Configurar las Acciones de WebBlocker para Grupos con Autenticación en Firebox

Muchas organizaciones desean permitir distintos niveles de acceso a los sitios web para diferentes grupos de usuarios. Para poder hacer esto, primero debe configurar la autenticación de usuario. Luego puede configurar diferentes acciones de WebBlocker para políticas que se aplican a cada grupo de usuarios. En un nivel alto, los pasos son los siguientes:

• Configure la autenticación de usuario.
• Agregue los usuarios a los grupos conforme a quiénes desee que tengan diferentes niveles de acceso.
• Agregar políticas para cada grupo de usuarios. La política incluye la acción de WebBlocker que se usará para ese grupo.
• Elimine o modifique la política saliente predeterminada.
• Establecer la configuración de autenticación para que redirija a los usuarios de manera automática a la página de autenticación de WatchGuard.

Situación de ejemplo

Para mostrar cómo establecer esta configuración, utilizamos Policy Manager a fin de configurar las políticas de WebBlocker para una escuela que desea establecer diferentes niveles de acceso web para tres grupos distintos:

• Estudiantes (acceso más restringido)
• Maestros (acceso menos restringido)
• TI (acceso sin restricciones)

Configurar la autenticación

Antes de establecer la configuración de WebBlocker, debe configurar la autenticación de usuario. Puede utilizar cualquier método de autenticación, como Active Directory, autenticación local, Radius o LDAP. Para obtener información acerca de los métodos de autenticación admitidos, consulte Tipos de Servidores de Autenticación. En este ejemplo, suponemos que la escuela usa la autenticación de Firebox.

Agregar Usuarios para la Autenticación de Firebox

1. Seleccione Configurar > Autenticación > Servidores de Autenticación.
   Aparece el cuadro de diálogo Servidores de Autenticación.

2. En la pestaña Firebox, en la sección Usuarios, haga clic en Agregar.
   Aparece el cuadro de diálogo Configurar Usuario de Firebox.

3. Ingrese el Nombre y una Descripción (opcional) del nuevo usuario.
   El nombre es el nombre de usuario que se utiliza para la autenticación. El nombre no puede contener espacios.
4. Ingrese y confirme la Contraseña para este usuario nuevo.

Al definir esa contraseña, los caracteres están enmascarados y no aparecen en el texto simple de nuevo. Si pierde la contraseña, debe definir una nueva.

5. En el cuadro de texto Tiempo de espera de Sesión, ingrese o seleccione el período máximo de tiempo en que el usuario puede enviar tráfico a la red externa.

La configuración mínima para este campo es de un (1) segundo, minuto, hora o día. El valor máximo es de 365 días.

6. En el cuadro de texto Tiempo de Espera Inactivo, ingrese o seleccione el período de tiempo durante el que el usuario puede permanecer autenticado estando inactivo (sin que pase tráfico hacia la red externa).

La configuración mínima para este campo es de un (1) segundo, minuto, hora o día. El valor máximo es de 365 días.

7. Para cerrar el cuadro de diálogo Configurar Usuario de Firebox, haga clic en Aceptar.
   Aparece el cuadro de diálogo Servidores de Autenticación, con el nombre de usuario agregado a la lista de usuarios.

Repita estos pasos para agregar a cada usuario a la base de datos de autenticación de Firebox. Para este ejemplo, todos los estudiantes, los maestros y los miembros del equipo de TI.

Definir los grupos de autenticación de Firebox

A continuación, debe definir los grupos de usuario que corresponden a las diferentes políticas de WebBlocker que desea utilizar. Desde Policy Manager, cree un grupo por cada nivel diferente de acceso a sitios web que desee permitir. En este ejemplo, definimos tres grupos: Maestros, Estudiantes e IT.

1. Seleccione Configurar > Autenticación > Servidores de Autenticación.
   Aparece el cuadro de diálogo Servidores de Autenticación.

2. En la sección Grupos de Usuarios, haga clic en Agregar.
   Aparece el cuadro de diálogo Configurar Grupo de Firebox.

4. Ingrese un nombre para el grupo. Para este ejemplo, el nombre de grupo es Maestros.
5. (Opcional) Ingrese una descripción para el grupo.
6. Agregue los nombres de usuario de todos los maestros en este grupo. Para agregar un usuario al grupo, seleccione el nombre de usuario de la lista Disponible. Haga clic en para mover el nombre hacia la lista Miembro.
   También puede hacer doble clic en el nombre de usuario en la lista Disponible.
7. Después de agregar todos los maestros al grupo, haga clic en Aceptar.
   Aparece el cuadro de diálogo Servidores de Autenticación, con el grupo de usuario Maestros agregado.

Repita los mismos pasos para crear un grupo llamado Estudiantes que contiene los nombres de usuario de todos los estudiantes, y un grupo llamado IT que contiene los nombres de usuario de todos los miembros del equipo de IT.

Crear una política de proxy HTTP para los estudiantes

El Firebox usa dos categorías de políticas para filtrar el tráfico de red: filtrado de paquetes y proxies.

Política de filtrado de paquetes

Un filtro de paquetes examina la dirección IP y el encabezado TCP/UDP de cada paquete. Si la configuración del filtro de paquetes permite la información en el encabezado del paquete, entonces Firebox permite el paquete. De lo contrario, Firebox lo rechaza.

Política de proxy

Un proxy examina tanto la información del encabezado como el contenido de cada paquete. Si la configuración del proxy permite la información del encabezado del paquete y el contenido del paquete, entonces Firebox permite el paquete. De lo contrario, Firebox lo rechaza.

Para denegar el acceso a categorías de sitios web para un grupo de usuarios, use el Policy Manager para crear una política de proxy HTTP para esos usuarios y definir una acción de WebBlocker para esa política. El proxy HTTP luego podrá inspeccionar el contenido y permitirles o negarles a los usuarios el acceso a un sitio web sobre la base de las categorías de WebBlocker configuradas para esa política.

1. Seleccione Editar > Agregar Políticas.
   Aparece el cuadro de diálogo Agregar Políticas.
2. Expanda la carpeta de Proxies y seleccione Proxy HTTP. Haga clic en Agregar.
   Aparece el cuadro de diálogo Propiedades de nueva política.

3. Cambie el nombre de la política de proxy para que describa al grupo al cual debe aplicarse.
   En este ejemplo, denominamos la política de proxy Estudiantes-proxy-HTTP.
4. En la pestaña Política, en la lista Desde, seleccione Cualquiera de Confianza. Haga clic en Eliminar.
5. En la sección Desde, haga clic en Agregar para agregar el grupo de usuarios para esta política.
   Aparece el cuadro de diálogo Agregar Dirección.
6. Haga clic en Agregar Usuario. En las listas desplegables seleccione Firewall y Grupo.
   Aparece el cuadro de diálogo Agregar Usuarios o Grupos.

7. Seleccione el grupo Estudiantes. Haga clic en Seleccionar, y luego haga clic en Aceptar.
   Aparece el cuadro de diálogo Propiedades de Nuevas Políticas con el grupo Estudiantes (Firebox-DB) en la sección De de la política.

8. Haga clic en
   Aparece el cuadro de diálogo Configuración de acción de proxy HTTP.

9. En la lista Categorías, seleccione WebBlocker.
   Aparece la configuración de WebBlocker.
10. Junto a la lista desplegable WebBlocker, haga clic en .
    Aparece el cuadro de diálogo Clonar Acción de WebBlocker.

11. En el cuadro de texto Nombre, ingrese un nombre para esta acción de WebBlocker.
    Para este ejemplo, denomine a esta configuración Estudiantes.
12. Seleccione la pestaña Categorías para mostrar las categorías de contenido que se pueden denegar.
13. En la columna Denegar, marque la casilla de selección para cada categoría de contenido que desee denegar a los usuarios en el grupo Estudiantes.
14. Haga clic en Aceptar.

Crear una Política de Proxy HTTP para los Maestros

En Policy Manager, repita los mismos pasos para configurar una política diferente para el grupo Maestros.

1. Seleccione Editar > Agregar Políticas.
   Aparece el cuadro de diálogo Agregar Políticas.
2. Expanda la carpeta de Proxies y seleccione Proxy HTTP. Haga clic en Agregar.
   Aparece el cuadro de diálogo Propiedades de nueva política.

3. En el cuadro de texto Nombre, ingrese un nombre descriptivo para la política de proxy que describe a este grupo.
   Por este ejemplo, ingrese Proxy-HTTP-Maestros.
4. En la pestaña Política, en la lista Desde, seleccione Cualquiera de Confianza. Haga clic en Eliminar.
5. En la sección Desde, haga clic en Agregar para agregar el grupo de usuarios para esta política.
   Para este ejemplo, agregue el grupo Maestros.
6. Haga clic en Agregar Usuario. En las listas desplegables seleccione Firewall y Grupo.
   Aparece el cuadro de diálogo Agregar Usuarios o Grupos.

7. Seleccione el grupo Maestros. Haga clic en Seleccionar. Haga clic en Aceptar.
   Aparece el cuadro de diálogo Propiedades de nuevas políticas con el grupo Maestros (Firebox-DB) en la sección De de la política.

8. Haga clic en
   Aparece el cuadro de diálogo Configuración de acción de proxy HTTP.
9. En la lista de categorías, seleccione WebBlocker.
   Aparece la configuración de WebBlocker.
10. Adyacente a la lista desplegable WebBlocker, haga clic en .
    Aparece el cuadro de diálogo Clonar Acción de WebBlocker.
11. En el cuadro de texto Nombre, ingrese un nombre para la configuración de WebBlocker.
    En este ejemplo, utilizamos el nombre Maestros.
12. Seleccione la pestaña Categorías para ver las categorías de contenido que se pueden denegar.

13. En la columna Denegar, marque la casilla de selección para cada categoría de contenido que desee denegar a los usuarios en el grupo Maestros.
14. Haga clic en Aceptar.

Crear una política de filtrado de paquetes HTTP para el grupo TI

El equipo TI necesita tener acceso a Internet sin restricciones. Como no necesitamos una política que inspeccione el contenido de los paquetes HTTP para estos usuarios, usamos Policy Manager para crear una política de filtrado de paquetes HTTP en lugar de una política de proxy HTTP.

1. Seleccione Editar > Agregar Políticas.
   Aparece el cuadro de diálogo Agregar Políticas.
2. Expanda la carpeta Filtrado de Paquetes y seleccione HTTP. Haga clic en Agregar.
   Aparece el cuadro de diálogo Propiedades de nueva política.

3. Cambie el nombre de la política de proxy para que describa al grupo al cual debe aplicarse.
   En este ejemplo, denominamos a la política de proxy HTTP-IT.
4. En la pestaña Política, en la sección Desde, seleccione Cualquiera-De-Confianza. Haga clic en Eliminar.
5. En la sección Desde, haga clic en Agregar para agregar el grupo de usuarios para esta política.
   Para este ejemplo, agregue el grupo IT.
6. Haga clic en Agregar Usuario. En las listas desplegables seleccione Firewall y Grupo.
   Aparece el cuadro de diálogo Agregar Usuarios o Grupos.

7. Seleccione el grupo IT. Haga clic en Seleccionar. Haga clic en Aceptar.
   Aparece el cuadro de diálogo Propiedades de Nuevas Políticas con el grupo TI (Firebox-DB) en la sección De de la política.

8. Haga clic en Aceptar.

Los miembros del grupo TI ya no se ven afectados por las restricciones de WebBlocker.

Eliminar o modificar la política saliente

Después de configurar su proxy HTTP para agregar una acción de WebBlocker, debe asegurarse de que la política Saliente predeterminada no permita que los clientes de la red visiten sitios web sin autenticación de usuario. Para hacer esto, puede usar Policy Manager para eliminar la política saliente y agregar cualquier otra política de red saliente que necesite, o bien puede editar la política saliente para agregar sus grupos de usuarios de autenticación de WebBlocker. A continuación se explican las dos opciones.

Opción 1: Eliminar la política saliente y agregar otras políticas de red salientes

Ésta es la opción que le recomendamos si desea tener un mayor control sobre el acceso de red saliente. Debe saber qué puertos y protocolos son necesarios para satisfacer las necesidades de su organización.

Primero, elimine la política saliente:

1. Seleccione la política Saliente.
2. Seleccione Editar > Eliminar Política.
3. Para confirmar, haga clic en Sí.

Luego, agregue una política de filtrado de paquetes del DNS para permitir las consultas del DNS salientes:

1. Seleccione Editar > Agregar Políticas.
   Aparece el cuadro de diálogo Agregar Políticas.
2. Expanda la carpeta Filtrado de Paquetes y seleccione DNS. Haga clic en Agregar.
   Aparece el cuadro de diálogo Propiedades de nueva política.
3. Agregue todas sus redes internas a la sección Desde de la política.
4. Haga clic en Aceptar para guardar la política.

Por último, agregue otras políticas personalizadas.

Agregue políticas personalizadas para cualquier otro tráfico saliente necesario. Algunos ejemplos de otras políticas personalizadas que posiblemente desee agregar incluyen los siguientes:

• Protocolo de datagrama de usuario (UDP)
• SMTP (si tiene un servidor de correo)

Para obtener información acerca de cómo agregar una política personalizada, consulte Acerca de Políticas Personalizadas.

Opción 2: Agregar sus grupos de autenticación de usuario a la política saliente

Si no está seguro de qué otros puertos y protocolos salientes son necesarios para su negocio, o si se siente cómodo con el mismo nivel de control saliente que tiene cuando utiliza la configuración predeterminada, puede modificar la política saliente para agregar sus grupos de autenticación.

1. Haga doble clic en política Saliente.
   Aparece el cuadro de diálogo Editar propiedades de política.
2. En la lista De, seleccione Cualquiera-De Confianza. Haga clic en Eliminar.
3. En la lista Desde, seleccione Cualquiera Opcional. Haga clic en Eliminar.
4. En la sección Desde, haga clic en Agregar.
   Aparece el cuadro de diálogo Agregar dirección.
5. Haga clic en Agregar Usuario. En las listas desplegables seleccione Firewall y Grupo.
   Aparece el cuadro de diálogo Agregar Usuarios o Grupos.

6. Seleccione los tres grupos de autenticación de usuarios que creó. Haga clic en Seleccionar.
7. Haga clic en Aceptar.
   Aparece el cuadro de diálogo Editar Propiedades de Políticas para la política saliente. Los grupos seleccionados aparecen en la sección Desde de la política.

Redirigir usuarios automáticamente al portal de inicio de sesión

Desde Policy Manager, puede establecer la configuración de autenticación global para enviar de manera automática a los usuarios que todavía no se autenticaron al portal de inicio de sesión de autenticación cuando intenten acceder a Internet.

1. Seleccione Configuración > Autenticación > Configuraciones de Autenticación.
   Se abre el cuadro de diálogo Configuración de Autenticación.
2. Seleccione la casilla de selección Redireccionar usuarios automáticamente a la página de autenticación para que se autentiquen.

Ahora, WebBlocker está configurado para utilizar diferentes políticas para diferentes grupos de usuarios autenticados y redirige a los usuarios no autenticados de manera automática a una página de autenticación.

Ver también

Usar Acciones de WebBlocker en Definiciones de Proxy

Acerca del Proxy HTTP

Configurar Valores de Autenticación de Firewall Globales

Danos tu Opinión  •   Obtener Soporte  •   Toda la Documentación del Producto  •   Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.