Configurar una Política de Firewall para el Tráfico de TDR

Cuando habilita TDR en su Firebox, la configuración del Firebox debe incluir una política para permitir que los Host Sensors de su red se conecten a su cuenta de TDR.

Acerca de la Plantilla de la Política WG-TDR-Host-Sensor

Cuando habilita Threat Detection and Response en Fireware v11.12.1 y superior, la política de Threat Detection and Response de WatchGuard se agrega automáticamente a la configuración. Esta política usa la plantilla de la política de filtrado de paquetes WG-TDR-Host-Sensor, la cual permite el tráfico TCP en el puerto 443 desde el alias Cualquiera-De Confianza a los FQDN para todas las regiones de TDR. Para permitir el tráfico de Host Sensors en las redes opcionales, puede editar esta política para agregar el alias Cualquiera-Opcional o agregar un nombre de interfaz específico a la lista De.

Si su Firebox ejecuta Fireware v11.12 o inferior, cuando usted habilita TDR desde Policy Manager o Fireware Web UI, debe agregar manualmente una política que permita conexiones desde su red al FQDN para su cuenta de TDR.

Agregar Manualmente una Política para Permitir el Tráfico de Host Sensor

Si su Firebox ejecuta Fireware v11.12.1 o superior, para permitir las conexiones de Host Sensor desde la red de confianza, agregue la política de filtrado de paquetes WG-TDR-Host-Sensor a su configuración. Esta política se agrega automáticamente cuando habilita TDR en el Firebox.

Si su Firebox ejecuta Fireware v11.12, agregue manualmente una política de filtrado de paquetes HTTPS con esta configuración:

  • Las conexiones son — Permitido
  • De — Cualquiera-De Confianza, Cualquiera-Opcional (o la ubicación donde sus Host Sensors están instalados)
  • A — FQDNs tdr-hsc-na.watchguard.com, tdr-hsc-eu.watchguard.com y tdr-hsc-ap.watchguard.com

Si desea permitir conexiones solo al FQDN para su cuenta TDR, puede encontrar el FQDN en TDR y agregarlo a la política de filtrado de paquetes.

Para encontrar el FQDN para su cuenta de TDR en WatchGuard Cloud:

  1. Iniciar Sesión en TDR.
  2. Seleccione Monitorizar > Detección de Amenazas.
  3. En la sección Dispositivos/Usuarios, seleccione Hosts.
    Se abre la página Hosts.
  4. Haga clic en Descargar Host Sensor.
    Se abre el cuadro de diálogo Descargar Host Sensor.
  5. Busque la Dirección del Controlador. Esta aparece en el formato FQDN:puerto.

  1. Copie el valor del FQDN. No incluya el número de puerto.
  1. Seleccione Firewall > Políticas de Firewall.
  2. Haga clic en Agregar Política.
  3. En la lista desplegable Filtrado de Paquetes, seleccione HTTPS.
  4. Haga clic en Agregar Política.
    Aparece la configuración de la política.
  5. En el cuadro de texto Nombre, escriba un nombre para identificar esta política.
    Por ejemplo, escriba HTTPS-TDR.
  6. En la sección A, seleccione Cualquiera Externa y haga clic en Eliminar.
  7. En la lista A, haga clic en Agregar.
  8. En la lista desplegable Tipo de Miembro, seleccione FQDN.

Screen shot of the Add Member dialog box

  1. En el cuadro de texto, pegue el FQDN que copió desde la Dirección del Controlador del Host Sensor.
  2. Haga clic en Aceptar.
    El FQDN se agrega como el destino de la política.

Screen shot of the HTTPS policy in Fireware Web UI

  1. Haga clic en Guardar.
  1. Abra la configuración del Firebox en Policy Manager.
  2. Seleccione Editar > Agregar Política.
  3. En la lista desplegable Filtrado de Paquetes, seleccione HTTPS.
  4. Haga clic en Agregar.
  5. En el cuadro de texto Nombre, escriba un nombre para identificar esta política.
    Por ejemplo, escriba HTTPS-TDR.
  6. En la sección A, seleccione Cualquiera Externa y haga clic en Eliminar.
  7. En la lista A, haga clic en Agregar.
  8. Haga clic en Agregar otro.
  9. En la lista desplegable Elegir Tipo, seleccione FQDN.

Screen shot of the Add Member dialog box with FQDN selected

  1. En el cuadro de texto Valor, pegue el FQDN que copió desde la Dirección del Controlador del Host Sensor.
  2. Haga clic en Aceptar dos veces.
    El FQDN se agrega como el destino de la política.

Screen shot of the HTTPS packet filter policy to the TDR FQDN

  1. Haga clic en Aceptar.
  2. Guardar la configuración en el Firebox.

Agregar los FQDN para el Análisis de la Caja de Arena de TDR, AD Helper y Datos de Investigación

Podría ser necesario agregar otros FQDN como destinos en el WG-TDR-Host-Sensor u otra política de filtrado de paquetes HTTPS para permitir que los Host Sensors y AD Helper se conecten a la nube de TDR.

Debe agregar estos FQDN solo si su Firebox tiene una política de proxy HTTPS con estas opciones de validación de certificados habilitadas en la configuración de inspección de contenido:

  • Use OCSP para validar certificados
  • Si no es posible validar un certificado, este se considerará inválido

En Fireware 12.4 y posterior, estos FQDN se agregan automáticamente como destinos en la política WG-TDR-Host-Sensor que se crea al habilitar TDR. En versiones anteriores de Fireware, es posible que deba agregar tdr-files-na.watchguard.com, tdr-files-eu.watchguard.com y tdr-files -ap.watchguard.com como destinos.

Para permitir que los Host Sensors de TDR ejecuten la acción Poner Archivo en la Caja de Arena, agregue estos FQDN como destinos en la política WG-TDR-Host-Sensor:

tdr-frontline-na.watchguard.com

tdr-frontline-eu.watchguard.com

tdr-frontline-ap.watchguard.com

Para permitir que AD Helper se conecte a la nube de TDR, agregue estos FQDN como destinos en la política WG-TDR-Host-Sensor:

tdr-adhh-na.watchguard.com

tdr-adhh-eu.watchguard.com

tdr-adhh-ap.watchguard.com

Para permitir que los Host Sensor de TDR envíen datos que WatchGuard utiliza para la investigación, agregue este FQDN como destino en la política WG-TDR-Host-Sensor:

tdr-rdp-na.watchguard.com

Habilitar Políticas y Servicios de Proxy

Para que TDR pueda correlacionar efectivamente los eventos de la red con los eventos del Host Sensor, recomendamos que también habilite las políticas y los servicios de proxy en el Firebox. Para más información, consulte Configurar las Políticas Proxy para TDR.

Ver También

Acerca de las Regiones de la Cuenta TDR