CSM 3.x: Configurar permisos de usuario y funciones

Opciones de descarga

  • PDF     (305.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (90.8 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (103.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:14 de mayo de 2007
ID del documento:91762

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo configurar los permisos y las funciones para los usuarios en Cisco Security Manager (CSM).

Prerequisites

Requirements

Este documento asume que el CSM está instalado y funciona correctamente.

Componentes Utilizados

La información de este documento se basa en el CSM 3.1.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configurar permisos de usuario

Cisco Security Manager autentica su nombre de usuario y contraseña antes de que pueda iniciar sesión. Una vez autenticados, el Administrador de seguridad establece su función en la aplicación. Esta función define sus permisos (también denominados privilegios), que son el conjunto de tareas u operaciones para las que está autorizado a realizar. Si no está autorizado para realizar determinadas tareas o dispositivos, los elementos de menú, los elementos de la tabla de contenido y los botones relacionados se ocultan o deshabilitan. Además, un mensaje le indica que no tiene permiso para ver la información seleccionada o realizar la operación seleccionada.

La autenticación y autorización para Security Manager la gestiona el servidor CiscoWorks o Cisco Secure Access Control Server (ACS). De forma predeterminada, CiscoWorks administra la autenticación y la autorización, pero puede cambiar a Cisco Secure ACS mediante la página AAA Mode Setup (Configuración del modo AAA) de CiscoWorks Common Services.

Las principales ventajas de utilizar Cisco Secure ACS son la capacidad de crear funciones de usuario muy granulares con conjuntos de permisos especializados (por ejemplo, permitir al usuario configurar determinados tipos de políticas, pero no otros) y la capacidad de restringir los usuarios a determinados dispositivos mediante la configuración de grupos de dispositivos de red (NDG).

En los temas siguientes se describen los permisos de usuario:

Permisos del Administrador de seguridad

El Administrador de seguridad clasifica los permisos en las categorías que se muestran a continuación:

  1. Ver: permite ver la configuración actual. Para obtener más información, vea Ver permisos.

  2. Modificar: permite cambiar la configuración actual. Para obtener más información, vea Modificar permisos.

  3. Asignar: permite asignar directivas a dispositivos y topologías VPN. Para obtener más información, vea Asignar permisos

  4. Aprobar: permite aprobar cambios de directivas y trabajos de implementación. Para obtener más información, vea Aprobar permisos.

  5. Importar: permite importar las configuraciones que ya están implementadas en los dispositivos en el Administrador de seguridad.

  6. Implementar: permite implementar cambios de configuración en los dispositivos de la red y realizar rollback para volver a una configuración implementada anteriormente.

  7. Control: permite ejecutar comandos para dispositivos, como ping.

  8. Enviar: permite enviar los cambios de configuración para su aprobación.

  • Al seleccionar modificar, asignar, aprobar, importar, controlar o implementar permisos, también debe seleccionar los permisos de vista correspondientes; de lo contrario, el Administrador de seguridad no funcionará correctamente.

  • Al seleccionar modificar permisos de directiva, también debe seleccionar los permisos de directiva de asignación y vista correspondientes.

  • Cuando permite una directiva que utiliza objetos de directiva como parte de su definición, también debe conceder permisos de vista a estos tipos de objeto. Por ejemplo, si selecciona el permiso para modificar directivas de enrutamiento, también debe seleccionar los permisos para ver objetos de red y funciones de interfaz, que son los tipos de objeto requeridos por las directivas de enrutamiento.

  • Lo mismo ocurre cuando se permite un objeto que utiliza otros objetos como parte de su definición. Por ejemplo, si selecciona el permiso para modificar grupos de usuarios, también debe seleccionar los permisos para ver objetos de red, objetos ACL y grupos de servidores AAA.

Ver permisos

Los permisos de vista (de sólo lectura) del Administrador de seguridad se dividen en las categorías que se muestran a continuación:

Ver directivas Permisos

El Administrador de seguridad incluye los siguientes permisos de vista para directivas:

  1. Ver > Políticas > Firewall. Permite ver las políticas de servicio de firewall (ubicadas en el selector de políticas en Firewall) en dispositivos PIX/ASA/FWSM, routers IOS y dispositivos Catalyst 6500/7600. Entre los ejemplos de políticas de servicio de firewall se incluyen las reglas de acceso, las reglas AAA y las reglas de inspección.

  2. Ver > Políticas > Sistema de prevención de intrusiones. Permite ver las directivas IPS (situadas en el selector de directivas en IPS), incluidas las directivas para IPS que se ejecutan en routers IOS.

  3. Ver > Políticas > Imagen. Permite seleccionar un paquete de actualización de firmas en el asistente Aplicar actualizaciones de IPS (ubicado en Herramientas > Aplicar actualización de IPS), pero no permite asignar el paquete a dispositivos específicos, a menos que también disponga del permiso Modificar > Directivas > Imagen.

  4. Ver > Políticas > NAT. Permite ver las políticas de traducción de direcciones de red en dispositivos PIX/ASA/FWSM y routers IOS. Algunos ejemplos de políticas NAT son las reglas estáticas y las reglas dinámicas.

  5. Ver > Políticas > VPN de sitio a sitio. Permite ver las políticas VPN de sitio a sitio en dispositivos PIX/ASA/FWSM, routers IOS y dispositivos Catalyst 6500/7600. Algunos ejemplos de políticas VPN de sitio a sitio son las propuestas IKE, las propuestas IPsec y las claves previamente compartidas.

  6. Ver > Políticas > VPN de acceso remoto. Permite ver las políticas de VPN de acceso remoto en dispositivos PIX/ASA/FWSM, routers IOS y dispositivos Catalyst 6500/7600. Algunos ejemplos de directivas VPN de acceso remoto son las propuestas IKE, las propuestas IPsec y las directivas PKI.

  7. Ver > Políticas > SSL VPN. Permite ver las políticas SSL VPN en los dispositivos PIX/ASA/FWSM y routers IOS, como el asistente SSL VPN.

  8. Ver > Políticas > Interfaces. Permite ver las políticas de interfaz (ubicadas en el selector de políticas en Interfaces) en los dispositivos PIX/ASA/FWSM, routers IOS, sensores IPS y dispositivos Catalyst 6500/7600.

    1. En los dispositivos PIX/ASA/FWSM, este permiso cubre los puertos de hardware y la configuración de la interfaz.

    2. En los routers IOS, este permiso cubre la configuración básica y avanzada de la interfaz, así como otras políticas relacionadas con la interfaz, como DSL, PVC, PPP y políticas de marcado.

    3. En los sensores IPS, este permiso cubre las interfaces físicas y los mapas de resumen.

    4. En los dispositivos Catalyst 6500/7600, este permiso cubre las interfaces y la configuración de VLAN.

  9. Ver > Políticas > Conexión en puente. Permite ver las políticas de la tabla ARP (ubicadas en el selector de políticas en Plataforma > Bridging) en los dispositivos PIX/ASA/FWSM.

  10. Ver > Políticas > Administración de dispositivos. Permite ver las políticas de administración de dispositivos (ubicadas en el selector de políticas en Plataforma > Administración de dispositivos) en dispositivos PIX/ASA/FWSM, routers IOS y dispositivos Catalyst 6500/7600:

    1. En los dispositivos PIX/ASA/FWSM, algunos ejemplos incluyen políticas de acceso de dispositivos, políticas de acceso de servidores y políticas de conmutación por fallas.

    2. En los routers IOS, los ejemplos incluyen las políticas de acceso de dispositivos (incluido el acceso a la línea), las políticas de acceso de servidores, AAA y el aprovisionamiento seguro de dispositivos.

    3. En los sensores IPS, este permiso cubre las políticas de acceso de dispositivos y las políticas de acceso de servidores.

    4. En los dispositivos Catalyst 6500/7600, este permiso cubre la configuración IDSM y las listas de acceso VLAN.

  11. Ver > Políticas > Identidad. Permite ver las políticas de identidad (ubicadas en el selector de políticas en Plataforma > Identidad) en los routers Cisco IOS, incluidas las políticas 802.1x y Network Admission Control (NAC).

  12. Ver > Políticas > Registro. Permite ver las políticas de registro (ubicadas en el selector de políticas en Plataforma > Registro) en los dispositivos PIX/ASA/FWSM, routers IOS y sensores IPS. Algunos ejemplos de directivas de registro son la configuración de registro, la configuración del servidor y las directivas del servidor syslog.

  13. Ver > Políticas > Multidifusión. Permite ver las políticas de multidifusión (ubicadas en el selector de políticas en Plataforma > Multicast) en los dispositivos PIX/ASA/FWSM. Algunos ejemplos de políticas de multidifusión son el enrutamiento de multidifusión y las políticas IGMP.

  14. Ver > Políticas > QoS. Permite ver las políticas de QoS (situadas en el selector de políticas en Plataforma > Calidad de servicio) en los routers Cisco IOS.

  15. Ver > Políticas > Routing. Le permite ver las políticas de ruteo (ubicadas en el selector de políticas en Plataforma > Ruteo) en los dispositivos PIX/ASA/FWSM y routers IOS. Entre los ejemplos de directivas de enrutamiento se incluyen OSPF, RIP y directivas de enrutamiento estático.

  16. Ver > Políticas > Seguridad. Permite ver las políticas de seguridad (ubicadas en el selector de políticas en Plataforma > Seguridad) en los dispositivos PIX/ASA/FWSM y sensores IPS:

    1. En los dispositivos PIX/ASA/FWSM, las políticas de seguridad incluyen la configuración de anti-simulación, fragmento y tiempo de espera.

    2. En los sensores IPS, las políticas de seguridad incluyen parámetros de bloqueo.

  17. Ver > Políticas > Reglas de política de servicio. Permite ver las políticas de regla de política de servicio (ubicadas en el selector de políticas en Plataforma > Reglas de política de servicio) en los dispositivos PIX 7.x/ASA. Algunos ejemplos son las colas de prioridad e IPS, QoS y reglas de conexión.

  18. Ver > Políticas > Preferencias de usuario. Permite ver la política de implementación (ubicada en el selector de políticas en Plataforma > Preferencias de usuario) en los dispositivos PIX/ASA/FWSM. Esta política contiene una opción para borrar todas las traducciones NAT en la implementación.

  19. Ver > Políticas > Dispositivo virtual. Permite ver las directivas de sensores virtuales en los dispositivos IPS. Esta política se utiliza para crear sensores virtuales.

  20. Ver > Políticas > FlexConfig. Permite ver FlexConfigs, que son instrucciones y comandos CLI adicionales que se pueden implementar en dispositivos PIX/ASA/FWSM, routers IOS y dispositivos Catalyst 6500/7600.

Ver permisos de objetos

El Administrador de seguridad incluye los siguientes permisos de vista para objetos:

  1. Ver > Objetos > Grupos de servidores AAA. Permite ver objetos de grupo de servidores AAA. Estos objetos se utilizan en políticas que requieren servicios AAA (autenticación, autorización y contabilidad).

  2. Ver > Objetos > Servidores AAA. Permite ver objetos de servidor AAA. Estos objetos representan servidores AAA individuales definidos como parte de un grupo de servidores AAA.

  3. Ver > Objetos > Listas de control de acceso - Estándar/Ampliada. Permite ver los objetos ACL estándar y extendidos. Los objetos ACL extendidos se utilizan para una variedad de políticas, como NAT y NAC, y para establecer el acceso VPN. Los objetos ACL estándar se utilizan para políticas como OSPF y SNMP, así como para establecer el acceso VPN.

  4. Ver > Objetos > Listas de control de acceso - Web. Permite ver los objetos ACL web. Los objetos de ACL web se utilizan para realizar el filtrado de contenido en las políticas SSL VPN.

  5. Ver > Objetos > Grupos de usuarios ASA. Permite ver los objetos de grupo de usuarios ASA. Estos objetos se configuran en dispositivos de seguridad ASA en configuraciones Easy VPN, VPN de acceso remoto y VPN SSL.

  6. Ver > Objetos > Categorías. Permite ver objetos de categoría. Estos objetos ayudan a identificar fácilmente reglas y objetos en tablas de reglas mediante el uso de colores.

  7. Ver > Objetos > Credenciales. Permite ver los objetos de credenciales. Estos objetos se utilizan en la configuración Easy VPN durante la autenticación ampliada IKE (Xauth).

  8. Ver > Objetos > FlexConfigs. Permite ver los objetos FlexConfig. Estos objetos, que contienen comandos de configuración con instrucciones adicionales del lenguaje de secuencias de comandos, se pueden utilizar para configurar comandos que no son compatibles con la interfaz de usuario de Security Manager.

  9. Ver > Objetos > Propuestas IKE. Permite ver los objetos de propuesta IKE. Estos objetos contienen los parámetros necesarios para las propuestas IKE en las directivas VPN de acceso remoto.

  10. Ver > Objetos > Inspeccionar - Mapas de clase - DNS. Permite ver objetos de mapa de clase DNS. Estos objetos coinciden con el tráfico DNS con criterios específicos para que se puedan realizar acciones en ese tráfico.

  11. Ver > Objetos > Inspeccionar - Mapas de clase - FTP. Permite ver objetos de mapa de clase FTP. Estos objetos coinciden con el tráfico FTP con criterios específicos para que se puedan realizar acciones en ese tráfico.

  12. Ver > Objetos > Inspeccionar - Mapas de clase - HTTP. Permite ver objetos de mapa de clase HTTP. Estos objetos coinciden con el tráfico HTTP con criterios específicos para que se puedan realizar acciones en dicho tráfico.

  13. Ver > Objetos > Inspeccionar - Mapas de clase - MI. Permite ver objetos de mapa de clase de mensajería instantánea. Estos objetos coinciden con el tráfico de MI con criterios específicos para que se puedan realizar acciones en ese tráfico.

  14. Ver > Objetos > Inspeccionar - Mapas de clase - SIP. Permite ver objetos de mapa de clase SIP. Estos objetos coinciden con el tráfico SIP con criterios específicos para que se puedan realizar acciones en ese tráfico.

  15. Ver > Objetos > Inspeccionar - Mapas de política - DNS. Permite ver los objetos de mapa de política DNS. Estos objetos se utilizan para crear mapas de inspección para el tráfico DNS.

  16. Ver > Objetos > Inspeccionar - Mapas de política - FTP. Permite ver los objetos de mapa de política FTP. Estos objetos se utilizan para crear mapas de inspección para el tráfico FTP.

  17. Ver > Objetos > Inspeccionar - Mapas de política - GTP. Permite ver objetos de mapa de política GTP. Estos objetos se utilizan para crear mapas de inspección para el tráfico GTP.

  18. Ver > Objetos > Inspeccionar - Mapas de política - HTTP (ASA7.1.x/PIX7.1.x/IOS). Permite ver los objetos de mapa de política HTTP creados para dispositivos ASA/PIX 7.1.x y routers IOS. Estos objetos se utilizan para crear mapas de inspección para el tráfico HTTP.

  19. Ver > Objetos > Inspeccionar - Mapas de política - HTTP (ASA7.2/PIX7.2). Permite ver los objetos de mapa de política HTTP creados para dispositivos ASA 7.2/PIX 7.2. Estos objetos se utilizan para crear mapas de inspección para el tráfico HTTP.

  20. View > Objects > Inspect - Policy Maps - IM (ASA7.2/PIX7.2). Permite ver los objetos de mapa de política de IM creados para dispositivos ASA 7.2/PIX 7.2. Estos objetos se utilizan para crear mapas de inspección para el tráfico de MI.

  21. Ver > Objetos > Inspeccionar - Mapas de política - IM (IOS). Permite ver los objetos de mapa de política de IM creados para los dispositivos IOS. Estos objetos se utilizan para crear mapas de inspección para el tráfico de MI.

  22. Ver > Objetos > Inspeccionar - Mapas de política - SIP. Permite ver los objetos de mapa de política SIP. Estos objetos se utilizan para crear mapas de inspección para el tráfico SIP.

  23. Ver > Objetos > Inspeccionar - Expresiones regulares. Permite ver objetos de expresiones regulares. Estos objetos representan expresiones regulares individuales que se definen como parte de un grupo de expresiones regulares.

  24. Ver > Objetos > Inspeccionar - Grupos de expresiones regulares. Permite ver objetos de grupo de expresiones regulares. Ciertos mapas de clase e Inspeccionar mapas utilizan estos objetos para hacer coincidir el texto dentro de un paquete.

  25. Ver > Objetos > Inspeccionar - Mapas TCP. Permite ver objetos de mapa TCP. Estos objetos personalizan la inspección en el flujo TCP en ambas direcciones.

  26. Ver > Objetos > Roles de interfaz. Permite ver los objetos de rol de interfaz. Estos objetos definen patrones de nomenclatura que pueden representar varias interfaces en diferentes tipos de dispositivos. Las funciones de interfaz permiten aplicar políticas a interfaces específicas en varios dispositivos sin tener que definir manualmente el nombre de cada interfaz.

  27. Ver > Objetos > Conjuntos de transformación IPSec. Permite ver los objetos del conjunto de transformación IPsec. Estos objetos comprenden una combinación de protocolos de seguridad, algoritmos y otras configuraciones que especifican exactamente cómo se cifrarán y autenticarán los datos en el túnel IPsec.

  28. Ver > Objetos > Mapas de atributo LDAP. Permite ver objetos de mapa de atributos LDAP. Estos objetos se utilizan para asignar nombres de atributo personalizados (definidos por el usuario) a nombres de atributo LDAP de Cisco.

  29. Ver > Objetos > Redes/Hosts. Permite ver los objetos host/de red. Estos objetos son colecciones lógicas de direcciones IP que representan redes, hosts o ambos. Los objetos de red/host permiten definir políticas sin especificar cada red o host individualmente.

  30. Ver > Objetos > Inscripciones PKI. Permite ver los objetos de inscripción PKI. Estos objetos definen los servidores de la entidad emisora de certificados (CA) que funcionan dentro de una infraestructura de clave pública.

  31. Ver > Objetos > Listas de reenvío de puertos. Permite ver los objetos de la lista de reenvío de puertos. Estos objetos definen las asignaciones de números de puerto en un cliente remoto a la dirección IP de la aplicación y al puerto detrás de un gateway VPN SSL.

  32. Ver > Objetos > Configuraciones de Secure Desktop. Permite ver los objetos de configuración de escritorio seguro. Estos objetos son componentes con nombre reutilizables a los que se puede hacer referencia mediante las políticas SSL VPN para proporcionar un medio fiable de eliminar todos los rastros de datos confidenciales que se comparten durante una sesión SSL VPN.

  33. Ver > Objetos > Servicios - Listas de puertos. Permite ver objetos de lista de puertos. Estos objetos, que contienen uno o más intervalos de números de puerto, se utilizan para simplificar el proceso de creación de objetos de servicio.

  34. View > Objects > Services/Service Groups (Ver > Objetos > Servicios/Grupos de servicios) Permite ver los objetos de servicio y grupo de servicios. Estos objetos son asignaciones definidas de definiciones de protocolo y puerto que describen los servicios de red utilizados por las políticas, como Kerberos, SSH y POP3.

  35. Ver > Objetos > Servidores de Single Sign On. Permite ver objetos de servidor de inicio de sesión único. El inicio de sesión único (SSO) permite a los usuarios de VPN SSL introducir un nombre de usuario y una contraseña una vez y acceder a varios servicios protegidos y servidores web.

  36. Ver > Objetos > Monitores SLA. Permite ver los objetos de supervisión de SLA. Estos objetos son utilizados por los dispositivos de seguridad PIX/ASA que ejecutan la versión 7.2 o posterior para realizar el seguimiento de la ruta. Esta función proporciona un método para rastrear la disponibilidad de una ruta primaria e instalar una ruta de respaldo si la ruta primaria falla.

  37. Ver > Objetos > Personalizaciones de SSL VPN. Permite ver los objetos de personalización de VPN SSL. Estos objetos definen cómo cambiar el aspecto de las páginas SSL VPN que se muestran a los usuarios, como las páginas Inicio/Inicio y Inicio/Cerrar sesión.

  38. Ver > Objetos > Gateways SSL VPN. Permite ver los objetos del gateway SSL VPN. Estos objetos definen los parámetros que permiten que el gateway se utilice como proxy para las conexiones a los recursos protegidos en su VPN SSL.

  39. Ver > Objetos > Objetos de estilo. Permite ver objetos de estilo. Estos objetos permiten configurar elementos de estilo, como las características de fuente y los colores, para personalizar el aspecto de la página SSL VPN que aparece a los usuarios de SSL VPN cuando se conectan al dispositivo de seguridad.

  40. Ver > Objetos > Objetos de texto. Permite ver objetos de texto de forma libre. Estos objetos comprenden un par de nombre y valor, donde el valor puede ser una sola cadena, una lista de cadenas o una tabla de cadenas.

  41. Ver > Objetos > Rangos de tiempo. Permite ver objetos de rango de tiempo. Estos objetos se utilizan al crear ACL basadas en tiempo y reglas de inspección. También se utilizan al definir grupos de usuarios ASA para restringir el acceso VPN a horas específicas durante la semana.

  42. Ver > Objetos > Flujos de tráfico. Permite ver los objetos de flujo de tráfico. Estos objetos definen flujos de tráfico específicos para el uso de los dispositivos PIX 7.x/ASA 7.x.

  43. Ver > Objetos > Listas de URL. Permite ver los objetos de lista de direcciones URL. Estos objetos definen las direcciones URL que se muestran en la página del portal después de un inicio de sesión correcto. Esto permite a los usuarios acceder a los recursos disponibles en los sitios web SSL VPN cuando funcionan en el modo de acceso sin cliente.

  44. Ver > Objetos > Grupos de usuarios. Permite ver los objetos de grupo de usuarios. Estos objetos definen grupos de clientes remotos que se utilizan en topologías Easy VPN, VPN de acceso remoto y SSL VPN.

  45. Ver > Objetos > Listas de servidores WINS. Permite ver los objetos de lista del servidor WINS. Estos objetos representan servidores WINS, que SSL VPN utiliza para tener acceso o compartir archivos en sistemas remotos.

  46. Ver > Objetos > Reglas internas - DN. Permite ver las reglas de DN utilizadas por las directivas de DN. Se trata de un objeto interno utilizado por el Administrador de seguridad que no aparece en el Administrador de objetos de directiva.

  47. Ver > Objetos > Interno - Actualizaciones de cliente. Se trata de un objeto interno requerido por los objetos de grupo de usuarios que no aparece en el Administrador de objetos de directiva.

  48. Ver > Objetos > Interno - ACE estándar. Se trata de un objeto interno para las entradas de control de acceso estándar, que utilizan los objetos ACL.

  49. Ver > Objetos > Interno - ACE extendidas. Se trata de un objeto interno para las entradas de control de acceso extendido, que utilizan los objetos ACL.

Permisos de vista adicionales

El Administrador de seguridad incluye los siguientes permisos de vista adicionales:

  1. Ver > Administrador. Permite ver la configuración administrativa de Security Manager.

  2. Ver > CLI. Permite ver los comandos de CLI configurados en un dispositivo y obtener una vista previa de los comandos que se van a implementar.

  3. Ver > Archivo de configuración. Permite ver la lista de configuraciones que contiene el archivo de configuración. No puede ver la configuración del dispositivo ni ningún comando de CLI.

  4. Ver > Dispositivos. Permite ver los dispositivos en la vista Dispositivo y toda la información relacionada, incluida la configuración del dispositivo, las propiedades, las asignaciones, etc.

  5. Ver > Administradores de dispositivos. Permite iniciar versiones de sólo lectura de los administradores de dispositivos para dispositivos individuales, como el router de Cisco y el administrador de dispositivos de seguridad (SDM) para routers Cisco IOS.

  6. Ver > Topología. Permite ver mapas configurados en la vista de mapa.

Modificar permisos

Los permisos de modificación (lectura y escritura) del Administrador de seguridad se dividen en las categorías que se muestran a continuación:

Modificar permisos de directivas

Nota: Cuando especifique permisos de modificación de directivas, asegúrese de que también ha seleccionado los permisos de asignación y visualización de directivas correspondientes.

El Administrador de seguridad incluye los siguientes permisos de modificación para directivas:

  1. Modificar > Directivas > Firewall. Permite modificar las políticas de servicio de firewall (ubicadas en el selector de políticas en Firewall) en dispositivos PIX/ASA/FWSM, routers IOS y dispositivos Catalyst 6500/7600. Entre los ejemplos de políticas de servicio de firewall se incluyen las reglas de acceso, las reglas AAA y las reglas de inspección.

  2. Modificar > Políticas > Sistema de prevención de intrusiones. Permite modificar las directivas IPS (situadas en el selector de directivas en IPS), incluidas las directivas para IPS que se ejecutan en routers IOS. Este permiso también le permite ajustar las firmas en el Asistente de actualización de firmas (situado en Herramientas > Aplicar actualización de IPS).

  3. Modificar > Políticas > Imagen. Permite asignar un paquete de actualización de firmas a los dispositivos en el asistente Aplicar actualizaciones IPS (que se encuentra en Herramientas > Aplicar actualización IPS). Este permiso también le permite asignar la configuración de actualización automática a dispositivos específicos (que se encuentra en Herramientas > Administración del Administrador de seguridad > Actualizaciones de IPS).

  4. Modificar > Políticas > NAT. Permite modificar las políticas de traducción de direcciones de red en dispositivos PIX/ASA/FWSM y routers IOS. Algunos ejemplos de políticas NAT son las reglas estáticas y las reglas dinámicas.

  5. Modificar > Políticas > VPN de sitio a sitio. Permite modificar las políticas VPN de sitio a sitio en dispositivos PIX/ASA/FWSM, routers IOS y dispositivos Catalyst 6500/7600. Algunos ejemplos de políticas VPN de sitio a sitio son las propuestas IKE, las propuestas IPsec y las claves previamente compartidas.

  6. Modificar > Directivas > VPN de acceso remoto. Permite modificar las políticas VPN de acceso remoto en dispositivos PIX/ASA/FWSM, routers IOS y dispositivos Catalyst 6500/7600. Algunos ejemplos de directivas VPN de acceso remoto son las propuestas IKE, las propuestas IPsec y las directivas PKI.

  7. Modificar > Políticas > SSL VPN. Permite modificar las políticas SSL VPN en dispositivos PIX/ASA/FWSM y routers IOS, como el asistente SSL VPN.

  8. Modificar > Políticas > Interfaces. Permite modificar las políticas de interfaz (ubicadas en el selector de políticas en Interfaces) en dispositivos PIX/ASA/FWSM, routers IOS, sensores IPS y dispositivos Catalyst 6500/7600:

    1. En los dispositivos PIX/ASA/FWSM, este permiso cubre los puertos de hardware y la configuración de la interfaz.

    2. En los routers IOS, este permiso cubre la configuración básica y avanzada de la interfaz, así como otras políticas relacionadas con la interfaz, como DSL, PVC, PPP y políticas de marcado.

    3. En los sensores IPS, este permiso cubre las interfaces físicas y los mapas de resumen.

    4. En los dispositivos Catalyst 6500/7600, este permiso cubre las interfaces y la configuración de VLAN.

  9. Modify > Policies > Bridging. Permite modificar las políticas de la tabla ARP (ubicadas en el selector de políticas en Plataforma > Bridging) en los dispositivos PIX/ASA/FWSM.

  10. Modificar > Políticas > Administración de dispositivos. Permite modificar las políticas de administración de dispositivos (ubicadas en el selector de políticas en Plataforma > Administración de dispositivos) en dispositivos PIX/ASA/FWSM, routers IOS y dispositivos Catalyst 6500/7600:

    1. En los dispositivos PIX/ASA/FWSM, algunos ejemplos incluyen políticas de acceso de dispositivos, políticas de acceso de servidores y políticas de conmutación por fallas.

    2. En los routers IOS, los ejemplos incluyen las políticas de acceso de dispositivos (incluido el acceso a la línea), las políticas de acceso de servidores, AAA y el aprovisionamiento seguro de dispositivos.

    3. En los sensores IPS, este permiso cubre las políticas de acceso de dispositivos y las políticas de acceso de servidores.

    4. En los dispositivos Catalyst 6500/7600, este permiso cubre la configuración IDSM y la lista de acceso VLAN.

  11. Modificar > Políticas > Identidad. Permite modificar las políticas de identidad (ubicadas en el selector de políticas en Plataforma > Identidad) en los routers Cisco IOS, incluidas las políticas 802.1x y Network Admission Control (NAC).

  12. Modificar > Políticas > Registro. Permite modificar las políticas de registro (ubicadas en el selector de políticas en Plataforma > Registro) en los dispositivos PIX/ASA/FWSM, routers IOS y sensores IPS. Algunos ejemplos de directivas de registro son la configuración de registro, la configuración del servidor y las directivas del servidor syslog.

  13. Modify > Policies > Multicast. Permite modificar las políticas de multidifusión (ubicadas en el selector de políticas en Plataforma > Multicast) en los dispositivos PIX/ASA/FWSM. Algunos ejemplos de políticas de multidifusión son el enrutamiento de multidifusión y las políticas IGMP.

  14. Modificar > Políticas > QoS. Permite modificar las políticas de QoS (ubicadas en el selector de políticas en Plataforma > Calidad de servicio) en los routers Cisco IOS.

  15. Modificar > Políticas > Enrutamiento. Permite modificar las políticas de ruteo (ubicadas en el selector de políticas en Plataforma > Ruteo) en los dispositivos PIX/ASA/FWSM y routers IOS. Entre los ejemplos de directivas de enrutamiento se incluyen OSPF, RIP y directivas de enrutamiento estático.

  16. Modificar > Políticas > Seguridad. Permite modificar las políticas de seguridad (ubicadas en el selector de políticas en Plataforma > Seguridad) en los dispositivos PIX/ASA/FWSM y sensores IPS:

    1. En los dispositivos PIX/ASA/FWSM, las políticas de seguridad incluyen la configuración de anti-simulación, fragmento y tiempo de espera.

    2. En los sensores IPS, las políticas de seguridad incluyen parámetros de bloqueo.

  17. Modificar > Políticas > Reglas de política de servicio. Permite modificar las políticas de regla de política de servicio (ubicadas en el selector de políticas en Plataforma > Reglas de política de servicio) en los dispositivos PIX 7.x/ASA. Algunos ejemplos son las colas de prioridad e IPS, QoS y reglas de conexión.

  18. Modificar > Directivas > Preferencias de usuario. Permite modificar la política de implementación (ubicada en el selector de políticas en Plataforma > Preferencias de usuario) en los dispositivos PIX/ASA/FWSM. Esta política contiene una opción para borrar todas las traducciones NAT en la implementación.

  19. Modificar > Políticas > Dispositivo virtual. Permite modificar las directivas de sensores virtuales en dispositivos IPS. Utilice esta política para crear sensores virtuales.

  20. Modificar > Políticas > FlexConfig. Permite modificar FlexConfigs, que son instrucciones y comandos CLI adicionales que se pueden implementar en dispositivos PIX/ASA/FWSM, routers IOS y dispositivos Catalyst 6500/7600.

Modificar permisos de objetos

El Administrador de seguridad incluye los siguientes permisos de vista para objetos:

  1. Modificar > Objetos > Grupos de servidores AAA. Permite ver objetos de grupo de servidores AAA. Estos objetos se utilizan en políticas que requieren servicios AAA (autenticación, autorización y contabilidad).

  2. Modificar > Objetos > Servidores AAA. Permite ver objetos de servidor AAA. Estos objetos representan servidores AAA individuales definidos como parte de un grupo de servidores AAA.

  3. Modificar > Objetos > Listas de control de acceso - Estándar/Ampliado. Permite ver los objetos ACL estándar y extendidos. Los objetos ACL extendidos se utilizan para una variedad de políticas, como NAT y NAC, y para establecer el acceso VPN. Los objetos ACL estándar se utilizan para políticas como OSPF y SNMP, así como para establecer el acceso VPN.

  4. Modificar > Objetos > Listas de control de acceso: Web. Permite ver los objetos ACL web. Los objetos de ACL web se utilizan para realizar el filtrado de contenido en las políticas SSL VPN.

  5. Modify > Objects > ASA User Groups. Permite ver los objetos de grupo de usuarios ASA. Estos objetos se configuran en dispositivos de seguridad ASA en configuraciones Easy VPN, VPN de acceso remoto y VPN SSL.

  6. Modificar > Objetos > Categorías. Permite ver objetos de categoría. Estos objetos ayudan a identificar fácilmente reglas y objetos en tablas de reglas mediante el uso de colores.

  7. Modificar > Objetos > Credenciales. Permite ver los objetos de credenciales. Estos objetos se utilizan en la configuración Easy VPN durante la autenticación ampliada IKE (Xauth).

  8. Modificar > Objetos > FlexConfigs. Permite ver los objetos FlexConfig. Estos objetos, que contienen comandos de configuración con instrucciones adicionales del lenguaje de secuencias de comandos, se pueden utilizar para configurar comandos que no son compatibles con la interfaz de usuario de Security Manager.

  9. Modificar > Objetos > Propuestas IKE. Permite ver los objetos de propuesta IKE. Estos objetos contienen los parámetros necesarios para las propuestas IKE en las directivas VPN de acceso remoto.

  10. Modificar > Objetos > Inspeccionar - Mapas de clase - DNS. Permite ver objetos de mapa de clase DNS. Estos objetos coinciden con el tráfico DNS con criterios específicos para que se puedan realizar acciones en ese tráfico.

  11. Modificar > Objetos > Inspeccionar - Mapas de clase - FTP. Permite ver objetos de mapa de clase FTP. Estos objetos coinciden con el tráfico FTP con criterios específicos para que se puedan realizar acciones en ese tráfico.

  12. Modificar > Objetos > Inspeccionar - Mapas de clase - HTTP. Permite ver objetos de mapa de clase HTTP. Estos objetos coinciden con el tráfico HTTP con criterios específicos para que se puedan realizar acciones en dicho tráfico.

  13. Modificar > Objetos > Inspeccionar - Mapas de clase - MI. Permite ver objetos de mapa de clase de mensajería instantánea. Estos objetos coinciden con el tráfico de MI con criterios específicos para que se puedan realizar acciones en ese tráfico.

  14. Modificar > Objetos > Inspeccionar - Mapas de clase - SIP. Permite ver objetos de mapa de clase SIP. Estos objetos coinciden con el tráfico SIP con criterios específicos para que se puedan realizar acciones en ese tráfico.

  15. Modificar > Objetos > Inspeccionar - Mapas de política - DNS. Permite ver los objetos de mapa de política DNS. Estos objetos se utilizan para crear mapas de inspección para el tráfico DNS.

  16. Modificar > Objetos > Inspeccionar - Mapas de política - FTP. Permite ver los objetos de mapa de política FTP. Estos objetos se utilizan para crear mapas de inspección para el tráfico FTP.

  17. Modify > Objects > Inspect - Policy Maps - HTTP (ASA7.1.x/PIX7.1.x/IOS). Permite ver los objetos de mapa de política HTTP creados para dispositivos ASA/PIX 7.x y routers IOS. Estos objetos se utilizan para crear mapas de inspección para el tráfico HTTP.

  18. Modify > Objects > Inspect - Policy Maps - HTTP (ASA7.2/PIX7.2). Permite ver los objetos de mapa de política HTTP creados para dispositivos ASA 7.2/PIX 7.2. Estos objetos se utilizan para crear mapas de inspección para el tráfico HTTP.

  19. Modify > Objects > Inspect - Policy Maps - IM (ASA7.2/PIX7.2). Permite ver los objetos de mapa de política de IM creados para dispositivos ASA 7.2/PIX 7.2. Estos objetos se utilizan para crear mapas de inspección para el tráfico de MI.

  20. Modificar > Objetos > Inspeccionar - Mapas de política - IM (IOS). Permite ver los objetos de mapa de política de IM creados para los dispositivos IOS. Estos objetos se utilizan para crear mapas de inspección para el tráfico de MI.

  21. Modificar > Objetos > Inspeccionar - Mapas de política - SIP. Permite ver los objetos de mapa de política SIP. Estos objetos se utilizan para crear mapas de inspección para el tráfico SIP.

  22. Modificar > Objetos > Inspeccionar: expresiones regulares. Permite ver objetos de expresiones regulares. Estos objetos representan expresiones regulares individuales que se definen como parte de un grupo de expresiones regulares.

  23. Modificar > Objetos > Inspeccionar - Grupos de expresiones regulares. Permite ver objetos de grupo de expresiones regulares. Ciertos mapas de clase e Inspeccionar mapas utilizan estos objetos para hacer coincidir el texto dentro de un paquete.

  24. Modificar > Objetos > Inspeccionar - Mapas TCP. Permite ver objetos de mapa TCP. Estos objetos personalizan la inspección en el flujo TCP en ambas direcciones.

  25. Modificar > Objetos > Roles de interfaz. Permite ver los objetos de rol de interfaz. Estos objetos definen patrones de nomenclatura que pueden representar varias interfaces en diferentes tipos de dispositivos. Las funciones de interfaz permiten aplicar políticas a interfaces específicas en varios dispositivos sin tener que definir manualmente el nombre de cada interfaz.

  26. Modificar > Objetos > Conjuntos de transformación IPsec. Permite ver los objetos del conjunto de transformación IPsec. Estos objetos comprenden una combinación de protocolos de seguridad, algoritmos y otras configuraciones que especifican exactamente cómo se cifrarán y autenticarán los datos en el túnel IPsec.

  27. Modificar > Objetos > Mapas de atributo LDAP. Permite ver objetos de mapa de atributos LDAP. Estos objetos se utilizan para asignar nombres de atributo personalizados (definidos por el usuario) a nombres de atributo LDAP de Cisco.

  28. Modificar > Objetos > Redes/Hosts. Permite ver los objetos host/de red. Estos objetos son colecciones lógicas de direcciones IP que representan redes, hosts o ambos. Los objetos de red/host permiten definir políticas sin especificar cada red o host individualmente.

  29. Modificar > Objetos > Inscripciones PKI. Permite ver los objetos de inscripción PKI. Estos objetos definen los servidores de la entidad emisora de certificados (CA) que funcionan dentro de una infraestructura de clave pública.

  30. Modificar > Objetos > Listas de reenvío de puertos. Permite ver los objetos de la lista de reenvío de puertos. Estos objetos definen las asignaciones de números de puerto en un cliente remoto a la dirección IP de la aplicación y al puerto detrás de un gateway VPN SSL.

  31. Modificar > Objetos > Configuraciones de Secure Desktop. Permite ver los objetos de configuración de escritorio seguro. Estos objetos son componentes con nombre reutilizables a los que se puede hacer referencia mediante las políticas SSL VPN para proporcionar un medio fiable de eliminar todos los rastros de datos confidenciales que se comparten durante una sesión SSL VPN.

  32. Modificar > Objetos > Servicios - Listas de puertos. Permite ver objetos de lista de puertos. Estos objetos, que contienen uno o más intervalos de números de puerto, se utilizan para simplificar el proceso de creación de objetos de servicio.

  33. Modificar > Objetos > Servicios/Grupos de servicios. Permite ver el servicio y los objetos del grupo de servicios. Estos objetos son asignaciones definidas de definiciones de protocolo y puerto que describen los servicios de red utilizados por las políticas, como Kerberos, SSH y POP3.

  34. Modificar > Objetos > Servidores de inicio de sesión único. Permite ver objetos de servidor de inicio de sesión único. El inicio de sesión único (SSO) permite a los usuarios de VPN SSL introducir un nombre de usuario y una contraseña una vez y acceder a varios servicios protegidos y servidores web.

  35. Modificar > Objetos > Monitores SLA. Permite ver los objetos de supervisión de SLA. Estos objetos son utilizados por los dispositivos de seguridad PIX/ASA que ejecutan la versión 7.2 o posterior para realizar el seguimiento de la ruta. Esta función proporciona un método para rastrear la disponibilidad de una ruta primaria e instalar una ruta de respaldo si la ruta primaria falla.

  36. Modificar > Objetos > Personalizaciones de SSL VPN. Permite ver los objetos de personalización de VPN SSL. Estos objetos definen cómo cambiar el aspecto de las páginas SSL VPN que se muestran a los usuarios, como las páginas Inicio/Inicio y Inicio/Cerrar sesión.

  37. Modify > Objects > SSL VPN Gateways. Permite ver los objetos del gateway SSL VPN. Estos objetos definen los parámetros que permiten que el gateway se utilice como proxy para las conexiones a los recursos protegidos en su VPN SSL.

  38. Modificar > Objetos > Objetos de estilo. Permite ver objetos de estilo. Estos objetos permiten configurar elementos de estilo, como las características de fuente y los colores, para personalizar el aspecto de la página SSL VPN que aparece a los usuarios de SSL VPN cuando se conectan al dispositivo de seguridad.

  39. Modificar > Objetos > Objetos de texto. Permite ver objetos de texto de forma libre. Estos objetos comprenden un par de nombre y valor, donde el valor puede ser una sola cadena, una lista de cadenas o una tabla de cadenas.

  40. Modificar > Objetos > Rangos de tiempo. Permite ver objetos de rango de tiempo. Estos objetos se utilizan al crear ACL basadas en tiempo y reglas de inspección. También se utilizan al definir grupos de usuarios ASA para restringir el acceso VPN a horas específicas durante la semana.

  41. Modificar > Objetos > Flujos de tráfico. Permite ver los objetos de flujo de tráfico. Estos objetos definen flujos de tráfico específicos para el uso de los dispositivos PIX 7.x/ASA 7.x.

  42. Modificar > Objetos > Listas de URL. Permite ver los objetos de lista de direcciones URL. Estos objetos definen las direcciones URL que se muestran en la página del portal después de un inicio de sesión correcto. Esto permite a los usuarios acceder a los recursos disponibles en los sitios web SSL VPN cuando funcionan en el modo de acceso sin cliente.

  43. Modificar > Objetos > Grupos de usuarios. Permite ver los objetos de grupo de usuarios. Estos objetos definen grupos de clientes remotos que se utilizan en topologías Easy VPN, VPN de acceso remoto y SSL VPN

  44. Modificar > Objetos > Listas de servidores WINS. Permite ver los objetos de lista del servidor WINS. Estos objetos representan servidores WINS, que SSL VPN utiliza para tener acceso o compartir archivos en sistemas remotos.

  45. Modificar > Objetos > Reglas internas - DN. Permite ver las reglas de DN utilizadas por las directivas de DN. Se trata de un objeto interno utilizado por el Administrador de seguridad que no aparece en el Administrador de objetos de directiva.

  46. Modify > Objects > Internal - Client Updates. Se trata de un objeto interno requerido por los objetos de grupo de usuarios que no aparece en el Administrador de objetos de directiva.

  47. Modificar > Objetos > Interno - Estándar ACE. Se trata de un objeto interno para las entradas de control de acceso estándar, que utilizan los objetos ACL.

  48. Modificar > Objetos > Interno - ACE ampliada. Se trata de un objeto interno para las entradas de control de acceso extendido, que utilizan los objetos ACL.

Permisos adicionales de modificación

El Administrador de seguridad incluye los permisos de modificación adicionales que se muestran a continuación:

  1. Modificar > Administrador. Permite modificar la configuración administrativa de Security Manager.

  2. Modificar > Archivo de configuración. Permite modificar la configuración del dispositivo en el archivo de configuración. Además, permite agregar configuraciones al archivo y personalizar la herramienta Archivo de configuración.

  3. Modificar > Dispositivos. Permite agregar y eliminar dispositivos, así como modificar las propiedades y atributos de los dispositivos. Para detectar las directivas en el dispositivo que se va a agregar, también debe habilitar el permiso de importación. Además, si habilita el permiso Modify > Devices, asegúrese de que también habilita el permiso Assign > Policies > Interfaces.

  4. Modificar > Jerarquía. Permite modificar grupos de dispositivos.

  5. Modify > Topology. Permite modificar mapas en la vista de mapa.

Asignar permisos

Security Manager incluye los permisos de asignación de directivas como se muestra a continuación:

  1. Asignar > Políticas > Firewall. Permite asignar políticas de servicio de firewall (ubicadas en el selector de políticas en Firewall) a dispositivos PIX/ASA/FWSM, routers IOS y dispositivos Catalyst 6500/7600. Entre los ejemplos de políticas de servicio de firewall se incluyen las reglas de acceso, las reglas AAA y las reglas de inspección.

  2. Asignar > Políticas > Sistema de prevención de intrusiones. Permite asignar directivas IPS (situadas en el selector de directivas en IPS), incluidas las directivas para IPS que se ejecutan en routers IOS.

  3. Asignar > Políticas > Imagen. Este permiso no lo utiliza actualmente el Administrador de seguridad.

  4. Assign > Policies > NAT. Permite asignar políticas de traducción de direcciones de red a dispositivos PIX/ASA/FWSM y routers IOS. Algunos ejemplos de políticas NAT son las reglas estáticas y las reglas dinámicas.

  5. Asignar > Políticas > VPN de sitio a sitio. Permite asignar políticas VPN de sitio a sitio a dispositivos PIX/ASA/FWSM, routers IOS y dispositivos Catalyst 6500/7600. Algunos ejemplos de políticas VPN de sitio a sitio son las propuestas IKE, las propuestas IPsec y las claves previamente compartidas.

  6. Asignar > Directivas > VPN de acceso remoto. Permite asignar políticas VPN de acceso remoto a dispositivos PIX/ASA/FWSM, routers IOS y dispositivos Catalyst 6500/7600. Algunos ejemplos de directivas VPN de acceso remoto son las propuestas IKE, las propuestas IPsec y las directivas PKI.

  7. Asignar > Políticas > SSL VPN. Permite asignar políticas SSL VPN a dispositivos PIX/ASA/FWSM y routers IOS, como el asistente SSL VPN.

  8. Assign > Policies > Interfaces. Permite asignar políticas de interfaz (ubicadas en el selector de políticas en Interfaces) a dispositivos PIX/ASA/FWSM, routers IOS y dispositivos Catalyst 6500/7600:

    1. En los dispositivos PIX/ASA/FWSM, este permiso cubre los puertos de hardware y la configuración de la interfaz.

    2. En los routers IOS, este permiso cubre la configuración básica y avanzada de la interfaz, así como otras políticas relacionadas con la interfaz, como DSL, PVC, PPP y políticas de marcado.

    3. En los dispositivos Catalyst 6500/7600, este permiso cubre las interfaces y la configuración de VLAN.

  9. Assign > Policies > Bridging. Permite asignar políticas de tabla ARP (ubicadas en el selector de políticas en Plataforma > Bridging) a los dispositivos PIX/ASA/FWSM.

  10. Asignar > Políticas > Administración de dispositivos. Permite asignar políticas de administración de dispositivos (ubicadas en el selector de políticas en Plataforma > Administración de dispositivos) a dispositivos PIX/ASA/FWSM, routers IOS y dispositivos Catalyst 6500/7600:

    1. En los dispositivos PIX/ASA/FWSM, algunos ejemplos incluyen políticas de acceso de dispositivos, políticas de acceso de servidores y políticas de conmutación por fallas.

    2. En los routers IOS, los ejemplos incluyen las políticas de acceso de dispositivos (incluido el acceso a la línea), las políticas de acceso de servidores, AAA y el aprovisionamiento seguro de dispositivos.

    3. En los sensores IPS, este permiso cubre las políticas de acceso de dispositivos y las políticas de acceso de servidores.

    4. En los dispositivos Catalyst 6500/7600, este permiso cubre la configuración IDSM y las listas de acceso VLAN.

  11. Asignar > Políticas > Identidad. Permite asignar políticas de identidad (ubicadas en el selector de políticas en Plataforma > Identidad) a los routers Cisco IOS, incluidas las políticas 802.1x y Network Admission Control (NAC).

  12. Asignar > Políticas > Registro. Permite asignar políticas de registro (ubicadas en el selector de políticas en Plataforma > Registro) a dispositivos PIX/ASA/FWSM y routers IOS. Algunos ejemplos de directivas de registro son la configuración de registro, la configuración del servidor y las directivas del servidor syslog.

  13. Assign > Policies > Multicast. Permite asignar políticas de multidifusión (ubicadas en el selector de políticas en Plataforma > Multicast) a dispositivos PIX/ASA/FWSM. Algunos ejemplos de políticas de multidifusión son el enrutamiento de multidifusión y las políticas IGMP.

  14. Asignar > Políticas > QoS. Permite asignar políticas de QoS (ubicadas en el selector de políticas en Plataforma > Calidad de servicio) a los routers Cisco IOS.

  15. Asignar > Políticas > Enrutamiento. Permite asignar políticas de routing (ubicadas en el selector de políticas en Plataforma > Routing) a dispositivos PIX/ASA/FWSM y routers IOS. Entre los ejemplos de directivas de enrutamiento se incluyen OSPF, RIP y directivas de enrutamiento estático.

  16. Asignar > Políticas > Seguridad. Permite asignar políticas de seguridad (ubicadas en el selector de políticas en Plataforma > Seguridad) a los dispositivos PIX/ASA/FWSM. Las directivas de seguridad incluyen la configuración de tiempo de espera, fragmentos y suplantación de identidad.

  17. Asignar > Políticas > Reglas de política de servicio. Le permite asignar políticas de reglas de políticas de servicio (ubicadas en el selector de políticas en Plataforma > Reglas de políticas de servicio) a los dispositivos PIX 7.x/ASA. Algunos ejemplos son las colas de prioridad e IPS, QoS y reglas de conexión.

  18. Asignar > Políticas > Preferencias de usuario. Permite asignar la política de implementación (ubicada en el selector de políticas en Plataforma > Preferencias de usuario) a los dispositivos PIX/ASA/FWSM. Esta política contiene una opción para borrar todas las traducciones NAT en la implementación.

  19. Asignar > Políticas > Dispositivo virtual. Permite asignar políticas de sensor virtual a dispositivos IPS. Utilice esta política para crear sensores virtuales.

  20. Asignar > Políticas > FlexConfig. Permite asignar FlexConfigs, que son instrucciones y comandos CLI adicionales que se pueden implementar en dispositivos PIX/ASA/FWSM, routers IOS y dispositivos Catalyst 6500/7600.

Nota: Cuando especifique asignar permisos, asegúrese de que también ha seleccionado los permisos de vista correspondientes.

Aprobar permisos

El Administrador de seguridad proporciona los permisos de aprobación que se muestran a continuación:

  1. Aprobar > CLI. Permite aprobar los cambios del comando CLI contenidos en un trabajo de implementación.

  2. Aprobar > Política. Permite aprobar los cambios de configuración contenidos en las directivas que se configuraron en una actividad de flujo de trabajo.

Funciones de CiscoWorks

Cuando se crean usuarios en CiscoWorks Common Services, se les asignan una o más funciones. Los permisos asociados a cada función determinan las operaciones que cada usuario está autorizado a realizar en el Administrador de seguridad.

Los siguientes temas describen las funciones de CiscoWorks:

Funciones predeterminadas de CiscoWorks Common Services

CiscoWorks Common Services contiene las siguientes funciones predeterminadas:

  1. Soporte técnico: los usuarios del soporte técnico pueden ver (pero no modificar) dispositivos, políticas, objetos y mapas de topología.

  2. Operador de red: además de los permisos de vista, los operadores de red pueden ver los comandos CLI y la configuración administrativa del Administrador de seguridad. Los operadores de red también pueden modificar el archivo de configuración y enviar comandos (como ping) a los dispositivos.

  3. Aprobador: además de ver permisos, los aprobadores pueden aprobar o rechazar trabajos de implementación. No pueden realizar la implementación.

  4. Administrador de red: los administradores de red disponen de permisos completos de visualización y modificación, excepto para modificar la configuración administrativa. Pueden detectar dispositivos y las políticas configuradas en ellos, asignar políticas a los dispositivos y ejecutar comandos para los dispositivos. Los administradores de red no pueden aprobar actividades ni trabajos de implementación; sin embargo, pueden implementar tareas que fueron aprobadas por otros.

  5. Administrador del sistema: los administradores del sistema tienen acceso completo a todos los permisos del Administrador de seguridad, incluidas la modificación, la asignación de directivas, la aprobación de actividades y trabajos, la detección, la implementación y la emisión de comandos a los dispositivos.

Nota: Es posible que se muestren funciones adicionales, como exportar datos, en Common Services si hay aplicaciones adicionales instaladas en el servidor. La función de exportación de datos es para desarrolladores de terceros y no la utiliza el Administrador de seguridad.

Consejo:  Aunque no puede cambiar la definición de las funciones de CiscoWorks, puede definir qué funciones se asignan a cada usuario. Para obtener más información, consulte Asignación de funciones a usuarios en CiscoWorks Common Services.

Asignación de funciones a usuarios en CiscoWorks Common Services

CiscoWorks Common Services le permite definir qué funciones se asignan a cada usuario. Al cambiar la definición de función de un usuario, cambia los tipos de operaciones que este usuario está autorizado a realizar en el Administrador de seguridad. Por ejemplo, si asigna la función de soporte técnico, el usuario estará limitado a ver las operaciones y no podrá modificar ningún dato. Sin embargo, si asigna la función de operador de red, el usuario también podrá modificar el archivo de configuración. Puede asignar varias funciones a cada usuario.

Nota: Debe reiniciar el Administrador de seguridad después de realizar cambios en los permisos de usuario.

Procedimiento:

  1. En Common Services, seleccione Server > Security y, a continuación, seleccione Single-Server Trust Management > Local User Setup en la tabla de contenido.

    Sugerencia: para acceder a la página Configuración de usuario local desde el Administrador de seguridad, seleccione Herramientas > Administración del Administrador de seguridad > Seguridad del servidor y, a continuación, haga clic en Configuración de usuario local.

  2. Active la casilla de verificación situada junto a un usuario existente y, a continuación, haga clic en Editar.

  3. En la página Información de usuario, active las casillas de verificación para asignar funciones a este usuario.

    Para obtener más información sobre cada función, consulte Funciones predeterminadas de CiscoWorks Common Services.

  4. Haga clic en Aceptar para guardar los cambios.

  5. Reinicie Security Manager.

Comprensión de las funciones de Cisco Secure ACS

Cisco Secure ACS proporciona mayor flexibilidad para gestionar los permisos de Security Manager que CiscoWorks, ya que admite funciones específicas de la aplicación que puede configurar. Cada función se compone de un conjunto de permisos que determinan el nivel de autorización para las tareas del Administrador de seguridad. En Cisco Secure ACS, se asigna una función a cada grupo de usuarios (y, opcionalmente, también a usuarios individuales), lo que permite a cada usuario de ese grupo realizar las operaciones autorizadas por los permisos definidos para esa función.

Además, puede asignar estas funciones a grupos de dispositivos Cisco Secure ACS, lo que permite diferenciar los permisos en diferentes conjuntos de dispositivos.

Nota: Los grupos de dispositivos Cisco Secure ACS son independientes de los grupos de dispositivos de Security Manager.

Los siguientes temas describen las funciones de Cisco Secure ACS:

Funciones predeterminadas de Cisco Secure ACS

Cisco Secure ACS incluye las mismas funciones que CiscoWorks (consulte Descripción de las funciones de CiscoWorks), además de estas funciones adicionales:

  1. Aprobador de seguridad: los aprobadores de seguridad pueden ver (pero no modificar) dispositivos, políticas, objetos, mapas, comandos CLI y configuración administrativa. Además, los aprobadores de seguridad pueden aprobar o rechazar los cambios de configuración contenidos en una actividad. No pueden aprobar ni rechazar el trabajo de implementación, ni pueden realizar la implementación.

  2. Administrador de seguridad: además de disponer de permisos de visualización, los administradores de seguridad pueden modificar dispositivos, grupos de dispositivos, políticas, objetos y mapas de topología. También pueden asignar políticas a dispositivos y topologías VPN, y realizar la detección para importar nuevos dispositivos al sistema.

  3. Administrador de red: además de ver los permisos, los administradores de red pueden modificar el archivo de configuración, realizar la implementación y ejecutar comandos en los dispositivos.

Nota: Los permisos incluidos en la función de administrador de red de Cisco Secure ACS son diferentes de los incluidos en la función de administrador de red de CiscoWorks. Para obtener más información, consulte Descripción de las funciones de CiscoWorks.

A diferencia de CiscoWorks, Cisco Secure ACS permite personalizar los permisos asociados a cada función de administrador de seguridad. Para obtener más información sobre cómo modificar los roles predeterminados, vea Personalización de los Roles de Cisco Secure ACS.

Nota: Cisco Secure ACS 3.3 o posterior debe estar instalado para la autorización de Security Manager.

Personalización de las funciones de Cisco Secure ACS

Cisco Secure ACS permite modificar los permisos asociados a cada función de administrador de seguridad. También puede personalizar Cisco Secure ACS mediante la creación de funciones de usuario especializadas con permisos dirigidos a tareas específicas de Security Manager.

Nota: Debe reiniciar el Administrador de seguridad después de realizar cambios en los permisos de usuario.

Procedimiento:

  1. En Cisco Secure ACS, haga clic en Shared Profile Components en la barra de navegación.

  2. Haga clic en Cisco Security Manager en la página Shared Components (Componentes compartidos). Se muestran las funciones configuradas para el Administrador de seguridad.

  3. Siga uno de los siguientes pasos:

    • Para crear un rol, haga clic en Agregar. Vaya al paso 4.

    • Para modificar un rol existente, haga clic en el rol. Vaya al paso 5.

  4. Introduzca un nombre para el rol y, opcionalmente, una descripción.

  5. Active y desactive las casillas de verificación del árbol de permisos para definir los permisos de esta función

    Si activa la casilla de verificación de una rama del árbol, se seleccionarán todos los permisos de dicha rama. Por ejemplo, al seleccionar Asignar se seleccionan todos los permisos de asignación.

    Para obtener una lista completa de los permisos del Administrador de seguridad, vea Permisos del Administrador de seguridad.

    Nota: Al seleccionar modificar, aprobar, asignar, importar, controlar o desplegar permisos, también debe seleccionar los permisos de vista correspondientes; de lo contrario, el Administrador de seguridad no funcionará correctamente.

  6. Haga clic en Enviar para guardar los cambios.

  7. Reinicie Security Manager.

Asociaciones predeterminadas entre permisos y funciones en el Administrador de seguridad

Esta tabla muestra cómo los permisos de Security Manager están asociados a las funciones de CiscoWorks Common Services y a las funciones predeterminadas de Cisco Secure ACS.

Permisos Funciones
Administrador del sistema Administrador de seguridad (ACS) Aprobador de seguridad (ACS) Administrador de red (CW) Administrador de red (ACS) Aprobador Operador de red Soporte técnico
Ver permisos
Ver dispositivo Yes Yes Yes Yes Yes Yes Yes Yes
Ver política Yes Yes Yes Yes Yes Yes Yes Yes
Ver objetos Yes Yes Yes Yes Yes Yes Yes Yes
Ver topología Yes Yes Yes Yes Yes Yes Yes Yes
Ver CLI Yes Yes Yes Yes Yes Yes Yes No
Ver administrador Yes Yes Yes Yes Yes Yes Yes No
Ver archivo de configuración Yes Yes Yes Yes Yes Yes Yes Yes
Ver administradores de dispositivos Yes Yes Yes Yes Yes Yes Yes No
Modificar permisos
Modificar dispositivo Yes Yes No Yes No No No No
Modificar jerarquía Yes Yes No Yes No No No No
Modificar directiva Yes Yes No Yes No No No No
Modificar imagen Yes Yes No Yes No No No No
Modificar objetos Yes Yes No Yes No No No No
Modificar topología Yes Yes No Yes No No No No
Modificar administrador Yes No No No No No No No
Modificar archivo de configuración Yes Yes No Yes Yes No Yes No
Permisos adicionales
Asignar directiva Yes Yes No Yes No No No No
Aprobar directiva Yes No Yes No No No No No
Aprobar CLI Yes No No No No Yes No No
Detectar (importar) Yes Yes No Yes No No No No
Implementación Yes No No Yes Yes No No No
Control Yes No No Yes Yes No Yes No
Enviar Yes Yes No Yes No No No No

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
14-May-2007
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos