básicos

3. Configuración inicial con el asistente de configuración

4. Configuración de las actualizaciones del sistema

5. Configuración de las claves de función

Proceso

Para completar la implementación básica, realice la configuración inicial, incluida la configuración fuera de banda que sea necesaria. A continuación, configure el sistema y las claves de función, para lo cual es preciso contar con acceso HTTP/S a Internet.

Procedimiento 1 Configuración del puerto del switch

Paso 1: Configure un puerto de acceso a la VLAN de Internet en el switch de distribución/núcleo al que se conectará el puerto de administración del dispositivo y conecte un cable Ethernet entre el dispositivo y el switch.

Paso 2: Ejemplo de configuración del puerto del switch:

interfaz [tipo de interfaz] [número] switchport switchport access vlan [número]

Procedimiento 2 Configuración de parámetros de red básicos

Para habilitar la conectividad inicial debe proporcionar parámetros de configuración básicos de la red, como la dirección IP y la puerta de enlace predeterminada. Lo mejor es realizar la configuración esencial con la interfaz de línea de comandos y dejar la configuración más avanzada para realizarla con las secciones correspondientes de la GUI. Por lo tanto, este procedimiento solo abarca la configuración de los parámetros básicos de la red.

Paso 1: Para cambiar los parámetros predeterminados de la red a través de un puerto serie de consola, conéctese utilizando un cable de conexión directa estándar con los parámetros de emulación de terminal 8-1-no-9600 baudios. A continuación inicie sesión usando el nombre de usuario y la contraseña predeterminados: "admin" y "ironport", respectivamente.

Paso 2: Ejecute interfaceconfig y setgateway.

Paso 3: Utilice el comando commit para guardar los cambios e incluirlos en la configuración que se está ejecutando.

Paso 4: Ingrese un nombre de host. El nombre de host configurado para el dispositivo debe tener resolución completa directa/inversa y también en formato corto en el sistema DNS. Es vital ingresar esta información correctamente.


Paso 5: Ingrese los parámetros básicos.

ironport.ejemplo.com> interfaceconfig Interfaces configuradas actualmente: 1. Administración (192.168.42.42/24 en Administración: ironport.ejemplo.com)Elija la acción que desea ejecutar: - NUEVA: crea una nueva interfaz. - EDITAR: modifica una interfaz. - ELIMINAR: elimina una interfaz. []> editar Ingrese el número de interfaz que desea editar. []> 1 Dirección IP (por ejemplo, 192.168.1.2): [192.168.42.42]> 10.10.27.50 Máscara de red (por ejemplo, “255.255.255.0” o “0xffffff00”): [255.255.255.0]> 255.255.255.128 Nombre de host: [ironport.ejemplo.com]> websec1.cisco.local ¿Desea habilitar FTP para esta interfaz? [Y]> Y¿Qué puerto desea utilizar para FTP? [21]> 21¿Desea habilitar SSH para esta interfaz? [Y]> Y¿Qué puerto desea utilizar para SSH? [22]> 22¿Desea habilitar HTTP para esta interfaz? [Y]> Y¿Qué puerto desea utilizar para HTTP? [8080]> 8080¿Desea habilitar HTTPS para esta interfaz? [Y]> Y¿Qué puerto desea utilizar para HTTPS? [8443]> 8443No se ha introducido ningún certificado HTTPS. Para garantizar la privacidad, primero ejecute “certconfig”. Si lo desea, puede utilizar la versión de demostración, pero dicha versión no es segura.¿Está seguro de que desea utilizar un certificado de prueba? [Y]> YTanto HTTP como HTTPS están habilitados para esta interfaz. ¿Desea que las solicitudes HTTP se redirijan al servicio seguro? [Y]> YPuede que la interfaz que acaba editar sea la interfaz en la que ha iniciado la sesión actual. ¿Seguro que desea cambiarla? [Y]> Y

Interfaces configuradas actualmente: 1. Gestión (10.10.27.50/25 en Gestión: websec1.cisco.local)Elija la acción que desea ejecutar: - NUEVA: crea una nueva interfaz. - EDITAR: modifica una interfaz. - ELIMINAR: elimina una interfaz. []> <intro>ironport.ejemplo.com> setgateway Advertencia: si configura una puerta de enlace predeterminada incorrecta, la conexión actual podría interrumpirse cuando se realicen los cambios.1. Puerta de enlace de administración predeterminada 2. Puerta de enlace de datos predeterminada []> 1 Ingrese la nueva puerta de enlace predeterminada: [ ]> 10.10.27.1ironport.ejemplo.com> commit Ingrese algún comentario que describa los cambios: []> basic setup

Una vez finalizada la configuración, debe poder hacer ping en los dispositivos de la red, suponiendo que se haya creado el acceso a la red apropiado (en el firewall, si es preciso). A continuación figura un ejemplo de un ping del dispositivo a su puerta de enlace predeterminado:

websec1.cisco.local> ping 10.10.27.1 Presione Ctrl + C para parar. PING 10.10.27.1 (10.10.27.1): 56 bytes de datos 64 bytes de 10.10.27.1: icmp_seq=0 ttl=255 tiempo=0,678 ms 64 bytes de 10.10.27.1: icmp_seq=1 ttl=255 tiempo=0,524 ms 64 bytes de 10.10.27.1: icmp_seq=2 ttl=255 tiempo=0,522 ms ^C --- estadísticas de ping de 10.10.27.1 --- 3 paquetes transmitidos, 3 paquetes recibidos, 0% pérdida de paquetes Ida y vuelta: mín./media/máx./desv. est. = 0,522/0,575/0,678/0,073 ms


Procedimiento 3 Configuración inicial con el asistente de configuración

Usted accede a la interfaz de Cisco WSA a través de su navegador web.

Paso 1: Ingrese la dirección del dispositivo y el puerto 8443 en el navegador. (por ejemplo: https://10.10.27.50:8443).

Si no logra conectarse, pruebe la conexión haciendo un ping a la dirección del dispositivo. Un error de ping podría ser sintomático de un problema de PC, red o routing, o podría deberse a un cambio en la dirección IP del dispositivo. También puede intentar solucionar el problema conectándose al puerto serie del dispositivo.

Paso 2: Inicie sesión. El nombre de usuario y la contraseña predeterminados son admin y ironport, respectivamente.

Paso 3: Siga las instrucciones del asistente para instalación del sistema. Si el asistente no se inicia, o si prefiere empezar con una instalación limpia, puede acceder al asistente mediante Administración del sistema > Asistente para instalación de sistema.

Paso 4: Lea y acepte los términos de la licencia, y luego haga clic en Comenzar instalación.

Paso 5: Compruebe que el nombre del host sea correcto en la página Configuración del sistema, introduzca la información de DNS y NTP, y luego haga clic en Siguiente.

Este diseño usa NTP porque una práctica de seguridad eficaz exige contar con una referencia temporal constante para toda la red.

Paso 6: En la página Contexto de red, no ingrese ningún cambio. Haga clic en Siguiente.

Si su entorno cuenta con otro proxy web, puede configurarlo ahora:

http://www.cisco.com/en/US/docs/security/web_security/scancenter/sc5126/WSAAP.html#wp1022898

Sugerencia técnica

Paso 7: Esta implementación utiliza M1 tanto para los servicios de administración como para los de proxy.

En la página Network Interfaces and Wiring (Interfaces y cables de red) introduzca la siguiente configuración:

• Dirección IP: 10 .10 .27 .50

• Máscara de red: 255 .255 .255 .128

• Nombre de host: websec1 .cisco .local

No seleccione la casilla de verificación Use M1 for Management only (Usar M1 solo para administración). No utilice la interfaz P1.




Paso 8: Haga clic en Siguiente.

Paso 9: En la página Routes for Management and Data Traffic (Rutas de gestión y tráfico de datos) no realice ningún cambio. Haga clic en Siguiente.

Esta página muestra la información de la puerta de enlace actual y permite introducir las rutas estáticas que sean necesarias. En esta implementación, los únicos datos que se muestran aquí corresponden a la información de la puerta de enlace que se ingresó en la CLI anteriormente.

Paso 10: En la página Transparent Connection Settings (Parámetros de conexión transparente) no ingrese ningún cambio y haga clic en Siguiente.

Esta página permite configurar WCCP, pero dado que los detalles de la configuración de WCCP se describen más adelante en otra sección, omita este paso por el momento.

Paso 11: En la página Administrative Settings (Parámetros administrativos), escriba la contraseña del administrador del dispositivo y luego haga clic en Siguiente.

Esta página permite determinar su participación en la red SenderBase, ya que controla si se enviarán o no datos a SenderBase y, en su caso, qué tipo de datos.

Paso 12: En la página Security Settings (Parámetros de seguridad) no ingrese ningún cambio. Haga clic en Siguiente.

En esta página se define la política de seguridad del dispositivo y las medidas que se adoptarán en relación con las distintas funciones de seguridad. Esta configuración es bastante habitual, porque la configuración predeterminada deja el dispositivo en modo de solo supervisión para la exploración de malware y spyware.


Paso 13: Revise la configuración para asegurarse de que sea la correcta y luego haga clic en Install this Configuration (Instalar esta configuración).

Procedimiento 4 Configuración de las actualizaciones del

sistema

Si hay nuevas versiones del software disponibles, selecciónelas e instálelas. En general, conviene instalar todas las actualizaciones. Normalmente, cada actualización exige reiniciar el dispositivo, por lo que completar la actualización puede llevar algún tiempo.

Paso 1: Para actualizar el código del dispositivo, haga clic en Administración del sistema -> Actualización del sistema. En este paso se muestra la versión actual del software.

Paso 2: Para ver las nuevas actualizaciones disponibles, haga clic en Actualizaciones disponibles.

También es posible realizar la actualización desde la consola. Ejecute el comando de actualización hasta que aparezca el siguiente mensaje, que indica que ya no quedan nuevas actualizaciones disponibles:

websec1.cisco.local> upgradeImportante: después de la actualización, no es posible volver a una versiónanterior de Web Security Appliance. Cisco IronPortrecomienda encarecidamente que revise las notas que acompañan a la versión para determinar los cambios que se han introducido con la última versión deWeb Security Appliance. ¿Desea continuar con la actualización? [Y]>No hay actualizaciones disponibles.

Procedimiento 5 Configuración de las claves de función

Paso 1: Acceda a Administración del sistema > Claves de función. En esta sección se muestran las claves de las licencias correspondientes a las distintas funciones del dispositivo.

Paso 2: Para comprobar si su dispositivo tiene alguna licencia que no se haya activado aún, haga clic en Check for New Keys (Comprobar si hay claves nuevas). Esta opción ordena al dispositivo que realice una conexión con el servicio de licencias para comprobar que dispone de todas las características que puede ejecutar. Es muy posible que después de actualizar el código, en particular si se aplican numerosas actualizaciones, algunas de las funciones no tengan sus claves de licencia correspondientes. La siguiente figura muestra el aspecto que puede presentar la pantalla de claves de funciones de un dispositivo de evaluación:


Si para el vencimiento de alguna de las claves quedan menos de 30 días, puede que esté trabajando con un dispositivo de evaluación. Las claves de los dispositivos que el cliente tiene en propiedad suelen tener un período de vigencia de uno o varios años.

Tenga en cuenta también que entre las claves se incluye una identificada como Cisco IronPort Web Usage Controls. Esta función se ha añadido al dispositivo con las versiones de software más recientes. Si el código de su dispositivo pertenece a una versión anterior a la incorporación de esta función, no dispondrá de la clave correspondiente.

Paso 3: Si a su dispositivo le faltan claves o si el periodo de vigencia de alguna de las claves no es correcto, póngase en contacto con su partner de Cisco IronPort o con el equipo de la cuenta de Cisco para resolver el problema. Cuando lo haga, tenga a mano el número de serie de su dispositivo (que aparece en la parte superior de la página Feature Key (Claves de función).

Habilitación de servicios de seguridad

1. Activación de los controles de uso web

2. Prueba de Cisco IronPort WSA

3. Configuración de registros

4. Configuración de categorías de URL personalizadas

5. Definición de políticas de acceso

6. Definición de los parámetros de reputación web y anti software

malicioso

Proceso

Procedimiento 1 Activación de los controles de uso web

Este procedimiento permite crear políticas de seguridad adicionales que van más allá del comportamiento predeterminado.

Paso 1: Vaya a Security Services (Servicios de seguridad) > Acceptable Use Controls (Controles de uso aceptable).

Paso 2: Haga clic en Edit Global Settings (Editar configuración global).

Paso 3: Verifique que Cisco Ironport Web Usage Controls esté seleccionado.

Paso 4: Verifique que Enable Dynamic Content Analysis Engine (Habilitar motor de análisis dinámico de contenidos) esté seleccionado.

Paso 5: Si ha realizado cambios, envíelos y luego realícelos.

En la página principal de Acceptable Use Controls (Controles de uso aceptable) encontrará una lista titulada Acceptable Use Controls Engine Updates (Actualizaciones del motor de controles de uso aceptable).

Paso 6: Haga clic en Update Now (Actualizar ahora) y espere a que la página indique que la actualización se ha realizado correctamente. Asegúrese de que al menos algunos de los controles cuenten con una actualización que esté al día o prácticamente al día. Debido a la irregularidad de los calendarios de actualización, no es posible saber cuándo habrá actualizaciones disponibles para cada sección. Las secciones Web Prefix Filters (Filtros de prefijos web) y Web Categories List (Lista de categorías web) tienden a actualizarse con bastante frecuencia y es probable que tengan historial de actualizaciones recientes.

Procedimiento 2 Prueba de Cisco IronPort WSA

Ahora puede poner a prueba la funcionalidad del Cisco IronPort WSA.

Paso 1: Configure un cliente en el interior de la red con el Cisco IronPort WSA como proxy explícito en el navegador web de su elección.

Paso 2: Utilice la dirección IP del dispositivo como proxy y configure el puerto como 3128.


Paso 3: Pruebe dos direcciones distintas:

• Pruebe una dirección que pueda resolverse de forma externa, como www.cisco.com, a la que debería accederse sin problemas. Esta prueba demuestra que el cliente tiene acceso a Internet y que lo hace a través del Cisco WSA.

• La otra dirección debe ser una que no pueda resolverse de forma externa, como www.no-es-una-página.com. Esta solicitud debe originar un mensaje de error de Cisco WSA, no del navegador, lo que demostrará que el dispositivo sirve contenidos.

El navegador devuelve un mensaje de error similar a este:

Cisco IronPort WSA devuelve un mensaje de error similar a este:

Procedimiento 3 Configuración de registros

Para supervisar el uso web, el dispositivo registra datos de acceso de los clientes, que se conservan de forma rotativa durante un periodo de tiempo relativamente corto por razones de espacio.

Si necesita informes de cumplimiento a largo plazo, analice la posibilidad de utilizar una solución de supervisión de terceros, como Splunk, http://www.splunk.com/.

Sugerencia técnica

Para que un producto de generación de informes de terceros funcione con el dispositivo, es necesario que Cisco IronPort WSA envíe los registros a un servidor FTP donde el producto pueda acceder a ellos. En el caso de la presente implementación, supondremos que ya existe un servidor FTP instalado y configurado.

Paso 1: Aplique la configuración necesaria para trasladar los registros de acceso del dispositivo al servidor FTP. Vaya a System Administration (Administración del sistema) > Log Subscriptions (Suscripciones de registros) y luego haga clic en Add Log Subscription (Agregar suscripción de registros).

Paso 2: Compruebe que la ventana Configured Log Subscriptions (Suscripciones de registros configuradas) corresponda con la que figura a continuación.


Procedimiento 4 Configuración de categorías de URL personalizadas

Es el momento de configurar las categorías de URL estándar que la mayoría de los administradores suelen utilizar para implementar el filtrado de URL de acuerdo con sus necesidades.

Paso 1: Vaya a Web Security Manager (Administrador de seguridad web) > Custom URL Categories (Categorías de URL personalizadas).

Paso 2: Seleccione Add Custom Category (Agregar categoría personalizada).

Paso 3: Agregue categorías que reflejen cómo reaccionará el dispositivo Cisco IronPort WSA ante los intentos de los usuarios finales de acceder a las URL de cada categoría. Por ejemplo, puede definir categorías para bloquear, supervisar, avisar o permitir el acceso. Para ello, cree cuatro categorías de URL personalizadas diferentes, empezando por una titulada “Block List” (Lista de bloqueo).

Debe crear una URL que ejercerá de marcador de posición (bloquear.com) por cada categoría, ya que no puede crear una categoría y dejarla vacía. Cuando encuentre una URL que desee bloquear y la agregue a una de las categorías, podrá borrar el marcador de posición de URL que haya utilizado para esa categoría.

Paso 4: Cree tres listas adicionales con estos tres títulos: Monitor List (Lista de supervisión), Warn List (Lista de aviso) y Allow List (Lista de permitidos). Cuando haya acabado, contará con una lista ordenada de categorías personalizadas.

Paso 5: Realice los cambios.

Procedimiento 5 Definición de políticas de acceso

Ahora que ya ha creado las categorías personalizadas, habilítelas para utilizarlas y defina la acción correspondiente a cada una de ellas. Siga este procedimiento para implementar la política de uso web aceptable de su organización, que puede incluir la categoría de la URL (adultos, deportes, transmisión multimedia) y la acción deseada (supervisión, aviso, bloqueo) y que permite también incluir un factor temporal, si es necesario.

Paso 1: Vaya a Web Security Manager (Administrador de seguridad web) > Access Policies (Políticas de acceso).

Paso 2: Haga clic en el enlace de la sección URL Filtering (Filtrado de URL).

Paso 3: Haga clic en Select Custom Categories (Seleccionar categorías personalizadas).

Paso 4: Seleccione Include in policy (Incluir en política) para cada una de las cuatro categorías que ha creado antes y luego haga clic en Apply (Aplicar).

Paso 5: En el cuadro de diálogo Custom URL Category Filtering (Filtrado de categorías URL personalizadas), en la sección Category (Categoría), modifique cada acción según corresponda para adecuarla a la categoría (cambie Block List (Lista de bloqueo) para que utilice la acción Block (Bloqueo) Monitor List (Lista de supervisión) para que utilice la acción Monitor (Supervisión), etc.).

Paso 6: Para probar la implementación, cambie una de las categorías predeterminadas a Block (Bloqueo). Por ejemplo, cambie la categoría Gambling (Juego) de Monitor (Supervisión) a Block (Bloqueo).

La sección Category (Categoría) también permite implementar la política de acceso a la Web para uso aceptable de su organización.

Paso 7: Haga clic en Submit (Enviar) y luego registre todos los cambios.


Paso 8: Para poner a prueba estos cambios, configure el navegador para que use el dispositivo como proxy web y luego intente acceder a una de las URL de la categoría que ha modificado.

Cisco IronPort WSA debe responder con el mensaje que se muestra en la siguiente figura.

Procedimiento 6 Definición de los parámetros de

reputación web y anti software malicioso

Puede definir un grado de reputación para cualquier sitio web, en función del nivel de riesgo que ese sitio web representa para su organización. La reputación puede oscilar entre negativa (–) 10 y positiva (+) 10, donde -10 representa el mínimo índice de fiabilidad y +10 el máximo índice de fiabilidad.

• De forma predeterminada, los sitios con un índice de reputación de –6 o inferior se bloquean automáticamente para evitar la posible entrada en la red de contenidos infectados provenientes de esos sitios.

• También de forma predeterminada, si el índice de reputación de un sitio web se sitúa entre –5,9 y +5,9, Cisco IronPort WSA explora la solicitud del cliente y la respuesta del servidor con el motor Cisco IronPort Dynamic Vectoring and Streaming (DVS) con el fin de detectar la presencia de posibles ataques, como phishing, software malicioso, virus o gusanos. Si se detectan estos ataques, la política de seguridad no está configurada de forma predeterminada para bloquearlos. Web Security Manager (Administrador de seguridad web) permite introducir cambios en la política de seguridad si es necesario.

• Si la URL tiene un índice de reputación superior a 6,0, recibe el visto bueno sin exploración previa de forma predeterminada.

Paso 1: Vaya a Web Security Manager (Administrador de seguridad web) > Access Policies (Políticas de acceso) y luego haga clic en el enlace de la sección Web Reputation and Anti-Malware Filtering (Reputación web y filtrado anti software malicioso).

El enlace lo llevará a la sección de configuración de reputación web, donde podrá introducir los cambios que desee en los parámetros de reputación web y anti software malicioso. Cisco recomienda que, en un principio, se utilice la configuración predeterminada de reputación web y anti software malicioso.


Implementación de WCCP

1. Configuración de WCCP en Cisco WSA

2. Configuración de WCCP en el firewall

Proceso

Procedimiento 1 Configuración de WCCP en Cisco WSA

Ahora que el Cisco IronPort WSA ya está funcionando y aplicando una política de acceso al tráfico HTTP, implemente WCCP en el dispositivo y el firewall Cisco ASA para que Cisco WSA comience a recibir tráfico directamente desde el Cisco ASA, en lugar de tener que configurar los navegadores para utilizar el dispositivo como un proxy explícito.

Paso 1: Para agregar un nuevo dispositivo de redirección, vaya a Network (Red) > Transparent Redirection (Redirección transparente) y luego seleccione Edit Device (Editar dispositivo).

Paso 2: En el menú Type (Tipo), seleccione WCCP v2 Router (Router WCCP v2) y luego haga clic en Submit (Enviar).

Paso 3: En la sección WCCP v2 Services (Servicios WCCP v2), haga clic en Add Service (Agregar servicio).

Esta sección permite definir la política que utilizará Cisco ASA de Internet para redirigir el tráfico a Cisco IronPort WSA. Cisco ASA extrae la política del Cisco WSA y utiliza el nombre de la política que se ha definido para ella en WSA. En este procedimiento se definen dos políticas, una para la redirección de HTTP exclusivamente y otra para la redirección de HTTP y HTTPS.

Paso 4: Utilice los siguientes parámetros para agregar un servicio exclusivamente para HTTP:

• Service Profile Name (Nombre del perfil de servicio): web_cache

• Standard Service ID (Id. estándar del dispositivo): 0

• Router IP address (Dirección IP del router): 10 .10 .27 .126

Paso 5: Haga clic en Submit (Enviar).

Paso 6: En la sección WCCP v2 Services (Servicios WCCP v2), haga clic en Add Service (Agregar servicio).


Paso 7: Utilice los siguientes parámetros para agregar un servicio para HTTP y HTTPS:

• Service Profile Name (Nombre del perfil de servicio): All_Web

• Dynamic Service ID (Id. de servicio dinámico): 90

• Port Numbers (Números de puerto): 80 443

• Router IP address (Dirección IP del router): 10 .10 .27 .126

Paso 8: Haga clic en Submit (Enviar) y luego realice los cambios. Los resultados de los cambios aparecen en la pantalla Transparent Redirection (Redirección transparente).

El proxy HTTPS no se ha configurado aún en Cisco IronPort WSA; por lo tanto, si se inicia la redirección WCCP para HTTPS inmediatamente, las conexiones no se realizarán hasta que no se configure el proxy HTTPS. Si la implementación de Cisco IronPort WSA y Cisco ASA se realiza en tiempo real y en funcionamiento, y no puede tener tiempo de inactividad, cree una política adicional transitoria exclusivamente para el puerto 80. Una vez configurada la política HTTPS en Cisco WSA, cambie la política de Cisco ASA para que utilice en su lugar la política HTTP y HTTPS.

Sugerencia técnica

Procedimiento 2 Configuración de WCCP en el firewall

Paso 1: Para configurar el firewall Cisco ASA de Internet para redirigir el tráfico HTTP y HTTPS al Cisco WSA, acceda a Cisco Adaptive Security Device Manager (ASDM) en el firewall y luego vaya a Configuration (Configuración) > Device Management (Gestión de dispositivos) > Advanced (Avanzada) > WCCP.


Paso 2: En Service Groups (Grupos de servicio), cree un nuevo grupo de servicio que utilice el número de servicio dinámico 90 que se ha definido en Cisco WSA (o utilice web_cache para la redirección del puerto 80 exclusivamente).

La política WCCP que se ha configurado redirige todo el tráfico HTTP y HTTPS a Cisco IronPort WSA. El tráfico redirigido incluye todo el tráfico desde la red interna a los servidores web DMZ y todo el tráfico redirigido de administración de dispositivos que utilice HTTP o HTTPS. Sin embargo, enviar este tráfico a Cisco WSA no tiene demasiado sentido. Para evitarlo, cree una lista de control de acceso (ACL, por sus siglas en inglés) en el firewall para evitar la redirección del tráfico HTTP o HTTPS destinado a las direcciones RFC 1918.

Paso 3: En el mismo cuadro de diálogo Add Service Groups (Agregar grupos de servicio) utilizado anteriormente en el Paso 2, haga clic en Manage (Gestionar) situado junto a Redirect List (Lista de redirección).

Paso 4: En el cuadro de diálogo ACL Manager (Administrador de ACL), haga clic en Add (Agregar), seleccione Add ACL (Agregar ACL) y luego escriba el siguiente nombre para la ACL: WCCP_Redirect.

Paso 5: Haga clic en Add ACE (Agregar ACE) y luego agregue una línea para denegar cualquier origen para todas las direcciones RFC 1918 como destino con un servicio IP.

Paso 6: Haga clic en Add ACE (Agregar ACE) y añada una línea para permitir cualquier origen con cualquier destino con un servicio IP y luego haga clic en Aceptar.


Paso 7: En el cuadro de diálogo Add Service Group (Agregar grupo de servicio), en la lista Redirect List (Lista de redirección), seleccione la ACL que ha creado anteriormente (WCCP_Redirect). Haga clic en Aceptar y luego haga clic en Apply (Aplicar).

Paso 8: En Cisco ASDM, vaya a Configuration (Configuración) > Device Management (Administración de dispositivos) > Advanced (Avanzada) > WCCP > Redirection (Redirección) .

Paso 9: En el cuadro de diálogo Add WCCP Redirection (Agregar redirección WCCP), en la lista Interface (Interfaz), seleccione Inside (Interior), y en la lista Service Group (Grupo de servicio) seleccione 90.

Paso 10: Pruebe la configuración. Utilice un navegador que no esté configurado para utilizar el dispositivo como proxy explícito (o anule esa configuración).

Paso 11: Haga una prueba con una dirección que se pueda resolver, como www.cisco.com.

Paso 12: Haga otra prueba con una dirección bloqueada que se pueda resolver perteneciente a una de las categorías bloqueadas configuradas con anterioridad. Para comprobar que la redirección WCCP funciona correctamente, vaya a Monitoring (Supervisión) > Properties (Propiedades) > WCCP > Service Groups (Grupos de servicio) en Cisco ASDM.

La ventana de estado debe mostrar una Id. de router que corresponda a una de las direcciones IP de Cisco ASA (en este caso es 172.17.30.2). El número de motores de caché debe ser 1, Cisco IronPort WSA. Si todo funciona correctamente y la redirección tiene el efecto esperado, el recuento Total Packets Redirected (Total de paquetes redirigidos) se incrementará progresivamente.


Implementación de HTTPS

1. Configuración de conexiones Proxy HTTPS

2. Configuración de políticas de proxy HTTPS

Proceso

Procedimiento 1 Configuración de conexiones Proxy HTTPS

Paso 1: Vaya a Security Services (Servicios de seguridad) > HTTPS Proxy (Proxy HTTPS) y luego haga clic en Enable and Edit Settings (Habilitar y editar parámetros). Acepte el contrato de licencia para continuar. Esto le proporcionará acceso al cuadro de diálogo Proxy HTTPS Settings (Configuración de proxy HTTPS). Defina los puertos que desee para el proxy HTTPS (solo TCP 443 está seleccionado de forma predeterminada).

Paso 2: Genere un certificado para que el dispositivo lo utilice en el lado del cliente de la conexión proxy. Dispone de dos opciones para generar un certificado:

• Opción A: generar un certificado significa normalmente que el navegador cliente advertirá acerca del certificado por cada conexión que se haga a un sitio web HTTPS. Para evitarlo, si ya dispone de un certificado de confianza para su organización, puede cargar el archivo del certificado en el dispositivo, con su clave privada correspondiente. Si los usuarios ya tienen este certificado cargado en sus equipos, el proxy HTTPS no generará errores por desconocimiento de la entidad de certificación.

• Opción B: en lugar de agregar un certificado raíz de la empresa a Cisco IronPort WSA, otra opción consiste en informar a los usuarios de la organización para que acepten el certificado raíz proporcionado por el dispositivo como una fuente de confianza.

Asimismo, el cuadro de diálogo Proxy HTTPS Settings (Configuración de proxy HTTPS) de Cisco IronPort WSA le permite configurar el comportamiento del dispositivo cuando el certificado del servidor al que se conecte no sea válido. Las opciones, dependiendo del error que el certificado haya generado, pueden ser anular la conexión, descifrarla o supervisarla.

Paso 3: Cuando haya acabado de definir su política, haga clic en Submit (Enviar) y luego realice los cambios.


Si desea obtener más información acerca de la utilización de certificados como parte del mecanismo del proxy HTTPS de Cisco WSA, consulte la guía del usuario de Cisco WSA o póngase en contacto con su partner de confianza o su representante de Cisco.


Procedimiento 2 Configuración de políticas de proxy HTTPS

El segundo paso de la configuración del proxy HTTPS consiste en configurar las políticas relacionadas con el proxy HTTPS.

Paso 1: Vaya a Web Security Manager (Administrador de seguridad web) > Custom URL Categories (Categorías de URL personalizadas).

Paso 2: Como hizo anteriormente en Procedimiento 4, agregue tres nuevas categorías personalizadas: Drop list (Lista de anulación), Decrypt list (Lista de descifrado) y Pass Through List (Lista de paso).


Paso 4: Vaya a Web Security Manager (Administrador de seguridad web) > Decryption Policies (Políticas de descifrado) y luego haga clic en el enlace URL Categories (Categorías URL).

Paso 5: Haga clic en Select Custom Categories (Seleccionar categorías personalizadas) y luego haga clic en Apply (Aplicar)

Cuando haga clic en Select Custom Categories (Seleccionar categorías personalizadas) verá todas las categorías personalizadas que haya creado. NO incluya las que ha creado anteriormente para HTTP. Seleccione Include in policy (Incluir en política) en la lista para las tres nuevas entradas. Haga clic en Apply (Aplicar).

Paso 6: Modifique las acciones de las nuevas categorías personalizadas para que se correspondan con sus nombres: cambie la acción de Drop List (Lista de anulación) a Drop (Anulación), etc. Cuando haya acabado, la ventana Custom URL Category Filtering (Filtrado de categorías URL personalizadas) tendrá el siguiente aspecto:

Paso 7: Las categorías URL predefinidas que aparecen en la parte inferior de la página le permiten crear y aplicar las políticas que determinarán la forma en que el dispositivo gestionará el descifrado de tipos específicos de sitios web. Algunas organizaciones cuentan con políticas estrictas en relación con el descifrado de sitios web de asistencia sanitaria o financieros, así como de otros tipos. Las categorías que figuran en esta página permiten aplicar esas políticas en Cisco IronPort WSA.

Paso 8: Haga clic en Submit (Enviar) y luego realice los cambios.

Paso 9: Pruebe la nueva configuración. Para probar la nueva configuración necesitará definir categorías para páginas web que sepa que están cifradas (HTTPS) y luego utilizar esas URL en el proceso de prueba. Puesto que tiene que saber de antemano si el sitio utiliza o no HTTPS para todas las páginas, es más fácil utilizar categorías personalizadas para una página web específica que esté seguro que utilice HTTPS y escribir la dirección en la lista desplegable. Cuando intente acceder a ese sitio web, el dispositivo debe anular la conexión.


Habilitación de la autenticación

1. Configuración de la autenticación

2. Configuración de grupos de identidades

Proceso

La autenticación es el acto de confirmar la identidad de un usuario. Cuando se habilita la autenticación, Cisco IronPort WSA verifica la identidad de los clientes de la red antes de permitir que se conecten a un servidor de destino. Utilizar la función de autenticación de Cisco IronPort WSA le permite:

• Configurar políticas de acceso diferenciadas por usuario o por pertenencia a un grupo, basándose en un directorio centralizado de usuarios.

• Habilitar el seguimiento de usuarios para que cuando uno de ellos infrinja una política de uso aceptable Cisco IronPort WSA pueda identificar al usuario autor de la infracción, en lugar de proporcionar únicamente una dirección IP.

• Habilitar la generación de informes de cumplimiento. Cisco IronPort WSA admite dos protocolos de autenticación diferentes: protocolo ligero de acceso a directorios (LDAP) y NT LAN Manager (NTLM). La mayoría de las empresas utilizan NTLM porque tienen servidores AD. Además, si se utiliza NTLM, el inicio de sesión único (SSO) también está disponible.

Si Cisco IronPort WSA está implementado en modo transparente con la autenticación habilitada y una transacción requiere autenticación, Cisco WSA responde a la aplicación cliente solicitando credenciales de autenticación. Sin embargo, no todas las aplicaciones cliente admiten autenticación. Las aplicaciones que no admiten autenticación no tienen forma de solicitar a los usuarios que proporcionen sus nombres de usuario y contraseñas. Esas aplicaciones pueden tener problemas si Cisco WSA se implementa en modo transparente porque la aplicación intenta ejecutar tráfico no HTTP a través del puerto 80 y no puede gestionar el intento del dispositivo de autenticar la conexión.

Por el momento, las aplicaciones de la siguiente lista no admiten autenticación (la lista está sujeta a cambios como resultado de la introducción de nuevas versiones de las aplicaciones):

• Mozilla Thunderbird • Adobe Acrobat Updater • Windows Update • Microsoft Outlook Exchange (cuando se intentan descargar imágenes

basadas en Internet para mensajes de correo electrónico)

Si las aplicaciones necesitan acceder a una URL específica, puede crear una identidad basada en una categoría de agentes de usuario personalizada que no requiera autenticación. Cuando se crea una identidad de este tipo, no se solicita autenticación a la aplicación cliente.

Si su empresa requiere autenticación, póngase en contacto con su partner de Cisco IronPort, su distribuidor o el equipo de comerciales de Cisco, que le ayudarán a configurar una solución de autenticación adaptada a las necesidades de su empresa con el mínimo de complicaciones.

Sugerencia técnica

Procedimiento 1 Configuración de la autenticación

Paso 1: Para crear un dominio de autenticación que defina cómo debe desarrollarse la autenticación, vaya a Network (Red) > Authentication (Autenticación) y luego haga clic en Add Realm (Agregar dominio). En este ejemplo se creará un dominio para la autenticación NTLM.

Paso 2: En el cuadro de diálogo NTLM Authentication Realm (Dominio de autenticación NTLM), en la sección NTLM Authentication (Autenticación NTLM), especifique el servidor de Active Directory, el dominio de la cuenta de Active Directory y la cuenta de la computadora y luego haga clic en Join Domain (Incorporarse a dominio) .


Paso 3: En el cuadro de diálogo Computer Account Credentials (Credenciales de cuenta de la computadora), escriba el nombre de usuario y la contraseña, y luego haga clic en Create Account (Crear cuenta). Este paso debe realizarlo un administrador del dominio AD con autoridad para crear cuentas de dominio para computadoras.

Paso 4: Haga clic en Start Test (Iniciar prueba) para probar la conexión NTLM con el dominio AD y, una vez superada con éxito la prueba, haga clic en Submit (Enviar).


Procedimiento 2 Configuración de grupos de identidades

El siguiente paso para la configuración de la autenticación consiste en configurar grupos de identidades, que se basan en la identidad del cliente o de la transacción propiamente dicha.

Paso 1: Vaya a Web Security Manager (Administrador de seguridad web) > Identities (Identidades) y luego haga clic en Add Identity (Agregar identidad).

Paso 2: En el cuadro de diálogo Identity Settings (Parámetros de identidad), escriba los nombres de dos identidades de muestra en el cuadro Name (Nombre): Subnets not to Authen (Subredes que no necesitan autenticación) y User Agents not to Authen (Agentes de usuario que no necesitan autenticación).

Si surge la necesidad de crear una identidad para subredes, introduzca la dirección IP, el rango o la subred del cliente al que desee permitir el acceso a Internet sin autenticación.

Con esta acción, ejecutar la autenticación de esa dirección IP resulta superfluo, dado que ningún registro de información de Cisco IronPort WSA contiene datos de autenticación de los empleados que utilizan esa dirección IP. Sin embargo, puede ser necesaria en determinados casos y se presenta aquí para demostrar cómo se puede cambiar la política operativa de Cisco IronPort WSA.

Sugerencia técnica

Paso 3: Para crear una identidad para agentes de usuario, en la pestaña Advanced (Avanzado), junto a User Agents (Agentes de usuario), haga clic en None Selected (Ninguno seleccionado).


Paso 4: Haga clic en Others (Otros) y luego seleccione los tipos de agente Microsoft Windows Update y Adobe Acrobat Updater. Con estos agentes seleccionados, no se solicita autenticación cuando se detectan conexiones a través de HTTP con esos agentes de usuario en el encabezamiento HTTP. Pueden definirse agentes de usuario personalizados para cualquier aplicación que utilice HTTP y sufra fallos de autenticación. En caso de que no resulte posible, podría crearse una categoría de URL personalizada específica para usarla después en la ficha Advanced (Avanzado) de las categorías de URL.

Paso 5: Para guardar la configuración del agente de usuario, haga clic en Done (Listo) y luego haga clic en Submit (Enviar) y realice los cambios.

Ahora que ha creado una identidad para los agentes de usuario que no deben autenticarse y que sabe cómo crear una identidad para las subredes que no deben autenticarse, podemos dar la sección de autenticación por concluida. A continuación, ponga a prueba la implementación para asegurarse de que el sistema aplica correctamente las políticas, de que todas las aplicaciones y procesos funcionan con normalidad y de que todos los registros de datos del sistema satisfacen sus necesidades y requisitos.

Mantenimiento de Cisco WSA

1. Supervisión de Cisco WSA

2. Solución de problemas de Cisco WSA

Proceso

Una vez concluida la implementación, utilice los dos procedimientos que se describen a continuación para el mantenimiento de Cisco IronPort WSA.

Procedimiento 1 Supervisión de Cisco WSA

Para supervisar el estado de Cisco WSA y las acciones que el dispositivo lleva a cabo con el tráfico que examina, vaya a Monitor (Supervisión) y luego seleccione uno de los diversos informes disponibles. Estos informes permiten a los administradores realizar el seguimiento de estadísticas de actividad web de clientes, tipos de malware, filtros de reputación web, estado del sistema, etc.

Procedimiento 2 Solución de problemas de Cisco WSA

Paso 1: Para determinar la razón por la cual Cisco WSA ha aplicado una acción determinada a una conexión web concreta de un usuario específico con un sitio específico, acceda a System Administration (Administración del sistema) > Policy Trace (Seguimiento de políticas) y ejecute la herramienta Trace (Seguimiento).

Rellene la información que la herramienta necesita para probar una URL específica y averiguar cuál sería la respuesta esperada de Cisco IronPort WSA al procesarla. Esta herramienta resulta especialmente útil si se utilizan algunas de las funciones más avanzadas.

Si desea obtener más información acerca de Cisco Smart Business Architecture, visite: http://www.cisco.com/go/smartarchitecture o http://www.cisco.com/go/partner/smartarchitecture


http://www.cisco.com/go/smartarchitecture

http://www.cisco.com/go/partner/smartarchitecture

24Apéndice A: números de pieza del productoSerie febrero 2012

Apéndice A: números de pieza del producto

Los siguientes productos y versiones de software han sido validados para su uso en Cisco Smart Business Architecture:

Área funcional Producto Números de pieza Versión de software

Extremo de Internet Cisco Ironport S160 Web Security Appliance S160-BUN-R-NA 7.1.1-038

Cisco tiene más de 200 oficinas en todo el mundo. Las direcciones, y los números de teléfono y fax, están disponibles en el sitio web de Cisco en www.cisco.com/go/offices.

Cisco y el logotipo de Cisco son marcas registradas de Cisco Systems, Inc. o de sus filiales en los Estados Unidos y en otros países. Para obtener una lista de las marcas comerciales de Cisco, visite www.cisco.com/go/trademarks. Las marcas registradas de terceros que se mencionan aquí son de propiedad exclusiva de sus respectivos propietarios. El uso de la palabra "partner" no implica que exista una relación de asociación entre Cisco y otra empresa. (1005R)

Sede Central en AméricaCisco Systems, Inc.San José, CA

Sede Central en Asia-PacíficoCisco Systems (EE. UU.) Pte. Ltd.Singapur

Sede Central en EuropaCisco Systems International BVÁmsterdam, Países Bajos

SMART BUSINESS ARCHITECTURE

B-0000539-1 12/11

Web_Security_Deployment_Guide.pdf

Documents

Transcript of Web_Security_Deployment_Guide.pdf