Ahora, un cliente que tiene activada la funcionalidad de servicios de firewall mejorados (EFS) en el nivel de configuración global en VMware SASE Orchestrator puede configurar y administrar de forma individual servicios de seguridad, como el filtrado de URL (filtrado de categorías de URL, filtrado de reputación de URL), el filtrado de direcciones IP malintencionadas, el sistema de detección de intrusiones (IDS) y el sistema de prevención de intrusiones (IPS). Para bloquear el tráfico del usuario en función de si se halla una coincidencia de firma de IDS/IPS o de categoría o reputación de la URL o la IP, el cliente debe crear un grupo de servicios de seguridad mediante los servicios de seguridad configurados previamente y asociar ese grupo de servicios de seguridad con las reglas de firewall.
Antes de comenzar
- Asegúrese de que la versión de Edge sea 6.0.0 para que el filtrado de URL (categoría y reputación de URL) y el filtrado de direcciones IP malintencionadas funcionen según lo esperado. Respecto a la configuración de los servicios IPS e IDS, asegúrese de que la versión de Edge es 5.2.0 o posterior.
- Asegúrese de que la función EFS esté activada en el nivel empresarial. Si desea activar la función EFS, póngase en contacto con un operador. Los operadores pueden activar la función EFS desde la página de la interfaz de usuario SD-WAN > Configuración global (Global Settings) > Configuración del cliente (Customer Cofiguratio) > Configuración de SD-WAN (SD-WAN Settings) > Acceso a funciones (Feature Access).
Configurar el servicio de categorías de URL
Actualmente, hay más de 80 categorías de URL, como las correspondientes a redes sociales, servicios financieros, phishing, etc.
- En el servicio SD-WAN del portal de empresas, vaya a (Configure > Enhanced Security > Security Services). Se abre la página Servicios de seguridad (Security Services).
- Haga clic en la pestaña Categorías de URL (URL Categories) y, a continuación, en + AGREGAR REGLA (+ ADD RULE). Se abre la ventana emergente Configurar servicio de categorías de URL (Configure URL Category Service).
- Introduzca un nombre único para el servicio de categorías de URL y proporcione una descripción según sea necesario.
- En la lista Categorías (Categories) puede seleccionar las categorías que desea bloquear y trasladarlas a la lista Categorías bloqueadas (Blocked Categories) con el botón de flecha izquierda. De forma similar, puede seleccionar las categorías que desea permitir y registrarlas y trasladarlas a la lista Categorías Supervisar (Monitor Categories) con el botón de flecha derecha.
Nota: Se capturan registros automáticamente relativos a las reglas de firewall que coinciden con las categorías Bloqueada (Blocked) y Supervisar (Monitor). En cuanto a Categorías Permitir (Allow Categories), el tráfico se permite, pero no se registra.
- Para permitir URL con una categoría Desconocida (Unknown), anule la selección de la casilla de verificación situada en la parte inferior.
Nota: De forma predeterminada, las categorías Desconocida (Unknown) se bloquearán.
- Haga clic en Guardar cambios (Save Changes). Se crea una regla de servicio de categorías de URL, que aparece reflejada en la tabla de la página Categorías de URL (URL Categories).
- Haga clic en el vínculo que lleva al servicio de seguridad para modificar la configuración. Para eliminar un servicio de seguridad, seleccione la casilla de verificación que precede al grupo y haga clic en Eliminar (Delete).
Nota: Los servicios de seguridad en uso no se pueden eliminar. Si desea eliminar un servicio de seguridad, primero debe eliminarlo del grupo de servicios de seguridad y de las reglas de firewall asociados correspondientes.
Para ver la lista de categorías bloqueadas, las categorías supervisar y los grupos de seguridad asociados con el servicio de seguridad, haga clic en los vínculos respectivos en las columnas Categorías bloqueadas (Blocked Categories), Categorías Supervisar (Monitor Categories) y Utilizado por: grupo de seguridad (Used By - Security Group).
Configurar el servicio de reputación de URL
La reputación de URL indica el nivel de fiabilidad del sitio web. La clasificación de puntuación de reputación de las URL y las direcciones IP es la que se indica a continuación:
- 81-100: Fiable
- 61-80: Riesgo bajo
- 41-60: Riesgo medio
- 21-40: Sospechosa
- 01-20: Riesgo elevado
-
Nota: Fiable es la reputación más segura y entraña la menor cantidad de riesgo.
El servicio de reputación de URL busca la puntuación de las URL de destino y bloquea el tráfico de Edge si sus puntuaciones denotan una amenaza.
- En el servicio SD-WAN del portal de empresas, vaya a (Configure > Enhanced Security > Security Services). Se abre la página Servicios de seguridad (Security Services).
- Haga clic en la pestaña Reputación de URL (URL Reputation) y, a continuación, en + AGREGAR REGLA (+ ADD RULE). Se abre la ventana emergente Configurar servicio de reputación de URL (Configure URL Reputation Service).
- Introduzca un nombre único para el servicio de reputación de URL y proporcione una descripción según sea necesario.
- En el menú desplegable Reputación mínima aceptable (Minimum Acceptable Reputation), seleccione una reputación aceptable para permitir el tráfico hacia o desde una URL. Una vez configurada la reputación mínima aceptable, todas las demás reputaciones que deban bloquearse se mostrarán automáticamente en el cuadro Reputaciones bloqueadas [Blocked Reputation(s)]. El tráfico hacia/desde cualquier URL por debajo del nivel de reputación de URL seleccionado se bloqueará y se registrará automáticamente, y se permitirá el tráfico que esté por encima del nivel de reputación de URL seleccionado, pero no se registrará automáticamente. Puede especificar la reputación que desea registrar mediante el menú desplegable Capturar registros (Capture Logs).
- Para permitir URL con una reputación Desconocida (Unknown), anule la selección de la casilla de verificación situada en la parte inferior. Una URL se clasifica como con una reputación "Desconocida (Unknown)" cuando no hay información de reputación disponible en el servicio Filtrado de URL (URL Filtering).
Nota: De forma predeterminada, las reputaciones Desconocida (Unknown) se bloquearán.
- Haga clic en Guardar cambios (Save Changes). Se crea una regla de servicio de reputación de URL, que aparece reflejada en la tabla de la página Reputación de URL (URL Reputation).
- Haga clic en el vínculo que lleva al servicio de seguridad para modificar la configuración. Para eliminar un servicio de seguridad, seleccione la casilla de verificación que precede al grupo y haga clic en Eliminar (Delete).
Configurar un servicio de IP malintencionada
Bloquear direcciones IP puede resultar útil para proteger una red o un sitio web de actividades malintencionadas. La puntuación de reputación de IP asignada por Webroot indica la fiabilidad de la IP. El servicio de IP malintencionada busca la puntuación de reputación de IP de las direcciones IP de destino y bloquea el tráfico de Edge si sus puntuaciones denotan una actividad malintencionada.
- En el servicio SD-WAN del portal de empresas, vaya a (Configure > Enhanced Security > Security Services). Se abre la página Servicios de seguridad (Security Services).
- Haga clic en la pestaña IP malintencionada (Malicious IP) y, a continuación, en + AGREGAR REGLA (+ ADD RULE). Se abre la ventana emergente Configurar servicio de filtrado de IP malintencionada (Configure Malicious IP Filtering Service).
- Introduzca un nombre único para el servicio de IP malintencionada y proporcione una descripción según sea necesario.
- En el menú desplegable Acción (Action), seleccione la acción que se realizará cuando se detecte tráfico IPv4 hacia o desde una IP malintencionada. Puede seleccionar una de las siguientes opciones:
- Supervisar (Monitor) : permite y registra automáticamente el tráfico IPv4 desde el servicio de IP malintencionada.
- Bloquear (Block): bloquea y registra automáticamente el tráfico IPv4 desde el servicio de IP malintencionada.
Nota: Si la dirección IP no es malintencionada, el tráfico Ipv4 se permite, pero no se registra. - Haga clic en Guardar cambios (Save Changes). Se crea una regla de servicio de IP malintencionada, que aparece reflejada en la tabla de la página IP malintencionadas (Malicious IP).
- Haga clic en el vínculo que lleva al servicio de seguridad para modificar la configuración. Para eliminar un servicio de seguridad, seleccione la casilla de verificación que precede al grupo y haga clic en Eliminar (Delete).
Configurar el servicio de seguridad de IDS/IPS
- En el servicio SD-WAN del portal de empresas, vaya a (Configure > Enhanced Security > Security Services). Se abre la página Servicios de seguridad (Security Services).
- Haga clic en la pestaña IDS/IPS y, a continuación, en + AGREGAR REGLA (+ ADD RULE). Se abre la ventana emergente Configurar servicio de seguridad de IDS/IPS (Configure IDS/IPS Security Service).
- Introduzca un nombre único para el servicio de IDS/IPS y proporcione una descripción según sea necesario.
- En la sección Detección y prevención de intrusiones (Intrusion Detection and Prevention), active los botones de alternancia Detección de intrusiones (IDS) [Intrusion Detection (IDS)] y/o Prevención de intrusiones (IPS) [Intrusion Prevention (IPS)]. Cuando un usuario activa únicamente IPS, IDS se activará automáticamente. El motor EFS inspecciona el tráfico enviado/recibido a través de las instancias de Edge y compara el contenido con las firmas configuradas en el motor EFS. Las firmas de IDS/IPS se actualizan de forma continua con una licencia de EFS válida. Para obtener más información sobre EFS, consulte Descripción general de los servicios de firewall mejorados.
- Detección de intrusiones (Intrusion Detection): cuando IDS está activado en instancias de Edge, estas detectan si el flujo de tráfico es malintencionado o no en función de determinadas firmas configuradas en el motor. Si se detecta un ataque, el motor EFS genera una alerta y envía el mensaje de alerta al servidor SASE Orchestrator/Syslog si el registro de firewall está activado en Orchestrator y no descartará ningún paquete.
- Prevención de intrusiones (Intrusion Prevention): cuando IPS está activado en instancias de Edge, estas detectan si el flujo de tráfico es malintencionado o no en función de determinadas firmas configuradas en el motor. Si se detecta un ataque, el motor EFS genera una alerta y bloquea el flujo de tráfico al cliente si la acción contemplada en la regla de firma es "Rechazar (Reject)". Si la acción en la regla de firma está establecida como "Alerta" (Alert), se permitirá el tráfico sin descartar ningún paquete, incluso si configura IPS.
Nota: VMware recomienda a los clientes no activar VNF cuando IDS/IPS está activado en las instancias de Edge. - En el menú desplegable Registrar (Log), seleccione Sí (Yes) si desea enviar los registros de IDS/IPS a Orchestrator.
- Haga clic en Guardar cambios (Save Changes). Se crea una regla de servicio de IDS/IPS, que aparece reflejada en la tabla de la página IDS/IPS.
- Haga clic en el vínculo que lleva al servicio de seguridad para modificar la configuración. Para eliminar un servicio de seguridad, seleccione la casilla de verificación que precede al grupo y haga clic en Eliminar (Delete).
Configurar un grupo de servicios de seguridad
- En el servicio SD-WAN del portal de empresas, vaya a (Configure > Enhanced Security > Security Services). Se abre la página Servicios de seguridad (Security Services).
- Haga clic en la pestaña Grupo de servicios de seguridad (Security Service Group) y, a continuación, en + CREAR GRUPO (+ CREATE GROUP). Se abre la página Nuevo grupo de servicios de seguridad (New Security Service Group).
- Si desea crear un nuevo grupo de servicios a partir de uno ya existente, seleccione una opción en el menú desplegable Duplicar grupo de servicios de seguridad (Duplicate Security Service Group) y cambie el nombre de la regla únicamente. Todas las demás configuraciones se aplicarán automáticamente desde el grupo de servicios de seguridad seleccionado.
- Para crear un nuevo grupo de servicios, introduzca un nombre único para dicho grupo y proporcione una descripción según sea necesario.
- En la sección Crear grupo de servicios de seguridad (Create Security Service Group), puede seleccionar de entre los servicios de seguridad creados previamente de categorías de URL, reputación de URL, IP malintencionada e IDS/IPS y agruparlos para crear un grupo de seguridad. Si no desea utilizar ninguno de los servicios creados previamente, puede hacer clic en el botón Nuevo (New) y crear un nuevo servicio de seguridad para asociarlo al grupo de seguridad. Haga clic en el botón Ver (View) para ver los detalles de configuración del servicio de seguridad seleccionado.
- Haga clic en Guardar cambios (Save Changes). Se crea un grupo de servicios de seguridad, que aparece reflejado en la tabla de la página Grupo de servicios de seguridad (Security Service Group).
- Haga clic en el vínculo que lleva al grupo de servicios de seguridad para modificar la configuración. Para eliminar un grupo de servicios de seguridad, seleccione la casilla de verificación que precede al grupo y haga clic en Eliminar (Delete).
Nota: Los grupos de servicios de seguridad en uso no se pueden eliminar. Si desea eliminar un grupo de servicios de seguridad, primero debe eliminarlo de las reglas de firewall asociadas correspondientes.
Asociar un grupo de servicios de seguridad a una regla de firewall en el nivel de perfil
- En el servicio SD-WAN del portal de empresas, vaya a . La página Perfiles (Profiles) muestra los perfiles existentes.
- Seleccione un perfil para configurar una regla de firewall y, luego, haga clic en la pestaña Firewall.
- Vaya a la sección Configurar firewall (Configure Firewall) y, en el área Reglas de firewall (Firewall Rules), haga clic en + NUEVA REGLA (+ NEW RULE). Se abre la página Nueva regla (New Rule).
- En el cuadro Nombre de regla (Rule Name), introduzca un nombre único para la regla. Para crear una regla de firewall a partir de una regla existente, seleccione la regla que se va a duplicar en el menú desplegable Duplicar regla (Duplicate Rule).
- En las secciones Coincidencia (Match) y Acción de firewall (Firewall Action), configure las condiciones de coincidencia de la regla y las acciones que se realizarán cuando el tráfico coincida con los criterios definidos, respectivamente. Para obtener más información, consulte Configurar reglas de firewall.
- En la sección Servicios de seguridad (Security Services), configure el servicio de seguridad de la regla; para ello, seleccione un grupo de servicios de seguridad en el menú desplegable. Se mostrará un resumen de todos los servicios de seguridad configurados en el grupo de servicios de seguridad. Puede hacer clic en el botón Ver (View) junto a cada uno de los servicios de seguridad para ver los detalles de configuración.
Nota: La opción Servicios de seguridad (Security Services) se puede activar en la regla solo si la acción de firewall está establecida en Permitir (Allow). Si la acción de firewall no está establecida en Permitir (Allow), Servicios de seguridad (Security Services) se desactivará.
- Después de configurar todos los ajustes necesarios, haga clic en Crear (Create). Se creará una regla de firewall para el perfil seleccionado y esta se mostrará en el área Reglas de firewall (Firewall Rules) de la página Firewall de perfil (Profile Firewall).
- Haga clic en Guardar cambios (Save Changes).
- En el servicio SD-WAN del portal de empresas, vaya a . La página Perfiles (Profiles) muestra los perfiles existentes.
- Seleccione un perfil para configurar una regla de firewall y, luego, haga clic en la pestaña Firewall.
- Vaya a la sección Configurar firewall (Configure Firewall) y, en el área Reglas de firewall (Firewall Rules), seleccione el nombre de la regla para la que desea cambiar la configuración del servicio de seguridad.
- En la sección Servicios de seguridad (Security Services), seleccione otro grupo de servicios para asociarlo a la regla y haga clic en Editar (Edit).
- Haga clic en Guardar cambios (Save Changes).
Asociar un grupo de servicios de seguridad a una regla de firewall en el nivel de
- En el servicio de SD-WAN del portal de empresas, vaya a . La página Instancias de Edge (Edges) muestra las instancias de Edge existentes.
- Para configurar una instancia de Edge, haga clic en el vínculo a la instancia de Edge o en el vínculo Ver (View) de la columna Firewall de la instancia de Edge.
- Haga clic en la pestaña Firewall.
- Vaya a la sección Configurar firewall (Configure Firewall); en el área Reglas de firewall (Firewall Rules) puede crear una regla nueva con las configuraciones del servicio de seguridad o modificar la configuración del servicio de seguridad de la regla existente. Siga el procedimiento descrito en el paso 6 de la sección Asociar un grupo de servicios de seguridad a una regla de firewall en el nivel de perfil.
Nota: Las reglas creadas en el nivel de perfil no se pueden actualizar en el nivel de Edge. Para anular una regla de nivel de perfil, el usuario debe crear la misma regla en el nivel de Edge con nuevos parámetros.
- Después de configurar todos los ajustes necesarios, haga clic en Crear (Create). Se creará una regla de firewall para la instancia de Edge seleccionada y dicha regla se mostrará en el área Reglas de firewall (Firewall Rules) de la página Firewall de Edge (Edge Firewall).
- Haga clic en Guardar cambios (Save Changes).