Documente Academic
Documente Profesional
Documente Cultură
www.juniper.net
Nmero de pieza: 530-017775-01-SP, Revisin 02
Copyright Notice
Copyright 2007 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures:
Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este manual vii Convenciones del documento ....................................................................... viii Convenciones de la interfaz de usuario web ........................................... viii Convenciones de interfaz de lnea de comandos .................................... viii Convenciones de nomenclatura y conjuntos de caracteres ....................... ix Convenciones para las ilustraciones .......................................................... x Asistencia y documentacin tcnica................................................................ xi Captulo 1 Autenticacin 1
Tipos de autenticaciones de usuarios ............................................................... 1 Usuarios con permisos de administrador ......................................................... 2 Usuarios de mltiples tipos .............................................................................. 4 Expresiones de grupos ..................................................................................... 5 Ejemplo: Expresiones de grupos (AND) ..................................................... 6 Ejemplo: Expresiones de grupos (OR)........................................................ 8 Ejemplo: Expresiones de grupos (NOT)......................................................9 Personalizacin de mensajes de bienvenida .................................................. 10 Ejemplo: Personalizar un mensaje de bienvenida de WebAuth................ 10 Mensaje de bienvenida de inicio de sesin..................................................... 11 Ejemplo: Crear un mensaje de bienvenida de inicio de sesin................. 11 Captulo 2 Servidores de autenticacin 13
Tipos de servidores de autenticacin ............................................................. 13 Base de datos local......................................................................................... 15 Ejemplo: Tiempo de espera de la base de datos local .............................. 16 Servidores de autenticacin externos............................................................. 17 Propiedades del objeto servidor de autenticacin................................. 18 Tipos de servidores de autenticacin ............................................................. 19 Servicio de autenticacin remota de usuarios de acceso telefnico.......... 19 Propiedades del objeto servidor de autenticacin RADIUS ................ 20 Caractersticas y tipos de usuarios admitidos .................................... 21 Archivo de diccionario de RADIUS ....................................................22 Mejoras de RADIUS compatibles para los usuarios Auth y XAuth ...... 25 SecurID.................................................................................................... 28 Propiedades del objeto servidor de autenticacin SecurID ................ 29 Caractersticas y tipos de usuarios admitidos .................................... 30 Protocolo ligero de acceso a directorios................................................... 30 Propiedades del objeto servidor de autenticacin LDAP.................... 31 Caractersticas y tipos de usuarios admitidos .................................... 31 Sistema plus de control de acceso de control de acceso de terminal Plus (TACACS+) ............................................................................................. 32 Propiedades del objeto del servidor TACACS+ ................................. 33 Pioridad de la autenticacin de administrador ............................................... 33
Contenido
iii
Definicin de objetos de servidor de autenticacin ........................................ 34 Ejemplo: Servidor de autenticacin RADIUS ............................................ 34 Ejemplo: Servidor de autenticacin SecurID ............................................ 36 Ejemplo: Servidor de autenticacin LDAP................................................ 38 Ejemplo: Servidor de autenticacin TACACS+ ........................................ 39 Definicin de los servidores de autenticacin predeterminados..................... 40 Ejemplo: Cambiar los servidores de autenticacin predeterminados ....... 41 Captulo 3 Autenticacin de infranet 43
Solucin de control de acceso unificado......................................................... 43 Funcionamiento del cortafuegos con el controlador de infranet..................... 45 Configuracin de la autenticacin de infranet ................................................ 46 Captulo 4 Usuarios de autenticacin 47
Referencias a usuarios autenticados en directivas .......................................... 48 Autenticacin en tiempo de ejecucin ..................................................... 48 Autenticacin de comprobacin previa a la directiva (WebAuth) ............. 49 Referencias a grupos de usuarios de autenticacin en directivas.................... 50 Ejemplo: Autenticacin en tiempo de ejecucin (usuario local)................ 51 Ejemplo: Autenticacin en tiempo de ejecucin (grupo de usuarios locales) ...................................................................... 53 Ejemplo: Autenticacin en tiempo de ejecucin (usuario externo) ........... 54 Ejemplo: Autenticacin en tiempo de ejecucin (grupo de usuarios externos) ................................................................... 56 Ejemplo: Usuario de autenticacin local en mltiples grupos................... 58 Ejemplo: WebAuth (grupo de usuarios locales) ........................................ 61 Ejemplo: WebAuth (grupo de usuarios externos) ..................................... 62 Ejemplo: WebAuth + SSL solamente (grupo de usuarios externos) ......... 65 Captulo 5 Usuarios IKE, XAuth y L2TP 69
Usuarios y grupos de usuarios IKE .................................................................69 Ejemplo: Definir usuarios IKE .................................................................. 70 Ejemplo: Creacin de un grupo de usuarios IKE ...................................... 71 Referencias a usuarios IKE en puertas de enlace ..................................... 72 Usuarios y grupos de usuarios XAuth ............................................................. 72 Registro de eventos para el modo IKE ..................................................... 74 Usuarios XAuth en negociaciones IKE ..................................................... 74 Ejemplo: Autenticacin XAuth (usuario local) .................................... 76 Ejemplo: Autenticacin XAuth (usuario externo) ............................... 79 Cliente XAuth .......................................................................................... 88 Ejemplo: Dispositivo de seguridad como cliente XAuth..................... 88 Usuarios y grupos de usuarios L2TP ............................................................... 89 Ejemplo: Servidores de autenticacin L2TP locales y externos ................ 90 Captulo 6 Autenticacin extensible para interfaces inalmbricas y Ethernet 93
Vista general .................................................................................................. 94 Tipos de EAP admitidos ................................................................................. 94 Habilitacin e inhabilitacin de la autenticacin 802.1X ................................ 95 Interfaces Ethernet .................................................................................. 95 Interfaces inalmbricas............................................................................ 95 Configuracin de los ajustes de 802.1X.......................................................... 96 Configuracin del control del puerto 802.1X ........................................... 96
iv
Contenido
Contenido
Configuracin del modo de control de 802.1X ........................................ 97 Ajuste del nmero mximo de usuarios simultneos ............................... 97 Configuracin del periodo de reautenticacin.......................................... 98 Habilitacin de las retransmisiones EAP .................................................. 98 Configuracin de la cuenta de retransmisiones de EAP ........................... 99 Configuracin del periodo de retransmisin de EAP ................................ 99 Configuracin del periodo inactivo (sin actividad) ................................... 99 Configuracin de las opciones del servidor de autenticacin........................100 Especificar un servidor de autenticacin................................................100 Interfaces Ethernet..........................................................................100 Ajuste del tipo de cuenta .......................................................................101 Habilitacin de la verificacin de zonas .................................................101 Visualizacion de la informacin de 802.1X ..................................................102 Visualizacion de la informacin de configuracin global de 802.1X.......102 Visualizacion de la informacin de 8021.X para una interfaz ................103 Visualizacion de estadsticas de 802.1X.................................................103 Visualizacion de estadsticas de la sesin de 802.1X..............................104 Visualizacion de detalles de la sesin de 802.1X....................................104 Ejemplos de configuracin ...........................................................................104 Configuracin del dispositivo de seguridad con un cliente conectado directamente y el servidor RADIUS........................................................104 Configuracin de un dispositivo de seguridad con un concentrador entre un cliente y el dispositivo de seguridad ........................................105 Configuracin del servidor de autenticacin con una interfaz inalmbrica ...........................................................................................107 ndice ........................................................................................................................IX-I
Contenido
vi
Contenido
El Captulo 1, Autenticacin, detalla los distintos usos y mtodo de autenticacin que admite ScreenOS. El Captulo 2, Servidores de autenticacin, presenta las opciones de utilizacin de cada uno de los cuatro tipos de servidor posibles de autenticacin externa, RADIUS, SecurID, TACACS+ o LDAP, o la base de datos interna y muestra cmo configurar el dispositivo de seguridad para trabajar con cada tipo. El Captulo 3, Autenticacin de infranet, describe cmo se implementa el dispositivo de seguridad en una solucin de control de acceso unificado (UAC). La solucin de Juniper Networks (UAC) asegura y garantiza la entrega de aplicaciones y servicios a travs de la infranet empresarial. El Captulo 4, Usuarios de autenticacin, explica cmo definir los perfiles para los usuarios de autenticacin y cmo agregarlos a los grupos de usuarios almacenados localmente o en un servidor de autenticacin RADIUS externo. El Captulo 5, Usuarios IKE, XAuth y L2TP, explica cmo definir usuarios IKE, XAuth y L2TP. Aunque la seccin XAuth se centra sobre todo en el uso del dispositivo de seguridad como servidor de XAuth, tambin incluye una subseccin sobre la configuracin de determinados dispositivos de seguridad actuando como clientes XAuth. El Captulo 6, Autenticacin extensible para interfaces inalmbricas y Ethernet, explica las opciones disponibles del protocolo de autenticacin extensible para autenticar interfaces inalmbricas y Ethernet.
vii
Convenciones de la interfaz de usuario web en esta pgina Convenciones de interfaz de lnea de comandos en esta pgina Convenciones de nomenclatura y conjuntos de caracteres en la pgina ix Convenciones para las ilustraciones en la pgina x
Para abrir la ayuda en lnea para los ajustes de configuracin, haga clic en el signo de interrogacin (?) en la parte superior izquierda de la pantalla. El rbol de navegacin tambin proporciona una pgina de configuracin de Help > Config Guide configuracin para ayudarle a configurar las directivas de seguridad y la Seguridad de protocolo de Internet (IPSec). Seleccione una opcin del men desplegable y siga las instrucciones en la pgina. Haga clic en el carcter ? en la parte superior izquierda para la Ayuda en lnea en la Gua de configuracin.
Los elementos entre corchetes [ ] son opcionales. Los elementos entre llaves { } son obligatorios.
viii
Si existen dos o ms opciones alternativas, aparecern separadas entre s por barras verticales ( | ). Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage
NOTA:
Para introducir palabras clave, basta con introducir los primeros caracteres para identificar la palabra de forma inequvoca. Al escribir set adm u whee j12fmt54 se ingresar el comando set admin user wheezer j12fmt54. Sin embargo, todos los comandos documentados aqu se encuentran presentes en su totalidad.
Si una cadena de nombre tiene uno o ms espacios, la cadena completa deber estar entre comillas dobles; por ejemplo:
set address trust local LAN 10.1.1.0/24
Cualquier espacio al comienzo o al final de una cadena entrecomillada se elimina; por ejemplo, local LAN se transformar en local LAN. Los espacios consecutivos mltiples se tratan como uno solo. En las cadenas de nombres se distingue entre maysculas y minsculas; por el contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente. Por ejemplo, local LAN es distinto de local lan.
Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los conjuntos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
NOTA:
Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador.
ix
Internet
Interfaces de zonas de seguridad: Blanco = Interfaz de zona protegida (ejemplo = zona Trust) Negro = Interfaz de zona externa (ejemplo = zona Untrust)
Motor de directivas
Conmutador
Concentrador
xi
xii
Captulo 1
Autenticacin
Despus de una introduccin general a los diferentes tipos de autenticacin disponibles para los diferentes tipos de usuarios de la red, este captulo dedica una breve seccin a la autenticacin del usuario administrador (admin). A continuacin, proporciona informacin sobre la combinacin de diferentes tipos de usuarios, la utilizacin de expresiones de grupos y cmo personalizar los mensajes de bienvenida que aparecen al iniciar una sesin HTTP, FTP, L2TP, Telnet y XAuth. La seccin final describe cmo crear un mensaje de bienvenida de mayor tamao (4 Kbytes), que precede a todos los mensajes de bienvenida de autenticacin de cortafuegos y el acceso administrativo, los cuales se definieron individualmente. Este captulo consta de las siguientes secciones:
Tipos de autenticaciones de usuarios en esta pgina Usuarios con permisos de administrador en la pgina 2 Usuarios de mltiples tipos en la pgina 4 Expresiones de grupos en la pgina 5 Personalizacin de mensajes de bienvenida en la pgina 10 Mensaje de bienvenida de inicio de sesin en la pgina 11
Usuarios de autenticacin en la pgina 47 Usuarios y grupos de usuarios IKE en la pgina 69 Usuarios y grupos de usuarios XAuth en la pgina 72 Usuarios y grupos de usuarios L2TP en la pgina 89
El dispositivo de seguridad autentica los diferentes tipos de usuarios en diversas etapas durante el proceso de conexin. Las tcnicas de autenticacin de usuario IKE, XAuth, L2TP y auth ocurren en diferentes momentos durante la creacin del tnel VPN L2TP a travs de IPSec. Consulte la Figura 1 en la pgina 2.
Auth Cuando el trfico enviado a travs del tnel alcanza el cortafuegos de Juniper Networks
Fase 2
Nota: Dado que tanto XAuth como L2TP proporcionan autenticacin de usuarios y asignaciones de direcciones, rara vez se utilizan juntos. Se muestran juntos aqu solamente para ilustrar cundo se produce cada tipo de autenticacin durante la creacin de un tnel VPN.
Administrador raz (root admin) Administrador de lectura/escritura de nivel raz (root-level read/write admin) Administrador de slo lectura de nivel raz (root-level read-only admin) Administrador Vsys (Vsys admin) Administrador Vsys de slo lectura (Vsys read-only admin)
NOTA:
Para obtener informacin sobre los privilegios de cada tipo de usuario administrador y ver ejemplos de creacin, modificacin y eliminacin de usuarios administradores, consulte Administracin en la pgina 3-1. Aunque el perfil del usuario raz de un dispositivo de seguridad debe almacenarse en la base de datos local, puede almacenar usuarios vsys y usuarios administradores de nivel raz con privilegios de lectura/escritura y privilegios de slo lectura en la base de datos local o en un servidor de autenticacin externo.
Captulo 1: Autenticacin
Si almacena cuentas de usuarios en un servidor de autenticacin RADIUS externo y carga el archivo de diccionario RADIUS en el servidor de autenticacin, puede optar por consultar los privilegios de administrador definidos en el servidor. Opcionalmente, puede especificar un nivel de privilegios que se aplicar globalmente a todos los usuarios con permisos de administrador almacenados en ese servidor de autenticacin. Puede especificar privilegios de lectura/escritura o de slo lectura. Si almacena usuarios con permisos de administrador en un servidor de autenticacin SecurID o LDAP externo, o en un servidor RADIUS sin el archivo de diccionario RADIUS, no podr definir sus atributos de privilegios en el servidor de autenticacin. Por lo tanto, debe asignarles un nivel de privilegios en el dispositivo de seguridad.
Si se establecen en el dispositivo de seguridad:
Obtener privilegios del servidor RADIUS Asignar privilegios de lectura/escritura al admin externo
2, 3. ScreenOS enva una peticin de inicio de sesin a travs de HTTP o Telnet al origen.
6. Despus de autenticar con xito a un usuario con permisos de administrador, el dispositivo abre una sesin de WebUI o de CLI.
Usuario Auth/IKE Usuario Auth/IKE/XAuth Usuario Auth/L2TP Usuario IKE/XAuth Usuario Auth/IKE/L2TP Usuario L2TP/XAuth Usuarios IKE/L2TP Usuario IKE/L2TP/XAuth Usuario Auth/XAuth Usuario Auth/IKE/L2TP/XAuth
Aunque puede crear todas las combinaciones indicadas al definir cuentas de usuarios de mltiples tipos en la base de datos local, tenga en cuenta los puntos siguientes antes de crearlos:
Combinar un usuario del tipo IKE con cualquier otro tipo de usuario limita el potencial de ampliacin. Las cuentas de usuario IKE deben almacenarse en la base de datos local. Si crea cuentas de usuario auth/IKE, IKE/L2TP o IKE/XAuth y el nmero de usuarios crece ms all de la capacidad de la base de datos local, no podr trasladar estas cuentas a un servidor de autenticacin externo. Si mantiene las cuentas de usuario IKE separadas de otros tipos de cuentas, tiene la posibilidad de mover las cuentas de usuario que no sean IKE a un servidor de autenticacin externo en caso de necesidad. L2TP y XAuth proporcionan los mismos servicios: autenticacin de usuarios remotos y asignacin de las direcciones IP propia, de los servidores DNS y de los servidores WINS. No se recomienda utilizar L2TP y XAuth juntos para un tnel L2TP-por-IPSec. Ambos protocolos no slo cumplen los mismos objetivos; adems, las asignaciones de direcciones L2TP sobreescriben las asignaciones de direcciones XAuth una vez finalizadas las negociaciones IKE de la fase 2 e iniciadas las negociaciones de L2TP. Si crea una cuenta de usuario de mltiples tipos en la base de datos local combinando auth/L2TP o auth/XAuth, se deber utilizar el mismo nombre de usuario y contrasea para ambos inicios de sesin.
Captulo 1: Autenticacin
Aunque resulta ms cmodo crear una sola cuenta de usuario de mltiples tipos, separar los tipos de usuario en dos cuentas independientes permite aumentar la seguridad. Por ejemplo, puede almacenar una cuenta de usuario de autenticacin en un servidor de autenticacin externo y una cuenta de usuario XAuth en la base de datos local. Puede entonces asignar diferentes nombres de usuario de inicio de sesin y contraseas a cada cuenta, y hacer referencia al usuario XAuth en la configuracin de la puerta de enlace IKE y al usuario de autenticacin en la configuracin de la directiva. El usuario VPN de acceso telefnico deber autenticarse dos veces, posiblemente con dos nombres de usuario y contraseas totalmente diferentes.
Expresiones de grupos
Una expresin de grupo es una instruccin que se puede utilizar en directivas para condicionar los requisitos de autenticacin. Las expresiones de grupos permiten combinar usuarios, grupos de usuarios u otras expresiones de grupos como alternativas para la autenticacin (a OR b), o como requisitos para la autenticacin (a AND b). Tambin puede utilizar expresiones de grupos para excluir a un usuario, grupo de usuarios u otra expresin de grupo (NOT c).
NOTA:
Aunque las expresiones de grupos se definen en el dispositivo de seguridad (y se almacenan en la base de datos local), los usuarios y grupos de usuarios a los que se hace referencia en las expresiones de grupos deben almacenarse en un servidor RADIUS externo. Un servidor RADIUS permite a los usuarios pertenecer a ms de un grupo. La base de datos local no lo permite. Las expresiones de grupos utilizan los tres operadores OR, AND y NOT. Los objetos en la expresin a los que se refieren OR, AND y NOT pueden ser un usuario de autenticacin, un grupo de usuarios de autenticacin o una expresin de grupos previamente definida. La Tabla 1 enumera objetos, expresiones de grupo y ejemplos.
Tabla 1: Ejemplos de expresin de grupo Objeto
Usuarios
Expresin
OR
Ejemplo
Una directiva especifica que el usuario sea a OR b, para que el dispositivo de seguridad autentique si el usuario coincide con alguna condicin a OR b. AND en una expresin de grupos requiere que al menos uno de los dos objetos de la expresin sea un grupo de usuarios o una expresin de grupos. (No es lgico exigir a un usuario que sea a la vez el usuario a AND b.) Si el aspecto de autenticacin de una directiva requiere que el usuario sea a AND un miembro del grupo b, entonces el dispositivo de seguridad autentica al usuario nicamente si se cumplen ambas condiciones. Una directiva especifica que el usuario puede ser cualquiera excepto el usuario c ( NOT c ), entonces el dispositivo de seguridad autenticar siempre que el usuario no sea c.
AND
NOT
Expresiones de grupos
Expresin
OR
Ejemplo
Una directiva especifica que el usuario pertenezca al grupo a OR b, para que el dispositivo de seguridad autentique si el usuario pertenece a algn grupo. Una directiva requiere que el usuario pertenezca al grupo a AND b, para que el dispositivo de seguridad autentique al usuario, nicamente si pertenece a ambos grupos. Una directiva especifica que el usuario pertenece a cualquier grupo que no sea el grupo c ( NOT c), de manera que el dispositivo de seguridad autentique al usuario siempre que ste no pertenezca a ese grupo. Una directiva especifica que el usuario se ajuste a la descripcin de la expresin del grupo a OR expresin de grupo b, de manera que el dispositivo de seguridad autentique al usuario si se aplica cualquiera de las dos expresiones de grupo. Una directiva especifica que el usuario se ajuste a la descripcin de la expresin del grupo a AND expresin de grupo b, para que el dispositivo de seguridad autentique nicamente si ambas expresiones de grupo corresponden al usuario. Una directiva especifica que el usuario no se ajusta a la descripcin de la expresin del grupo c ( NOT c ), as que el dispositivo de grupo permite la autenticacin nicamente si el usuario no se ajusta a esa expresin de grupo.
AND
NOT
Expresiones de grupos
OR
AND
NOT
NOTA:
Para que una directiva intrazonal funcione correctamente, las direcciones de origen y de destino deben estar en subredes diferentes, conectadas con el dispositivo de seguridad a travs de dos interfaces asociadas a la misma zona. No puede haber ningn otro dispositivo de enrutamiento junto a un dispositivo de seguridad capaz de enrutar trfico entre ambas direcciones. Para obtener ms informacin sobre directivas intrazonales, consulte Directivas en la pgina 2-161.
Expresiones de grupos
Captulo 1: Autenticacin
WebUI
1. Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: project1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.70/32 Zone: Trust
2. Expresin de grupo
Policy > Policy Elements > Group Expressions > New: Introduzca los siguientes datos y haga clic en OK:
Group Expression: s+m AND: (seleccione), sales AND marketing
3. Directiva
Policy > Policies > (From: Trust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), project1 Service: ANY Action: Permit Position at Top: (seleccione)
> Advanced: Introduzca los siguientes datos y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
Authentication: (seleccione) Auth Server: (seleccione) Use: radius1 Group Expression: (seleccione), External Group Expression - s+m
CLI
1. Direccin
set policy top from trust to trust any project1 any permit auth server radius1 group-expression s+m save
Expresiones de grupos
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: web1 IP Address/Domain Name IP/Netmask: (seleccione), 210.1.1.70/32 Zone: DMZ
2. Expresin de grupo
Policy > Policy Elements > Group Expressions > New: Introduzca los siguientes datos y haga clic en OK:
Group Expression: a/b OR: (seleccione), amy OR basil
3. Directiva
Policy > Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), web1 Service: ANY Action: Permit Position at Top: (seleccione)
> Advanced: Introduzca los siguientes datos y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
Authentication: (seleccione) Auth Server: (seleccione) Use: radius1 Group Expression: (seleccione), External Group Expression - a/b
CLI
1. Direccin
Expresiones de grupos
Captulo 1: Autenticacin
3.
Directiva
set policy top from trust to dmz any web1 any permit auth server radius1 group-expression a/b save
Policy > Policy Elements > Group Expressions > New: Introduzca los siguientes datos y haga clic en OK:
Group Expression: -temp OR: (seleccione), NOT temp
2. Directiva
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: HTTP Action: Permit Position at Top: (seleccione)
> Advanced: Introduzca los siguientes datos y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
Authentication: (seleccione) Auth Server: (seleccione) Use: Local Group Expression: (seleccione), External Group Expression - -temp
CLI
1. Expresin de grupo
set policy top from trust to untrust any any any permit auth server radius1 group-expression -temp save
Expresiones de grupos
En la parte superior de la pantalla de Telnet o de consola, cuando se conecta un usuario administrador al dispositivo de seguridad
NOTA:
Puede incluir una lnea adicional de mensaje de bienvenida debajo de un mensaje de bienvenida de Telnet o de consola. La segunda lnea del mensaje de bienvenida sigue siendo igual tanto para el inicio de sesin de Telnet como de la consola, aunque el mensaje de bienvenida de Telnet puede ser distinto del de la consola. Para crear un segundo mensaje de bienvenida, escriba el siguiente comando: set admin auth banner secondary cadena.
En la parte superior de una pantalla del explorador, despus de que un usuario de autenticacin haya iniciado una sesin correctamente en una direccin de WebAuth Antes o despus de los mensajes de peticin de inicio de sesin, mensajes de xito y mensajes de fallo Telnet, FTP o HTTP para usuarios de autenticacin
Todos los mensajes de bienvenida, salvo los de inicio de sesin de la consola, ya disponen de mensajes predeterminados. Puede personalizar los mensajes de bienvenida para adaptarlos al entorno de red en el que est utilizando el dispositivo de seguridad.
10
Captulo 1: Autenticacin
Debe reiniciar el dispositivo para activar el nuevo mensaje de bienvenida. Para modificar el archivo del mensaje de bienvenida, puede crear un nuevo archivo y sobrescribir el existente con el nuevo. Para eliminar el mensaje de bienvenida, ejecute el siguiente comando en el dispositivo de seguridad:
device-> delete file usrterms.txt
Esto inhabilita la funcin del mensaje de bienvenida despus de que reinicie el dispositivo.
11
12
Captulo 2
Servidores de autenticacin
Este captulo examina diversas clases de servidores de autenticacin (la base de datos local incorporada en cada dispositivo de seguridad y los servidores de autenticacin externos RADIUS, SecurID y LDAP). Este captulo incluye las siguientes secciones:
Tipos de servidores de autenticacin en esta pgina Base de datos local en la pgina 15 Servidores de autenticacin externos en la pgina 17 Tipos de servidores de autenticacin en la pgina 19
Servicio de autenticacin remota de usuarios de acceso telefnico en la pgina 19 SecurID en la pgina 28 Protocolo ligero de acceso a directorios en la pgina 30 Sistema plus de control de acceso de control de acceso de terminal Plus (TACACS+) en la pgina 32
Pioridad de la autenticacin de administrador en la pgina 33 Definicin de objetos de servidor de autenticacin en la pgina 34 Definicin de los servidores de autenticacin predeterminados en la pgina 40
13
NOTA:
Las cuentas de usuarios IKE se deben almacenar en la base de datos local. El nico servidor externo que admite asignaciones de configuracin remota L2TP y XAuth y asignaciones de privilegios de administrador es RADIUS. Adems de su propia base de datos local, un dispositivo de seguridad puede trabajar con los servidores externos RADIUS, SecurID, LDAP y TACACS+. Para autenticar usuarios L2TP, usuarios de autenticacin, usuarios XAuth y usuarios con permisos de administrador se puede utilizar cualquier clase de servidor de autenticacin. ScreenOS tambin es compatible con WebAuth, un sistema de autenticacin alternativo para usuarios de autenticacin. (Para ver un ejemplo de WebAuth, consulte Ejemplo: WebAuth + SSL solamente (grupo de usuarios externos) en la pgina 65). Cualquier servidor de autenticacin que contenga cuentas del tipo usuarios de autenticacin puede convertirse en el servidor de autenticacin predeterminado WebAuth. La Tabla 2 muestra qu tipo de servidores y funciones de autenticacin se admiten.
Tabla 2: Tipo de servidor de autenticacin, tipos de usuarios y funciones Caractersticas y tipos de usuarios admitidos Usuarios L2TP Tipo de servidor
Local RADIUS SecurID LDAP TACACS+
Ajustes remotos
X X
Ajustes remotos
X X
Privilegios
X X
En la mayora de dispositivos de seguridad de Juniper Networks se pueden utilizar simultneamente hasta 10 servidores de autenticacin principales por cada sistema (raz o virtual) en cualquier combinacin de tipos. Este total incluye la base de datos local y excluye los servidores de autenticacin de respaldo. Los servidores RADIUS o LDAP admiten dos servidores de respaldo, mientras que los servidores SecurID admiten uno. As pues, podran utilizarse, por ejemplo, la base de datos local y nueve servidores RADIUS principales y diferentes, cada uno de ellos con dos servidores de respaldo asignados. Consulte la Figura 3.
14
Mltiples servidores de autenticacin funcionando simultneamente Usuario IKE/XAuth > Base de datos local Usuario IKE > Base de datos local Usuario IKE/L2TP > Servidor SecurID Usuario administrador > Servidor RADIUS Usuario administrador > Servidor TACACS+ Usuario autenticado > Servidor LDAP
Servidor SecurID
Nota: Se puede utilizar un solo servidor de autenticacin para mltiples tipos de autenticacin de usuario. Por ejemplo, un servidor RADIUS puede almacenar simultneamente datos de usuarios administradores, de autenticacin, L2TP y XAuth.
Usuario administrador
En las siguientes secciones se explica la base de datos local y cada servidor de autenticacin en detalle.
Antes de autorizar la peticin de conexin, el dispositivo de seguridad consulta sus bases de datos internas para autenticar al usuario.
15
La base de datos local admite los siguientes tipos de usuarios y funciones de autenticacin:
Usuarios:
Funciones de autenticacin:
NOTA:
Las expresiones de grupos se definen en el dispositivo de seguridad, pero los usuarios y grupos de usuarios deben almacenarse en un servidor de autenticacin RADIUS externo. Para obtener ms informacin sobre expresiones de grupos, consulte Expresiones de grupos en la pgina 5. La base de datos local es el servidor de autenticacin predeterminado (auth server) para todos los tipos de autenticacin. Para obtener instrucciones sobre cmo agregar usuarios y grupos de usuarios a la base de datos local mediante WebUI y CLI, consulte Usuarios de autenticacin en la pgina 47 y Usuarios IKE, XAuth y L2TP en la pgina 69.
16
CLI
set admin auth timeout 0 set auth-server Local timeout 30 save
Mensaje de xito
1. El host A enva un paquete FTP, HTTP o Telnet TCP SYN a 1.2.2.2. 2. El dispositivo de seguridad intercepta el paquete, detecta que su directiva correspondiente requiere autenticacin por parte de authserv1, guarda el paquete en un bfer y solicita al usuario su nombre y contrasea. 3. El usuario responde con un nombre de usuario y una contrasea. 4. El dispositivo de seguridad retransmite la informacin de inicio de sesin a authserv1. 5. Authserv1 devuelve una notificacin de xito al dispositivo de seguridad. 6. El dispositivo de seguridad informa el usuario de autenticacin sobre el xito de su inicio de sesin. 7. Entonces, el dispositivo de seguridad reenva el paquete de su bfer a su destino 1.2.2.2.
17
Descripcin
Una cadena de nombre, como authserv1. (El nico servidor de autenticacin predefinido es Local). Puede establecer el nmero de identificacin o permitir que el dispositivo de seguridad lo haga automticamente. Si establece un nmero de identificacin, debe elegir uno que an no se est utilizando. RADIUS, SecurID, LDAP, TACACS+. La direccin IP o el nombre de dominio del servidor. La direccin IP o el nombre de dominio de un servidor de respaldo principal. La direccin IP o el nombre de dominio de un servidor de respaldo secundario. Uno o ms de los siguientes tipos de usuarios: Auth, L2TP, 802.1x, XAuth o solamente Admin. El valor del tiempo de espera por inactividad, cambia dependiendo del tipo de usuario (de autenticacin o administrador). Usuario de autenticacin La cuenta atrs del tiempo de espera comienza despus de completarse la primera sesin autenticada. Si el usuario inicia una nueva sesin antes que la cuenta atrs alcance el umbral de tiempo de espera, se restablecer el contador de cuenta atrs. El valor predeterminado del tiempo de espera es de 10 minutos, y el mximo es de 255 minutos. Para desactivar la funcin de tiempo de espera, establezca el valor de tiempo de espera a 0. Consulte la Figura 6.
Usuario Si el tiempo de inactividad alcanza el umbral establecido, el administrador dispositivo de seguridad termina la sesin del usuario administrador. Para continuar administrando el dispositivo de seguridad, el administrador debe volver a conectarse al dispositivo y autenticarse de nuevo. El valor predeterminado del tiempo de espera es de 10 minutos, y el mximo es de 1000 minutos. Para desactivar la funcin de tiempo de espera, establezca el valor de tiempo de espera a 0. Consulte la Figura 7. Forced Timeout El tiempo de espera forzado, a diferencia del tiempo de espera por inactividad, no depende de la inactividad del usuario, sino del tiempo de espera absoluto despus de que se termina el acceso para el usuario autenticado. Se elimina la entrada de la tabla de autenticacin para el usuario, as como todas las sesiones asociadas para la entrada de la tabla de autenticacin. El valor predeterminado es 0 (desactivado), el rango es de 0 a 10000 (6,9 das).
18
NOTA:
El tiempo de espera para la autenticacin de usuarios no es igual que el tiempo de espera de la sesin. Si durante un tiempo predefinido no se produce ninguna actividad en una sesin, el dispositivo de seguridad elimina automticamente la sesin de su tabla de sesiones.
Adems de las propiedades antedichas, aplicables a todos los objetos del servidor de autenticacin, cada servidor tiene unas cuantas propiedades especficas. Esto se explica en Tipos de servidores de autenticacin.
Servicio de autenticacin remota de usuarios de acceso telefnico (RADIUS) SecurID Protocolo ligero de acceso a directorios (LDAP) Sistema plus de control de acceso del controlador de acceso de terminal (TACACS+)
19
Internet
Un usuario de acceso telefnico mediante VPN solicita una conexin a la red protegida.
El dispositivo de seguridad utiliza un servidor externo RADIUS para autenticar al usuario de acceso telefnico VPN antes de aprobar la peticin de conexin.
Servidor RADIUS
El cliente RADIUS (es decir, el dispositivo de seguridad) autentica a usuarios mediante una serie de comunicaciones entre el cliente y el servidor. Bsicamente, RADIUS pide a la persona que se est conectando que introduzca su nombre de usuario y contrasea. Entonces compara estos valores con lo que tiene almacenados en su base de datos y, una vez que el usuario ha sido autenticado, el cliente proporciona al usuario acceso a los correspondientes servicios de red. Para configurar el dispositivo de seguridad para RADIUS, debe especificar la direccin IP del servidor RADIUS y definir un secreto compartido (shared secret), el mismo que haya definido en dicho servidor. El secreto compartido es una contrasea que el servidor RADIUS utiliza para generar una clave con la que encriptar el trfico entre los dispositivos de seguridad y RADIUS.
Descripcin
El secreto (contrasea) compartido entre el dispositivo de seguridad y el servidor RADIUS. Los dispositivos utilizan este secreto para encriptar las contraseas de usuarios que envan al servidor RADIUS. El nmero del puerto en el servidor RADIUS al que el dispositivo de seguridad enva las peticiones de autenticacin. El nmero de puerto predeterminado es 1645. El intervalo (en segundos) que el dispositivo de seguridad espera antes de enviar otra peticin de autenticacin al servidor RADIUS si la peticin anterior no obtuvo ninguna respuesta. El valor predeterminado es de tres segundos.
RADIUS Port
20
Usuarios de autenticacin Usuarios L2TP (autenticacin y ajustes remotos) Usuarios con permisos de administrador (autenticacin y asignacin de privilegios) Grupos de usuarios Usuarios XAuth (autenticacin y ajustes remotos) El mdulo XAuth proporciona soporte para los atributos de tiempo de espera por inactividad y tiempo de espera de sesin recuperados del servidor RADIUS descritos en la Tabla 5.
Descripcin
Si el atributo Session-timeout es un valor distinto a cero, la asociacin de seguridad de fase 1/fase 2 (SA) y XAuth terminan cuando se llega al valor de tiempo de espera. Si el atributo de Idle-timeout (tiempo de espera por inactividad) es un valor distinto a cero, tiene preferencia sobre la configuracin de tiempo de espera por inactividad de fase local 2 SA y el tiempo de retencin de SA de miembro. Si el valor de tiempo de espera por inactividad es 0, se utiliza el tiempo de espera de la fase local 2 SA y el tiempo de retencin de SA de miembro. El inicio de la cuenta XAuth se enva al servidor RADIUS externo despus de que el usuario se autentica correctamente. La detencin de la cuenta XAuth se enva al servidor RADIUS externo cuando la conexin de XAuth se interrumpe. Toda la conexin de fase 1/fase 2 SA y XAuth termina bajo las siguientes condiciones:
Se alcanza el atributo Session-timeout del servidor RADIUS. No est configurado el atributo Session-timeout del servidor RADIUS.
Idle-timeout
fases 2 SA.
Se detecta la desconexin del cliente por medio de la deteccin de
localmente o el tiempo de retencin de SA del miembro, ya que el servidor RADIUS no proporciona el atributo Idle-timeout.
21
Un servidor RADIUS admite los mismos tipos de usuarios y funciones que la base de datos local, excepto los usuarios IKE. Entre los cuatro tipos de servidores de autenticacin externos, RADIUS es, por el momento, el nico con tan amplia compatibilidad. Para que un servidor RADIUS pueda trabajar con atributos tan especficos de ScreenOS como los privilegios de administrador, grupos de usuarios y direcciones IP L2TP y XAuth remotas, as como con las asignaciones de direcciones de servidores DNS y WINS, es necesario cargar un archivo de diccionario de RADIUS que defina estos atributos en el servidor RADIUS.
NOTA:
ScreenOS utiliza el atributo estndar de RADIUS para las asignaciones de direcciones IP. Si solamente desea utilizar RADIUS para asignar direcciones IP, no necesita cargar los atributos de ScreenOS especficos de cada fabricante (vendor-specific attributes o VSA).
Descripcin
La identificacin de proveedor de ScreenOS (VID, tambin conocida como nmero IETF) es 3224. VID identifica a un proveedor especfico con respecto a un atributo determinado. Algunos tipos de servidores RADIUS requieren introducir el nmero VID con cada entrada de atributo, mientras que otros tipos solamente requieren introducirlo una vez y luego lo aplican globalmente. Para obtener informacin adicional, consulte la documentacin del servidor RADIUS. Los nombres de atributos describen atributos individuales especficos de ScreenOS, como NS-Admin-Privilege, NS-User-Group, NS-Primary-DNS-Server, etc.
Attribute Name
22
Descripcin
El nmero de atributo identifica un atributo individual especfico del proveedor. Los nmeros de atributos especficos de ScreenOS se dividen en dos rangos:
ScreenOS: 1 199 Global PRO: a partir del 200
Por ejemplo, el nmero del atributo ScreenOS para grupos de usuarios es 3. El nmero de atributo de Global PRO para grupos de usuarios es 200. Attribute Type El tipo de atributo identifica la forma en la que se representan los datos del mismo (o su valor): como cadena, direccin IP o nmero entero.
El servidor RADIUS recibe automticamente la informacin antedicha cuando se carga el archivo de diccionario de RADIUS en el mismo. Para crear nuevas entradas de datos, debe introducir manualmente un valor en la forma indicada por el tipo de atributo. Por ejemplo, una entrada para un administrador de lectura-escritura aparece como sigue:
Attribute Number Attribute Type
1 data=int4 (es decir, nmero entero)
VID
3224
Attribute Name
NS-Admin-Privileges
Value
2 (2 = todos los privilegios)
Para descargar un archivo de diccionario, dirjase a http://www.juniper.net/customers/csc/research/netscreen_kb/downloads /dictionary/funk_radius.zip o http://www.juniper.net/customers/csc/research/netscreen_kb/downloads/dictionary /cisco_radius.zip Inicie sesin y guarde el archivo en una unidad local.
NOTA:
Todas las nuevas instalaciones de Funk Steel Belted RADIUS tienen cargado el archivo de diccionario del cortafuegos RADIUS en el servidor RADIUS.
23
SYN SYN/ACK ACK Nombre: ? Contrasea: ? Nombre: ** Contrasea: ** (Nombre: ?) Desafo: ? (Nombre: **) Desafo: ** xito
Nombre: ** Contrasea: ** (Nombre: ?) Desafo: ? (Nombre: **) Desafo: ** xito Reenvo (Nombre: **) Desafo: ** xito
Servidor Telnet
1. Un usuario de autenticacin enva un paquete SYN para iniciar una conexin TCP de una sesin Telnet con un servidor Telnet. 2. Un dispositivo de seguridad intercepta el paquete, comprueba su lista de directivas y determina que esta sesin requiere autenticacin de usuario. El dispositivo de seguridad coloca el paquete SYN en su memoria cach y registra en su proxy el establecimiento de comunicacin TCP de 3 fases (TCP 3-way handshake) con el usuario. 3. El dispositivo de seguridad pide al usuario que inicie una sesin con su nombre y contrasea. 4. El usuario de autenticacin introduce su nombre y contrasea y los enva al dispositivo de seguridad. Entonces, el dispositivo de seguridad enva una peticin de acceso (access request) con la informacin de inicio de sesin a un servidor RADIUS. 5. Si la informacin es correcta, el servidor RADIUS enva una seal access challenge al dispositivo de seguridad con un atributo reply-message que pide al usuario que proporcione una respuesta a un desafo (pregunta de comprobacin). (Opcionalmente, access challenge puede pedir al sistema de autenticacin que proporcione de nuevo un nombre de usuario. El segundo nombre de usuario puede ser igual o distinto del primero). El dispositivo de seguridad enva entonces al usuario otro mensaje de peticin de inicio de sesin con el contenido del atributo reply-message.
24
6. El usuario de autenticacin introduce su respuesta al desafo (y, opcionalmente, un nombre de usuario) y la enva al dispositivo de seguridad. El dispositivo de seguridad enva al servidor RADIUS una segunda peticin de acceso, con la respuesta del usuario al desafo. Si el servidor RADIUS necesita autenticar la respuesta de desafo por medio de otro servidor de autenticacin (por ejemplo, cuando un servidor SecurID necesita autenticar un cdigo token) el servidor RADIUS enva la peticin de acceso access request al otro servidor de autenticacin. 7. Si el servidor RADIUS redireccion la respuesta al desafo a otro servidor de autenticacin y ese servidor necesita una seal access accept, o si el mismo servidor RADIUS aprueba la respuesta, el servidor RADIUS enva un mensaje access accept al dispositivo de seguridad. En ese momento, el dispositivo de seguridad notifica al usuario de autenticacin si su inicio de sesin se ha completado correctamente. 8. El dispositivo de seguridad redirecciona el paquete SYN inicial a su destino original: el servidor Telnet.
NOTA:
Tipo de servicio de acceso NS en esta pgina Direccin IP en trama y conjunto en trama en la pgina 26 Identificacin de sesin de cuenta en la pgina 27 Calling Station ID en la pgina 27 Called Station ID en la pgina 27 Compatibility RFC-2138 en la pgina 27 Username en la pgina 27 Separator en la pgina 27 Fail-over en la pgina 28
Tipo de servicio de acceso NS El atributo NS-Access-Service-Type proporciona informacin sobre el tipo de servicio. El dispositivo de seguridad agrega este atributo a cada Access-Request indicando el tipo de servicio requerido por el usuario. Este atributo est habilitado de forma predeterminada. Si el mdulo RADIUS recibe la peticin de un mdulo de autenticacin Telnet, FTP o HTTP, ste configura el valor a WEB-AUTH (2). Si el mdulo RADIUS recibe la peticin del mdulo XAuth, ste establece el valor a VPN-IPSEC (3).
Tipos de servidores de autenticacin
25
El dispositivo incluye ns-access-service-type y el valor en el mensaje Access-Request. Si el servidor RADIUS determina que el usuario que realiza la peticin tiene autorizacin para acceder al servicio, ste enva un mensaje de Access-Accept. Si el tipo de servicio no aplica al usuario que realiza la peticin, el servidor RADIUS enva un mensaje de Access-Reject. El servidor RADIUS no incluye el atributo ns-access-service-type en el mensaje Acceso-Respuesta. Direccin IP en trama y conjunto en trama El servidor RADIUS incluye el atributo framed-pool en el mensaje Access-Accept. Cuando se incluye el atributo Framed-Pool, el dispositivo asigna una direccin IP al usuario desde este conjunto. Sin embargo, el dispositivo no enva el atributo Framed-Pool en los mensajes Access-Request. La Tabla 7 muestra cmo maneja el dispositivo los atributos framed-pool y framed-ip-address. Las mejoras de RADIUS tambin incluyen la capacidad de manejar los conjuntos de direcciones en el nivel de sistema virtual (VSYS).
Tabla 7: Atributos compatibles Atributos compatibles
El atributo Framed-Pool y Framed-IP-Address se incluyen en el mensaje Access-Accept.
Resolucin
El atributo Framed-Pool siempre lo ignora el servidor RADIUS a menos que el valor de Framed-IP-Address sea 0xFFFFFFFE (255.255.255.254). Entonces, el dispositivo asigna una direccin del atributo Framed-Pool enviada por el servidor RADIUS. El dispositivo no asigna una direccin IP al usuario final.
El atributo Framed-IP-Address se incluye en el El dispositivo asigna una direccin IP del mensaje Access-Accept y tiene un valor de conjunto de direccin IP predeterminado que 0xFFFFFFFE (255.255.255.254). est configurado para ese VSYS. El atributo Framed-Pool est ausente. El conjunto se enva en el atributo Framed-Pool que no est configurado o no tiene ninguna direccin IP. Se generan los siguientes mensajes de error y termina la negociacin:
Falla el inicio de sesin: El conjunto de IP se
direcciones IP disponibles en el conjunto de IP. En ambos supuestos, el cliente recibe el siguiente mensaje: No hay ms direcciones IP disponibles en el conjunto de IP
26
acct-session-id length nmero es la longitud de account-session-id en bytes. La longitud predeterminada de este valor es 11 bytes. El ajuste de nmero es para acomodar algunos servidores RADIUS, que podran tener problemas con la longitud predeterminada. Puede establecer la longitud de "acct-session-id" de 6 bytes a 10 bytes, incluso. Para restablecer el ajuste predeterminado, ejecute el siguiente comando: unset auth-server cadena_nombre radius attribute acct-session-id nmero Calling Station ID El atributo calling-station-id identifica a la persona que realiza la llamada. Por ejemplo, este valor podra consistir en el nmero de telfono del usuario que origina la llamada. Called Station ID El atributo called-station-id identifica la persona destinataria o receptora de la llamada. Por ejemplo, este valor podra consistir en el nmero de telfono del usuario que origina la llamada. Compatibility RFC-2138 El atributo compatibility rfc-2138 hace que la cuenta RADIUS cumpla con la norma RFC 2138, en lo que respecta a la norma RFC 2865. Para las operaciones donde las normas RFC 2865 (la ms reciente) y RFC 2138 son mutuamente exclusivas, el comando funciona de acuerdo con la RFC 2138, en lugar de con la RFC 2865. En los casos donde el comportamiento es aditivo, el comando es compatible tanto conla norma RFC 2865 como con la norma RFC 2138. Username username especifica un nombre de dominio para un servidor de autenticacin determinado o una parte de un nombre de usuario desde el cual desglosa caracteres. Si especifica un nombre de dominio para el servidor de autenticacin, debe presentarse en el nombre de usuario durante la autenticacin. Separator El dispositivo utiliza un carcter separador para identificar dnde ocurren los desglosamientos. El desglosamiento elimina todos los caracteres que se encuentran a la derecha de cada caso del carcter especificado, ms el carcter en s. El dispositivo empieza con el carcter separador que se encuentra en el extremo derecho. Un ejemplo de un comando separador es el siguiente: set auth-server cadena_nombre username separator cadena number nmero
27
donde:
cadena_nombre es el nombre del servidor de autenticacin. cadena es el separador de caracteres. nmero es el nmero de los casos del separador de caracteres con el cual se realiza el desglosamiento de caracteres.
Si el nmero especificado de caracteres separadores (nmero) excede el nmero real de caracteres separadores en el nombre de usuario, el comando detiene el desglosamiento en el ltimo caracter separador disponible.
NOTA:
El dispositivo realiza la coincidencia de nombre del dominio antes del desglosamiento. Fail-over El atributo fail-over especifica el intervalo de reversin (expresado en segundos) que debe transcurrir despus de un intervalo de autenticacin y antes de que el dispositivo intente la autenticacin a travs de los servidores de autenticacin de respaldo. Cuando una peticin de autenticacin enviada a un servidor principal falla, el dispositivo intenta con los servidores de respaldo. Si la autenticacin por medio de un servidor de respaldo tiene xito, el intervalo de tiempo de revert-interval ha caducado, el dispositivo enva peticiones de autenticacin posteriores al servidor de respaldo. De lo contrario, reanuda el envo de las peticiones al servidor principal. El rango es de 0 segundos (deshabilitado) a 86400 segundos. Un ejemplo del comando fail-over y revert-interval es el siguiente: set auth-server cadena_nombre fail-over revert-interval nmero donde:
cadena_nombre es el nombre del servidor de autenticacin. nmero es la duracin de tiempo (expresada en segundos).
NOTA:
SecurID
En lugar de una contrasea fija, SecurID combina dos factores para crear una contrasea que cambia dinmicamente. SecurID produce un dispositivo del tamao de una tarjeta de crdito, conocido como autenticador, con una ventana LCD en la que aparece una secuencia de nmeros generada aleatoriamente (un cdigo token) que cambia cada minuto. El usuario tambin tiene un nmero de identificacin personal (PIN). Cuando el usuario inicia sesin, introduce un nombre del usuario y su PIN ms el cdigo token vigente.
28
El autenticador ejecuta un algoritmo conocido solamente por RSA para generar los valores que aparecen en la ventana LCD. Cuando el usuario a autenticar introduce su PIN y el nmero de su tarjeta, el servidor ACE, que tambin ejecuta el mismo algoritmo, compara los valores recibidos con los de su base de datos. Si coinciden, la autenticacin es correcta. La relacin del dispositivo de seguridad con el servidor RSA SecurID ACE es similar a la de un dispositivo de seguridad con un servidor RADIUS. Es decir, el dispositivo de seguridad acta como cliente, redireccionando las peticiones de autenticacin al servidor externo para su aprobacin y retransmitiendo la informacin del inicio de sesin entre el usuario y el servidor. SecurID se diferencia de RADIUS en que la contrasea del usuario est asociada a un cdigo token que cambia continuamente.
Descripcin
El nmero del puerto en el servidor SecurID ACE al que el dispositivo de seguridad enva las peticiones de autenticacin. El nmero de puerto predeterminado es 5500. El algoritmo (SDI o DES) utilizado para encriptar la comunicacin entre el dispositivo de seguridad y el servidor SecurID ACE. El nmero de veces que el cliente SecurID (es decir, el dispositivo de seguridad) intenta establecer comunicacin con el servidor SecurID ACE antes de cancelar el intento. El tiempo en segundos que el dispositivo de seguridad espera entre sucesivos reintentos de autenticacin. Una opcin que impide o permite utilizar otro nmero PIN. Cuando esta opcin est habilitada y un usuario introduce un nmero PIN de emergencia previamente acordado (duress PIN), el dispositivo de seguridad enva una seal al servidor SecurID ACE, indicando que el usuario est realizando el inicio de sesin en contra de su voluntad, es decir, bajo amenaza. El servidor SecurID ACE permite el acceso esa nica vez y despus rechaza cualquier otro intento de inicio de sesin de ese usuario hasta que se ponga en contacto con el administrador de SecurID. El modo de amenaza solamente est disponible si el servidor SecurID ACE admite esta opcin.
29
Usuarios de autenticacin Usuarios L2TP (autenticacin de usuarios; el usuario L2TP recibe los ajustes L2TP predeterminados del dispositivo de seguridad) Usuarios XAuth (autenticacin de usuarios; no admite asignaciones de ajustes remotas) Usuarios administradores (autenticacin de usuarios; el usuario administrador recibe la asignacin de privilegios predeterminada: slo lectura)
Actualmente, un servidor SecurID ACE no puede asignar ajustes remotos L2TP o XAuth ni privilegios de administrador de ScreenOS, aunque se puede utilizar un servidor SecurID para almacenar cuentas de usuarios administradores, L2TP y XAuth con fines de autenticacin. Asimismo, ScreenOS no admite grupos de usuarios cuando se utiliza conjuntamente con SecurID.
Para localizar recursos, como organizaciones, individuos y archivos en una red Para ayudar a autenticar usuarios que intentan conectarse a redes controladas por servidores de directorios
La estructura bsica de LDAP se ramifica desde el nivel de pases al de organizaciones, luego unidades organizativas y, por ltimo, individuos. Tambin puede haber otros niveles de ramificacin intermedios, como regiones y provincias. La Figura 11 muestra un ejemplo de la estructura de organizacin de ramificacin de LDAP.
Figura 11: Estructura jerrquica de LDAP
Pases (c) Organizaciones (o) Unidades organizativas (ou) Ing JN US RAZ JA NTT Mkt ATT Mkt Asist Nota: Los individuos pueden ser personas, dispositivos, archivos, etc. cn = nombre comn. Ventas Individuos (cn)
30
NOTA:
Para obtener informacin sobre LDAP, consulte la norma RFC 1777, Protocolo ligero de acceso a directorios. Puede configurar el dispositivo de seguridad para enlazarse con un servidor de protocolo ligero de acceso a directorios (LDAP). Este servidor utiliza la sintaxis jerrquica de LDAP para identificar a cada usuario de forma inequvoca.
Descripcin
El nmero del puerto en el servidor LDAP al que el dispositivo de seguridad enva las peticiones de autenticacin. El nmero de puerto predeterminado es 389. Nota: Si cambia el nmero del puerto de LDAP en el dispositivo de seguridad, cmbielo tambin en el servidor LDAP.
El identificador utilizado por el servidor LDAP para identificar al individuo introducido en un servidor LDAP. Por ejemplo, una entrada uid significa user ID (identificacin de usuario) y cn significa nombre comn.
Distinguished Name La ruta utilizada por el servidor LDAP antes de utilizar el identificador de (dn) nombre comn para buscar una entrada especfica. (Por ejemplo, c=us;o=juniper, donde c significa pas (country) y o significa organizacin).
Usuarios de autenticacin Usuarios L2TP (autenticacin de usuarios; el usuario L2TP recibe los ajustes L2TP predeterminados del dispositivo de seguridad) Usuarios XAuth (autenticacin de usuarios; no admite asignaciones de ajustes remotas) Usuarios administradores (autenticacin de usuarios; el usuario administrador recibe la asignacin de privilegios predeterminada: slo lectura)
Actualmente, un servidor LDAP no puede asignar ajustes remotos L2TP o XAuth ni privilegios de administrador de ScreenOS, aunque se puede utilizar un servidor LDAP para almacenar cuentas de usuarios administradores, L2TP y XAuth con fines de autenticacin. Asimismo, ScreenOS admite grupos de usuarios cuando se utiliza conjuntamente con LDAP.
31
Internet Un usuario de administracin solicita una conexin a la red protegida. El dispositivo de seguridad utiliza un servidor externo TACACS+ para autenticar al usuario de administracin antes de aprobar la peticin de conexin.
Servidor TACACS+
El cliente TACACS+ (es decir, el dispositivo de seguridad) autentica a usuarios mediante una serie de comunicaciones entre el cliente y el servidor. Bsicamente, TACACS+ pide a la persona que se est conectando que introduzca su nombre de usuario y contrasea. Entonces compara estos valores con lo que tiene almacenados en su base de datos y, una vez que el usuario ha sido autenticado, el cliente proporciona al usuario acceso a los correspondientes servicios de red. Para configurar el dispositivo de seguridad para TACACS+, debe especificar la direccin IP del servidor TACACS+ y definir un secreto compartido (shared secret), el mismo que haya definido en dicho servidor. El secreto compartido es una contrasea que el servidor TACACS+ utiliza para generar una clave con la que encriptar el trfico entre los dispositivos de seguridad y TACACS+. TACACS+ proporciona utilidades de contabilidad, autorizacin y autenticacin separada y modular. El soporte de TACACS+ en ScreenOS permite al servidor de TACACS+ proporcionar autenticacin y autorizacin independientemente como se muestra a continuacin:
Autenticacin y autorizacin TACACS+ separa las funciones de autenticacin y autorizacin. La autenticacin remota es compatible nicamente con los usuarios administradores. Los administradores autenticados tienen asignado un sistema virtual y nivel de privilegio. ScreenOS es compatible nicamente con la autorizacin a nivel de usuario.
Configure hasta dos servidores TACACS+ Si el servidor TACACS+ principal no es alcanzable, entonces se solicita el servidor TACACS+ de respaldo. Para obtener ms informacin, consulte Pioridad de la autenticacin de administrador en la pgina 33.
32
Descripcin
El secreto (contrasea) compartido entre el dispositivo de seguridad y el servidor TACACS+. Los dispositivos utilizan este secreto para encriptar las contraseas de usuarios que envan al servidor TACACS+. El nmero del puerto en el servidor TACACS+ al que el dispositivo de seguridad enva las peticiones de autenticacin. El nmero de puerto predeterminado es 49. El intervalo (en segundos) que el dispositivo de seguridad espera antes de enviar otra peticin de autenticacin al servidor TACACS+ si la peticin anterior no obtuvo ninguna respuesta. El valor predeterminado es de tres segundos. El nmero de veces que el cliente de TACACS+ (es decir, el dispositivo de seguridad) intenta establecer comunicacin con el servidor TACACS+ antes de cancelar el intento. El tiempo en segundos que el dispositivo de seguridad espera entre sucesivos reintentos de autenticacin. TACACS+ encripta la carga completa del intercambio del servidor del cliente.
TACACS+ Port
Client Retries
Asignacin de prioridades a los servicios de autenticacin Establece la prioridad ms alta para autenticar al servicios de autorizacin remoto sobre la base de datos local. Las administraciones de la raz privilegiada pueden definir la secuencia del servicio de autenticacin (local y remota) en la cual se intenta realizar el servicio de autenticacin de administracin. La administracin raz establece uno de los servicios de autenticacin como principal. El otro se convierte automticamente en un servicio secundario.
Definicin del comportamiento de respaldo Si falla el servicio de autenticacin principal, puede configurar el dispositivo para autenticar el servicio secundario (predeterminado) o ignorarlo. La accin anterior se define de forma diferente para los administradores con privilegios de raz y los administradores que no tienen privilegios de raz.
Aceptacin de los administradores autenticados externamente Configura el dispositivo de seguridad para aceptar o no los administradores con privilegios de raz por medio de un servidor de autenticacin remoto.
33
Autenticacin predeterminada Si falla una autenticacin remota y est desactivada la autenticacin local, entonces el dispositivo recurre a la autorizacin de administradores con privilegios de raz para que sean autenticados localmente. Este procedimiento de seguridad se restringe a la consola serie.
34
Servidor RADIUS Nombre: radius1 IP: 10.20.1.100 Puerto: 4500 Tiempo de espera: 30 minutos Secreto compartido: A56htYY97kl Tipos de cuentas: Auth, L2TP, XAuth
WebUI Configuration > Auth > Auth Servers > New Introduzca los siguientes datos y haga clic en OK:
Name: radius1 IP/Domain Name: 10.20.1.100 Backup1: 10.20.1.110 Backup2: 10.20.1.120 Timeout: 30 Forced Timeout: 60 Account Type: Auth, L2TP , XAuth RADIUS: (seleccione) RADIUS Port: 4500 Retry Timeout: 4 (segundos) Shared Secret: A56htYY97kl
NOTA:
Para obtener ms informacin, consulte Archivo de diccionario de RADIUS en la pgina 22. Para obtener instrucciones sobre cmo cargar el archivo de diccionario en un servidor RADIUS, consulte la documentacin especfica de su servidor. CLI
set auth-server radius1 type radius set auth-server radius1 account-type auth l2tp xauth set auth-server radius1 server-name 10.20.1.100 set auth-server radius1 backup1 10.20.1.110 set auth-server radius1 backup2 10.20.1.120 set auth-server radius1 forced-timeout 60 set auth-server radius1 timeout 30 set auth-server radius1 radius port 4500 set auth-server radius1 radius timeout 4 set auth-server radius1 radius secret A56htYY97kl save
35
NOTA:
El orden en el que se introducen los tipos de cuentas es importante. Por ejemplo, si introduce primero set auth-server radius1 account-type l2tp la nica opcin siguiente posible es xauth, porque no se puede ingresar auth despus de l2tp . El orden correcto puede recordarse fcilmente porque es alfabtico. Al cambiar el nmero de puerto se pueden impedir ataques potenciales dirigidos al nmero de puerto predeterminado de RADIUS (1645). Cargue el archivo de diccionario de RADIUS en el servidor RADIUS.
NOTA:
Para obtener ms informacin, consulte Archivo de diccionario de RADIUS en la pgina 22. Para obtener instrucciones sobre cmo cargar el archivo de diccionario en un servidor RADIUS, consulte la documentacin especfica de su servidor.
NOTA:
El tiempo de espera del cliente es el nmero de segundos que el cliente SecurID (es decir, el dispositivo de seguridad) espera entre sucesivos reintentos de autenticacin. El valor del tiempo de espera por inactividad es el nmero de minutos que pueden transcurrir antes de que el dispositivo de seguridad termine automticamente una sesin de administrador inactiva. (Para obtener informacin comparativa entre los tiempos de espera aplicados a usuarios administradores y los aplicados a otros tipos de usuarios, consulte Propiedades del objeto servidor de autenticacin en la pgina 18).
36
WebUI Configuration > Auth > Auth Servers > New Introduzca los siguientes datos y haga clic en OK:
Name: securid1 IP/Domain Name: 10.20.2.100 Backup1: 10.20.2.110 Timeout: 60 Account Type: Admin SecurID: (seleccione) Client Retries: 3 Client Timeout: 10 segundos Authentication Port: 15000 Encryption Type: DES User Duress: No
CLI
set auth-server securid1 type securid set auth-server securid1 server-name 10.20.2.100 set auth-server securid1 backup1 10.20.2.110 set auth-server securid1 timeout 60 set auth-server securid1 account-type admin set auth-server securid1 securid retries 3 set auth-server securid1 securid timeout 10 set auth-server securid1 securid auth-port 15000 set auth-server securid1 securid encr 1 set auth-server securid1 securid duress 0 save
37
WebUI Configuration > Auth > Auth Servers > New Introduzca los siguientes datos y haga clic en OK:
Name: ldap1 IP/Domain Name: 10.20.3.100 Backup1: 10.20.3.110 Backup2: 10.20.3.120 Timeout: 40 Account Type: Auth LDAP: (seleccione) LDAP Port: 4500 Common Name Identifier: cn Distinguished Name (dn): c=us;o=juniper;ou=marketing
CLI
set auth-server ldap1 type ldap set auth-server ldap1 account-type auth set auth-server ldap1 server-name 10.20.3.100 set auth-server ldap1 backup1 10.20.3.110 set auth-server ldap1 backup2 10.20.3.120 set auth-server ldap1 timeout 40 set auth-server ldap1 ldap port 15000 set auth-server ldap1 ldap cn cn set auth-server ldap1 ldap dn c=us;o=juniper;ou=marketing save
38
Servidor TACACS+ Nombre: tacacs1 IP: 1.1.1.1 Puerto: 49 Tiempo de espera: 10 minutos Secreto compartido: A56htYY97kl Tipo de cuenta: admin
39
WebUI Configuration > Auth > Auth Servers > New Introduzca los siguientes datos y haga clic en OK:
Name: tacacs1 IP/Domain Name: 1.1.1.1 Backup1: 2.2.2.2 Backup2: 3.3.3.3 Timeout: 10 Forced Timeout: 60 Account Type: administradores TACACS: (seleccione) TACACS Port: 49 Retry Timeout: 4 (segundos) Shared Secret: A56htYY97kl
CLI
set auth-server tacacs1 type tacacs set auth-server tacacs1 account-type auth l2tp xauth set auth-server tacacs1 server-name 1.1.1.1 set auth-server tacacs1 backup1 2.2.2.2 set auth-server tacacs1 backup2 3.3.3.3 set auth-server tacacs1 forced-timeout 60 set auth-server tacacs1 timeout 10 set auth-server tacacs1 tacacs port 49 set auth-server tacacs1 tacacs timeout 4 set auth-server tacacs1 tacacs secret A56htYY97kl set admin auth server tacacs1 save NOTA:
Cambiando el nmero de puerto se pueden impedir ataques potenciales dirigidos al nmero de puerto predeterminado de TACACS+ (49).
40
Si posteriormente desea utilizar el servidor de autenticacin predeterminado para un tipo de usuario determinado al configurar la autenticacin en directivas, tneles L2TP o puertas de enlace IKE, no necesitar especificar un servidor de autenticacin en cada configuracin. El dispositivo de seguridad establecer las referencias apropiadas a los correspondientes servidores de autenticacin designados previamente como predeterminados.
radius1 (Ejemplo: Servidor de autenticacin RADIUS en la pgina 34) securid1 (Ejemplo: Servidor de autenticacin SecurID en la pgina 36) ldap1 (Ejemplo: Servidor de autenticacin LDAP en la pgina 38)
A continuacin asignar la base de datos local, radius1, securid1 y ldap1 como servidores predeterminados para los siguientes tipos de usuarios:
Local: Servidor de autenticacin predeterminado para usuarios XAuth radius1: Servidor de autenticacin predeterminado para usuarios L2TP securid1: Servidor de autenticacin predeterminado para usuarios con permisos de administrador ldap1: Servidor de autenticacin predeterminado para usuarios de autenticacin (Auth)
NOTA:
De forma predeterminada, la base de datos local es el servidor de autenticacin predeterminado para todos los tipos de usuarios. Por lo tanto, a menos que haya asignado previamente un servidor de autenticacin externo como servidor predeterminado para los usuarios XAuth, no necesita configurarlo como tal. WebUI VPNs > AutoKey Advanced > XAuth Settings: Seleccione Local en la lista desplegable Default Authentication Server, luego haga clic en Apply. VPNs > L2TP > Default Settings: Seleccione radius1 en la lista desplegable Default Authentication Server, luego haga clic en Apply. Configuration > Admin > Administrators: Seleccione Local/securid1 en la lista desplegable Admin Auth Server, luego haga clic en Apply. Configuration > Auth > Firewall: Seleccione ldap1 en la lista desplegable Default Authentication Server, luego haga clic en Apply.
41
CLI
set xauth default auth server Local set l2tp default auth server radius1 set admin auth server securid1 set auth default auth server ldap1 save NOTA:
De forma predeterminada, la base de datos local es el servidor de autenticacin predeterminado para todos los tipos de usuarios. Por lo tanto, a menos que haya asignado previamente un servidor de autenticacin externo como servidor predeterminado para los usuarios XAuth, no necesita configurarlo como tal.
42
Captulo 3
Autenticacin de infranet
Este captulo trata de cmo se implementa el dispositivo de seguridad en una solucin de control de acceso unificado (UAC). La solucin de control de acceso unificado de Juniper Networks garantiza y asegura la entrega de aplicaciones y servicios a travs de infranet empresarial. La solucin UAC es una infraestructura empresarial basada en IP que coordina la red, aplicacin e inteligencia de punto final, as como proporciona el control que se requiere para dar soporte a las aplicaciones de red, administrar el uso de la red y reducir las amenazas. Para obtener ms informacin sobre cmo configurar e implementar la solucin de control de acceso unificado (UAC), consulte el manual Unified Access Control Administration Guide. Este captulo incluye las siguientes secciones:
Solucin de control de acceso unificado en esta pgina Funcionamiento del cortafuegos con el controlador de infranet en la pgina 45 Configuracin de la autenticacin de infranet en la pgina 46
43
Controlador de infranet
R
Directivas en SSH
Internet/LAN
El dispositivo de seguridad y el controlador de Infranet trabajan juntos para proporcionar seguridad de punto final granular y servicios de cortafuegos para permitir que slo los usuarios finales calificados tengan acceso a los recursos protegidos. Por ejemplo, puede configurar el controlador de infranet con los roles que definen el nivel de acceso, tal como el acceso completo a los recursos protegidos para un ro de empleados, y acceso limitado a un rol de empleados temporales. Tambin puede crear directivas en el controlador de infranet que requieran puntos finales para satisfacer ciertos requisitos de seguridad, o incluso negarles acceso a los recursos protegidos. Por ejemplo, es posible que necesite que un punto final utilice una versin mnima de una aplicacin de antivirus y que cuente con definiciones actualizadas del antivirus. Si el punto final no cumple con los requisitos de seguridad, puede mostrar una pgina que instruya al usuario sobre cmo lograr que su punto final los cumpla. El dispositivo de seguridad permite o rechaza el acceso a los recursos en funcin del rol y del cumplimiento con la seguridad del punto final. El dispositivo de seguridad se conecta con el controlador de Infranet a travs de una conexin SSH que utiliza el protocolo de notificacin de cambio de direccin de NetScreen (NACN). Para configurar una conexin entre dos dispositivos, consulte el manual Unified Access Control Administration Guide.
44
45
5. Conforme es necesario, el controlador de Infranet enva comandos al dispositivo de seguridad para que elimine las directivas o las entradas de la tabla de autenticacin, as como para que deniegue el acceso a los recursos protegidos. Por ejemplo, esto puede suceder cuando el equipo del usuario no es compatible con las directivas de seguridad del punto final o cuando pierde su conexin con el controlador de Infranet, cuando usted cambia la configuracin del papel de un usuario o, cuando desactiva todas las cuentas del usuario en el controlador de Infranet en respuesta a un problema de seguridad, tal como un virus en la red. Para obtener ms detalles, consulte el manual Unified Access Control Administration Guide.
Establecer el dispositivo de seguridad en el modo de rutas o transparente Asociar una interfaz a una zona de seguridad Configurar los ajustes del servidor de autoridad de certificacin Crear una instancia del controlador de infranet en el modo de rutas Visualizar la configuracin de una instancia del controlador de infranet Configurar una directiva basada en IP de origen Configurar una directiva en el Infranet Enforcer Configurar un portal cautivo en el dispositivo de seguridad
Debe tener acceso a la raz para poder ejecutar las tareas anteriores. Para obtener ms detalles, consulte el manual Unified Access Control Administration Guide.
46
Captulo 4
Usuarios de autenticacin
Un usuario de autenticacin (o auth user) es un usuario de red que debe proporcionar un nombre de usuario y la contrasea para autenticarse al iniciar una conexin a travs del cortafuegos. Las cuentas de usuarios de autenticacin se pueden almacenar en la base de datos local o en el servidor RADIUS, SecurID o LDAP externo. Puede agrupar varias cuentas de usuarios de autenticacin para crear un grupo de usuarios auth, el cual puede guardar en la base de datos local o en un servidor RADIUS. Una sola cuenta de usuario de autenticacin puede estar asociada a hasta cuatro grupos de usuarios en la base de datos local o en un servidor RADIUS. Si crea un grupo de usuarios externo en un servidor RADIUS, tambin debe crear un grupo idntico (pero vaco) de usuarios en el dispositivo de seguridad. Por ejemplo, si define un grupo de usuarios de autenticacin denominado au_grp1 en un servidor RADIUS llamado rs1 y agrega 10 miembros al grupo, en el dispositivo de seguridad deber definir un grupo de usuarios de autenticacin denominado tambin au_grp1, identificndolo como grupo externo de usuarios, pero sin agregarle ningn miembro. Cuando consulte el grupo de usuarios externos au_grp1 y el servidor de autenticacin rs1 en una directiva, el dispositivo de seguridad podr consultar correctamente al servidor RADIUS especificado cada vez que el trfico descrito por la directiva provoque una comprobacin de autenticacin. Este captulo consta de las siguientes secciones:
Autenticacin en tiempo de ejecucin en la pgina 48 Autenticacin de comprobacin previa a la directiva (WebAuth) en la pgina 49
Ejemplo: Autenticacin en tiempo de ejecucin (usuario local) en la pgina 51 Ejemplo: Autenticacin en tiempo de ejecucin (grupo de usuarios locales) en la pgina 53 Ejemplo: Autenticacin en tiempo de ejecucin (usuario externo) en la pgina 54
47
Ejemplo: Autenticacin en tiempo de ejecucin (grupo de usuarios externos) en la pgina 56 Ejemplo: Usuario de autenticacin local en mltiples grupos en la pgina 58 Ejemplo: WebAuth (grupo de usuarios locales) en la pgina 61 Ejemplo: WebAuth (grupo de usuarios externos) en la pgina 62 Ejemplo: WebAuth + SSL solamente (grupo de usuarios externos) en la pgina 65
48
1. El usuario de autenticacin enva un paquete FTP, HTTP o Telnet a la direccin 1.2.2.2. 2. El dispositivo de seguridad intercepta el paquete, detecta que su directiva requiere autenticacin en la base de datos local o en un servidor externo, y guarda el paquete en un bfer. 3. El dispositivo de seguridad pide al usuario la informacin de inicio de sesin mediante FTP, HTTP o Telnet. 4. El usuario responde con un nombre de usuario y una contrasea. 5. El dispositivo de seguridad comprueba si en su base de datos local existe la cuenta de usuario de autenticacin o enva la informacin de inicio de sesin al servidor de autenticacin externo segn lo especificado en la directiva. 6. Si encuentra alguna coincidencia (o recibe un aviso de coincidencia desde el servidor de autenticacin externo), el dispositivo de seguridad informa al usuario de que el inicio de sesin ha sido correcto. 7. Seguidamente, el dispositivo de seguridad redirecciona el paquete de su bfer a su destino 1.2.2.2.
1 5. El usuario de autenticacin se conecta a la direccin IP 10.1.1.21 de WebAuth e inicia una sesin correctamente. (El dispositivo de seguridad comprueba la cuenta del usuario de autenticacin en la base de datos especificada: la base de datos local o el servidor de autenticacin externo). BD local o Servidor de autenticacin externo 1.2.2.2
7. El motor de directivas detecta que la directiva aplicable a este trfico requiere una autenticacin a travs de WebAuth. Comprueba su lista de usuarios autenticados, descubre que el usuario est actualmente autenticado a travs de WebAuth y enva el trfico a su destino.
49
Puede dejar la base de datos local como servidor de autenticacin predeterminado de WebAuth o elegir un servidor de autenticacin externo para este papel. El requisito principal para un servidor de autenticacin de WebAuth es que, entre sus tipos de cuentas, debe incluir usuarios de autenticacin. La direccin de WebAuth debe estar en la misma subred que la interfaz que desea utilizar para hospedarlo. Por ejemplo, si desea que los usuarios de autenticacin se conecten a WebAuth a travs de ethernet3, que tiene la direccin IP 1.1.1.1/24, puede asignar a WebAuth una direccin IP en la subred 1.1.1.0/24. Puede poner una direccin de WebAuth en la misma subred que la direccin IP de cualquier interfaz, subinterfaz o interfaz de seguridad virtual (VSI) fsica. (Para obtener informacin sobre diversos tipos de interfaces, consulte Interfaces en la pgina 2-33). Si desea utilizar WebAuth mientras est en modo transparente, puede poner una direccin de WebAuth en la misma subred que la direccin IP de VLAN1. Puede poner direcciones de WebAuth en mltiples interfaces. Si tiene varias interfaces asociadas a la misma zona de seguridad, puede poner una direccin de WebAuth en una subred de una interfaz; seguir recibiendo el trfico procedente de la misma zona pero a travs de otra interfaz. Recuerde que despus de autenticar a un usuario en una determinada direccin IP de origen, el dispositivo de seguridad permitir posteriormente el trfico de cualquier otro usuario en esa misma direccin, segn lo especificado en la directiva que exige autenticacin a travs de WebAuth. Este caso puede darse si los usuarios originan trfico desde detrs de un dispositivo NAT que cambia todas las direcciones de origen originales a una sola direccin traducida. Puede hacer que el dispositivo acepte solamente conexiones SSL (HTTPS) para las sesiones WebAuth.
NOTA:
Si almacena usuarios en grupos en un servidor RADIUS, deber crear tambin grupos de usuarios externos vacos en el dispositivo de seguridad con nombres que correspondan a los de los grupos de usuarios previamente creados en el servidor RADIUS.
50
En lugar de administrar cada usuario individualmente, puede agrupar usuarios en un grupo para que cualquier cambio realizado en ste se propague a todos sus miembros. Un usuario de autenticacin puede ser miembro de hasta cuatro grupos de usuarios en la base de datos local o en un servidor RADIUS. Un usuario de autenticacin perteneciente a ms de un grupo deber indicar un nombre de usuario y una contrasea solamente una vez antes de ser autorizado a acceder a los recursos definidos para cada grupo de los que es miembro. Consulte la Figura 20.
Figura 20: Grupos de usuarios de autenticacin
1 Directiva por usuario de autenticacin Directiva 1 Directiva por grupo de usuarios de autenticacin
Vpn TELEFNICA
Contrasea: Cwb6yooN21 Grupo de usuario: Western Encriptacin: 3DES Autenticacin: SHA-1 SPI (local): 3300 SPI (remoto): 3301
Alice
ID
Directiva
Vpn TELEFNICA
Contrasea: Cwb6yooN21 Grupo de usuario: Western Encriptacin: 3DES Autenticacin: SHA-1 SPI (local): 1000 SPI (remoto): 1001
Directiva
Alice
Dan
ID
Vpn TELEFNICA
Contrasea: Cwb6yooN21 Grupo de usuario: Western Encriptacin: 3DES Autenticacin: SHA-1 SPI (local): 4800 SPI (remoto): 4801
Directiva
Christine
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK:
User name: louis Status: Enable Authentication User: (seleccione) User Password: iDa84rNk Confirm Password: iDa84rNk
51
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: host1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.4/32 Zone: Trust
2. Directivas
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Rechazado
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), host1 Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Permit Position at Top: (seleccione)
> Advanced: Introduzca los siguientes datos y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
Authentication: (seleccione) Auth Server: (seleccione) Use: Local User: (seleccione), Local Auth User - louis
CLI
1. Usuario local y direccin
set user louis password iDa84rNk set address trust host1 10.1.1.4/32 NOTA:
De forma predeterminada, todo usuario al que se asigna una contrasea entra en la categora de usuarios de autenticacin.
2. Directivas
set policy from trust to untrust any any any deny set policy top from trust to untrust host1 any any permit auth user louis save
52
NOTA:
Cuando crea un grupo de usuarios en la base de datos local, su tipo de usuario permanece sin definir hasta que se le agrega un usuario. En ese momento, el grupo de usuarios asume el tipo o los tipos de usuarios que le agregue. Puede crear grupos de usuarios de mltiples tipos agregando los tipos de usuarios Auth, IKE, L2TP y XAuth. No puede combinar los usuarios administradores con ningn otro tipo de usuarios. WebUI
1. Grupo de usuarios locales y miembros
Objects > Users > Local Groups > New: Escriba auth_grp1 en el campo Group Name, haga lo siguiente y luego haga clic en OK: Seleccione louis y utilice el botn << para trasladarlo de la columna Available Members a la columna Group Members. Seleccione lara y utilice el botn << para trasladarla de la columna Available Members a la columna Group Members.
2. Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: auth_grp1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.8.0/24 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: ftp1 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.3/32 Zone: DMZ
53
3.
Directiva
Policy > Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), auth_grp1 Destination Address: Address Book Entry: (seleccione), ftp1 Service: FTP Action: Permit Position at Top: (seleccione)
> Advanced: Introduzca los siguientes datos y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
Authentication: (seleccione) Auth Server: (seleccione) Use: Local User Group: (seleccione), Local Auth Group - auth_grp1
CLI
1. Grupo de usuarios locales y miembros
set user-group auth_grp1 location local set user-group auth_grp1 user louis set user-group auth_grp1 user lara
2. Direccin
set address trust auth_grp1 10.1.8.0/24 set address dmz ftp1 1.2.2.3/32
3. Directiva
set policy top from trust to dmz auth_grp1 ftp1 ftp permit auth user-group auth_grp1 save
Account type: auth IP Address: 10.1.1.100 Backup1 IP address: 10.1.1.110 Backup2 IP address: 10.1.1.120 Authentication timeout: 60 minutes LDAP port number: 14500 Common name identifier: cn Distinguished name: c=us;o=netscreen
54
Asignar al usuario de autenticacin euclid la contrasea eTcS114u en el servidor de autenticacin externo. Despus configurar una directiva saliente que requiera autenticacin en el servidor de autenticacin x_srv1 para el usuario externo euclid. WebUI
1. Servidor de autenticacin
Configuration > Auth > Auth Servers > New Introduzca los siguientes datos y haga clic en OK:
Name: x_srv1 IP/Domain Name: 10.1.1.100 Backup1: 10.1.1.110 Backup2: 10.1.1.120 Timeout: 60 Account Type: Auth LDAP: (seleccione) LDAP Port: 14500 Common Name Identifier: cn Distinguished Name (dn): c=us;o=netscreen
2. Usuario externo
Defina el usuario de autenticacin euclid con la contrasea eTcS114u en el servidor de autenticacin LDAP externo x_serv1.
3. Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: euc_host IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.20/32 Zone: Trust
4. Directiva
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Permit Position at Top: (seleccione)
> Advanced: Introduzca los siguientes datos y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
Authentication: (seleccione) Auth Server: (seleccione) Use: x_srv1 User: (seleccione), External User External User: euclid
55
CLI
1. Servidor de autenticacin
set set set set set set set set set set
2.
auth-server x_srv1 auth-server x_srv1 type ldap auth-server x_srv1 account-type auth auth-server x_srv1 server-name 10.1.1.100 auth-server x_srv1 backup1 10.1.1.110 auth-server x_srv1 backup2 10.1.1.120 auth-server x_srv1 timeout 60 auth-server x_srv1 ldap port 14500 auth-server x_srv1 ldap cn cn auth-server x_srv1 ldap dn c=us;o=netscreen
Usuario externo
Defina el usuario de autenticacin euclid con la contrasea eTcS114u en el servidor de autenticacin LDAP externo x_serv1.
3. Direccin
set policy top from trust to untrust euc_host any any auth server x_srv1 user euclid save
NOTA:
La configuracin del servidor de autenticacin de RADIUS es casi idntica a la descrita en el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34, salvo que en este ejemplo solamente se especificar auth como tipo de cuenta de usuario. Alimentar el grupo de usuarios de autenticacin auth_grp2 solamente con los usuarios de autenticacin del servidor RADIUS, dejando el grupo vaco en el dispositivo de seguridad. Los miembros de este grupo son contables que requieren acceso exclusivo a un servidor en la direccin IP 10.1.1.80. Crear una entrada en la libreta de direcciones para el servidor y llamar a la direccin midas. Luego configurar una directiva entre zonas que slo permitir trfico autenticado de auth_grp2 a midas, ambos en la zona Trust. (Para obtener ms informacin sobre las directivas dentro de zonas, consulte Directivas en la pgina 2-161).
56
NOTA:
Para obtener ms informacin sobre el archivo de diccionario de RADIUS, consulte el Archivo de diccionario de RADIUS en la pgina 22. Para obtener instrucciones sobre cmo cargar el archivo de diccionario en un servidor RADIUS, consulte la documentacin del servidor RADIUS. Si est utilizando un servidor IAS RADIUS de Microsoft, no hay que cargar ningn archivo de diccionario, sino que deber definir los atributos correctos especficos de cada fabricante (VSAs) en el servidor. 2. Despus de definir las cuentas de los usuarios de autenticacin en el servidor RADIUS, utilice la VSA del grupo de usuarios de ScreenOS para crear el grupo de usuarios auth_grp2 y aplquelo a las cuentas de usuarios de autenticacin que desee agregar a dicho grupo. WebUI
1. Servidor de autenticacin
Configuration > Auth > Auth Servers > New Introduzca los siguientes datos y haga clic en OK:
Name: radius1 IP/Domain Name: 10.20.1.100 Backup1: 10.20.1.110 Backup2: 10.20.1.120 Timeout: 30 Account Type: Auth RADIUS: (seleccione) RADIUS Port: 4500 Shared Secret: A56htYY97kl
2. Grupo de usuarios externos
Objects > Users > External Groups > New: Introduzca los siguientes datos y haga clic en OK:
Group Name: auth_grp2 Group Type: Auth
3. Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: midas IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.80/32 Zone: Trust
57
4.
Directiva
Policy > Policies > (From: Trust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), midas Service: ANY Action: Permit Position at Top: (seleccione)
> Advanced: Introduzca los siguientes datos y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
Authentication: (seleccione) Auth Server: (seleccione) Use: radius1 User Group: (seleccione), External Auth Group - auth_grp2
CLI
1. Servidor de autenticacin
set auth-server radius1 type radius set auth-server radius1 account-type auth set auth-server radius1 server-name 10.20.1.100 set auth-server radius1 backup1 10.20.1.110 set auth-server radius1 backup2 10.20.1.120 set auth-server radius1 timeout 30 set auth-server radius1 radius port 4500 set auth-server radius1 radius secret A56htYY97kl
2. Grupo de usuarios externos
set user-group auth_grp2 location external set user-group auth_grp2 type auth
3. Direccin
set policy top from trust to trust any midas any permit auth server radius1 user-group auth_grp2 save
NOTA:
58
WebUI
1. Local User
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK:
User Name: mary Status: Enable Authentication User: (seleccione) User Password: iFa8rBd Confirm Password: iFa8rBd
2. Grupos de usuarios locales y miembros
Objects > Users > Local Groups > New: Escriba jefes_ventas en el campo Group Name, haga lo siguiente y luego haga clic en OK: Seleccione mary y utilice el botn << para trasladarla de la columna Available Members a la columna Group Members. Objects > Users > Local Groups > New: Escriba agentes_ventas en el campo Group Name, haga lo siguiente y luego haga clic en OK: Seleccione mary y utilice el botn << para trasladarla de la columna Available Members a la columna Group Members.
3. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: ventas IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.8.0/24 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: server_a IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.5/32 Zone: Untrust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: server_b IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.6/32 Zone: Untrust
59
4.
Directivas
Policy > Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), ventas Destination Address: Address Book Entry: (seleccione), server_a Service: FTP Action: Permit Position at Top: (seleccione)
> Advanced: Introduzca los siguientes datos y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
Authentication: (seleccione) Auth Server: (seleccione) Use: Local User Group: (seleccione), Local Auth Group - agentes_ventas
Policy > Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), ventas Destination Address: Address Book Entry: (seleccione), server_b Service: FTP Action: Permit Position at Top: (seleccione)
> Advanced: Introduzca los siguientes datos y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
Authentication: (seleccione) Auth Server: (seleccione) Use: Local User Group: (seleccione), Local Auth Group - jefes_ventas
CLI
1. Local User
user-group jefes_ventas location local user-group jefes_ventas user mary user-group agentes_ventas location local user-group agentes_ventas user mary
Direcciones
set address trust ventas 10.1.8.0/24 set address untrust server_a 1.1.1.5/32 set address untrust server_b 1.1.1.6/32
60
4.
Directiva
set policy top from trust to untrust ventas server_a ftp permit auth user-group sales_reps set policy top from trust to untrust ventas server_b ftp permit auth user-group jefes_ventas save
Configuration > Auth > WebAuth: Seleccione Local en la lista desplegable WebAuth Server y haga clic en Apply. Network > Interfaces > Edit (para ethernet1): Seleccione WebAuth y, en el campo WebAuth IP, escriba 10.1.1.50. Configuration > Auth > Auth Servers > Edit (para Local): Escriba 30 en el campo Timeout y haga clic en Apply.
2. Grupo de usuarios
Objects > Users > Local Groups > New: Escriba auth_grp3 en el campo Group Name, haga lo siguiente y luego haga clic en OK: Seleccione el user name y utilice el botn << para trasladarlo de la columna Available Members a la columna Group Members. Repita el proceso de seleccin, agregando usuarios de autenticacin hasta que el grupo est completo.
61
3.
Directiva
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Permit
> Advanced: Introduzca los siguientes datos y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
Authentication: (seleccione) WebAuth: (seleccione) User Group: (seleccione), Local Auth Group - auth_grp3
CLI
1. WebAuth
set webauth server Local set interface ethernet1 webauth-ip 10.1.1.50 set interface ethernet1 webauth set auth-server Local timeout 30
2. Grupo de usuarios
El dispositivo de seguridad determinar el tipo del grupo de usuarios locales segn el tipo de miembros que le agregue. Para hacer que auth_grp3 sea un grupo de usuarios de autenticacin, agrguele un usuario de autenticacin. Utilice el comando siguiente para agregar usuarios de autenticacin al grupo de usuarios recin creado:
set user-group auth_grp3 user cadena_nombre
3. Directiva
set policy top from trust to untrust any any any permit webauth user-group auth_grp3 save
62
NOTA:
En este ejemplo se utilizan prcticamente los mismos ajustes del servidor RADIUS que en el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34, salvo que aqu slo se especifica auth como tipo de cuenta de usuario. La interfaz de la zona Trust utilizar ethernet1 y tendr la direccin IP 10.1.1.1/24. Usted asignar 10.1.1.50 como direccin IP de WebAuth y utilizar el servidor de autenticacin RADIUS externo radius1 como servidor predeterminado de WebAuth. Por lo tanto, antes de que un usuario pueda iniciar un trfico hacia Internet, primero deber establecer una conexin HTTP a 10.1.1.50 e iniciar una sesin con un nombre de usuario y contrasea. Entonces, el dispositivo de seguridad reenviar todas las peticiones y respuestas de autenticacin de usuarios de WebAuth entre radius1 y los usuarios que intenten iniciar una sesin. Servidor RADIUS 1. Cargue el archivo de diccionario de RADIUS en el servidor RADIUS.
NOTA:
Para obtener ms informacin sobre el archivo de diccionario de RADIUS, consulte el Archivo de diccionario de RADIUS en la pgina 22. Para obtener instrucciones sobre cmo cargar el archivo de diccionario en un servidor RADIUS, consulte la documentacin del servidor RADIUS. 2. Cree el grupo de usuarios auth_grp4 en el servidor de autenticacin radius1 y agrguele cuentas de usuarios de autenticacin. WebUI
1. Servidor de autenticacin
Configuration > Auth > Auth Servers > New Introduzca los siguientes datos y haga clic en OK:
Name: radius1 IP/Domain Name: 10.20.1.100 Backup1: 10.20.1.110 Backup2: 10.20.1.120 Timeout: 30 Account Type: Auth RADIUS: (seleccione) RADIUS Port: 4500 Shared Secret: A56htYY97k
2. WebAuth
Configuration > Auth > WebAuth: Seleccione radius1 en la lista desplegable WebAuth Server y haga clic en Apply. Network > Interfaces > Edit (para ethernet1): Seleccione WebAuth; en el campo WebAuth IP, escriba 10.10.1.50 y haga clic en OK.
63
3.
Grupo de usuarios
Objects > Users > External Groups > New: Introduzca los siguientes datos y haga clic en OK:
Group Name: auth_grp4 Group Type: Auth
4. Directiva
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Permit
> Advanced: Introduzca los siguientes datos y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
Authentication: (seleccione) WebAuth: (seleccione) User Group: (seleccione), External Auth Group - auth_grp4
CLI
1. Servidor de autenticacin
set auth-server radius1 type radius set auth-server radius1 account-type auth set auth-server radius1 server-name 10.20.1.100 set auth-server radius1 backup1 10.20.1.110 set auth-server radius1 backup2 10.20.1.120 set auth-server radius1 timeout 30 set auth-server radius1 radius port 4500 set auth-server radius1 radius secret A56htYY97kl
2. WebAuth
set webauth server radius1 set interface ethernet1 webauth-ip 10.1.1.50 set interface ethernet1 webauth
3. Grupo de usuarios
set user-group auth_grp4 location external set user-group auth_grp4 type auth
4. Directiva
set policy top from trust to untrust any any any permit webauth user-group auth_grp4 save
64
Definir un servidor de autenticacin RADIUS externo denominado radius1 y crear un grupo de usuarios de autenticacin llamado auth_grp5 tanto en el servidor RADIUS como en el dispositivo de seguridad. En el servidor RADIUS, crear cuentas de usuario para todos los usuarios de autenticacin de la zona Untrust y agregarlos a auth_grp5.
NOTA:
En este ejemplo se utilizan prcticamente los mismos ajustes del servidor RADIUS que en el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34, salvo que aqu slo se especifica auth como tipo de cuenta de usuario.
La interfaz de la zona Untrust utilizar ethernet3 y tendr la direccin IP 1.1.1.1/24. Usted asignar 1.1.1.50 como direccin IP de WebAuth, indicar al dispositivo que slo acepte conexiones SSL para las peticiones de autenticacin WebAuth y utilizar el servidor de autenticacin RADIUS externo radius1 como servidor predeterminado de WebAuth. Especificar los siguientes ajustes de SSL:
Nmero IDX (1 en este ejemplo) de un certificado cargado previamente en el dispositivo de seguridad Cifrados DES_SHA-1 Puerto SSL nmero 2020
Luego configurar una directiva de trfico entrante que exija autenticacin mediante el mtodo WebAuth + SSL para todo el trfico que pase de la zona Untrust a la zona Trust.
NOTA:
Para obtener ms informacin sobre cmo obtener y cargar certificados digitales en un dispositivo de seguridad, consulte Criptografa de claves pblicas en la pgina 5-19. Por lo tanto, para que un usuario pueda iniciar trfico hacia la red interna, primero deber establecer una conexin HTTPS a https://1.1.1.50:2020 e iniciar una sesin con un nombre de usuario y contrasea. Entonces, el dispositivo de seguridad reenviar todas las peticiones y respuestas de autenticacin de usuarios de WebAuth entre radius1 y los usuarios que intenten iniciar una sesin.
65
NOTA:
Para obtener ms informacin sobre el archivo de diccionario, consulte Archivo de diccionario de RADIUS en la pgina 22. Para obtener instrucciones sobre cmo cargar el archivo de diccionario en un servidor RADIUS, consulte la documentacin del servidor RADIUS. 2. Cree el grupo de usuarios auth_grp5 en el servidor de autenticacin radius1 y agrguele cuentas de usuarios de autenticacin. WebUI
1. Servidor de autenticacin
Configuration > Auth > Auth Servers > New Introduzca los siguientes datos y haga clic en OK:
Name: radius1 IP/Domain Name: 10.20.1.100 Backup1: 10.20.1.110 Backup2: 10.20.1.120 Timeout: 30 Account Type: Auth RADIUS: (seleccione) RADIUS Port: 4500 Shared Secret: A56htYY97k
2. WebAuth
Configuration > Auth > WebAuth: Seleccione radius1 en la lista desplegable WebAuth Server y haga clic en Apply. Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
WebAuth: (seleccione) IP: 1.1.1.50 SSL Only: (seleccione)
3. SSL
Configuration > Admin > Management: Introduzca los siguientes datos y haga clic en OK:
HTTPS (SSL) Port: 2020 Certificate: (seleccione el certificado previamente cargado) Cipher: DES_SHA-1
4. Grupo de usuarios
Objects > Users > External Groups > New: Introduzca los siguientes datos y haga clic en OK:
Group Name: auth_grp5 Group Type: Auth
66
5.
Directiva
Policy > Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Permit
> Advanced: Introduzca los siguientes datos y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
Authentication: (seleccione) WebAuth: (seleccione) User Group: (seleccione), External Auth Group - auth_grp5
CLI
1. Servidor de autenticacin
set auth-server radius1 type radius set auth-server radius1 account-type auth set auth-server radius1 server-name 10.20.1.100 set auth-server radius1 backup1 10.20.1.110 set auth-server radius1 backup2 10.20.1.120 set auth-server radius1 timeout 30 set auth-server radius1 radius port 4500 set auth-server radius1 radius secret A56htYY97kl
NOTA:
Para obtener ms informacin sobre el archivo de diccionario de RADIUS, consulte Archivo de diccionario de RADIUS en la pgina 22. Para obtener instrucciones sobre cmo cargar el archivo de diccionario en un servidor RADIUS, consulte la documentacin del servidor RADIUS.
2. WebAuth
set webauth server radius1 set interface ethernet3 webauth-ip 1.1.1.50 set interface ethernet3 webauth ssl-only
3. SSL
ssl port 2020 ssl cert 1 ssl encrypt des sha-1 ssl enable
Grupo de usuarios
set user-group auth_grp5 location external set user-group auth_grp5 type auth
67
5.
Directiva
set policy top from untrust to trust any any any permit webauth user-group auth_grp5 save
68
Captulo 5
Usuarios y grupos de usuarios IKE en esta pgina Usuarios y grupos de usuarios XAuth en la pgina 72
NOTA:
Para obtener ms informacin y ejemplos para IKE y L2TP, consulte el Volumen 5: Redes privadas virtuales.
Un certificate en el cual uno o ms de los valores que aparecen en los campos del nombre completo (DN) o en el campo SubAltName coincida con la identificacin del usuario IKE configurada en el dispositivo de seguridad Una preshared key y una IKE ID con la que el dispositivo de seguridad pueda generar correctamente una clave previamente compartida idntica a partir de la identificacin IKE recibida y de un valor inicial de clave previamente compartida almacenado en el dispositivo de seguridad
NOTA:
Como ejemplo de IKE ID con la versin 1 de la notacin de sintaxis abstracta, (ASN, Abstract Syntax Notation), el formato del nombre completo (ASN1-DN) es CN=joe,OU=it,O=juniper,L=sunnyvale,ST=ca,C=us,E=joe@juniper.net. Har referencia a un usuario o grupo de usuarios IKE en una configuracin de puerta de enlace AutoKey IKE. Reuniendo en un grupo a los usuarios IKE que requieran configuraciones similares de puerta de enlace y de tnel, solamente necesitar definir una puerta de enlace que haga referencia al grupo (y a un tnel VPN que haga referencia a esa puerta de enlace), en lugar de establecer una puerta de enlace y un tnel para cada usuario IKE. A menudo resulta poco prctico crear cuentas de usuario separadas para cada host. En tales casos, puede crear un grupo de usuarios IKE que solamente tenga un miembro, al que se har referencia como usuario del grupo con identificacin IKE. La identificacin IKE de ese usuario contendr un conjunto de valores que deben estar presentes en las definiciones de identificacin IKE de los usuarios IKE de acceso telefnico. Si la identificacin IKE de un usuario remoto de acceso telefnico coincide con la identificacin IKE del usuario del grupo con esa misma identificacin, ScreenOS autentica a ese usuario remoto. Para obtener ms informacin, consulte Identificacin IKE de grupo en la pgina 5-188.
NOTA:
Las cuentas de usuarios IKE y de grupos de usuarios IKE slo se pueden almacenar en la base de datos local.
Amy: direccin de correo electrnico (nombre de dominio completo para el usuario o U-FQDN): amy@juniper.net Basil: direccin IP: 3.3.1.1 Clara: nombre de dominio completo (FQDN): www.juniper.net Desmond: cadena ASN1-DN: CN=des,OU=art,O=juniper,L=sunnyvale,ST=ca,C=us,E=des@juniper.net
WebUI Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK:
User Name: Amy Status: Enable IKE User: (seleccione) Simple Identity: (seleccione) IKE ID Type: AUTO IKE Identity: amy@juniper.net
70
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK:
User Name: Basil Status: Enable IKE User: (seleccione) Simple Identity: (seleccione) IKE ID Type: AUTO IKE Identity: 3.3.1.1
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK:
User Name: Clara Status: Enable IKE User: (seleccione) Simple Identity: (seleccione) IKE ID Type: AUTO IKE Identity: www.juniper.net
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK:
User Name: Desmond Status: Enable IKE User: (seleccione) Use Distinguished Name for ID: (seleccione) CN: des OU: art Organization: juniper Location: sunnyvale State: ca Country: us E-mail: des@juniper.net
CLI
set set set set user Amy ike-id u-fqdn amy@juniper.net user Basil ike-id ip 3.3.1.1 user Clara ike-id fqdn www.juniper.net user Desmond ike-id wildcard CN=des,OU=art,O=juniper,L=sunnyvale,ST=ca,C=us,E=des@juniper.net save
Seleccione Basil y utilice el botn << para trasladarlo de la columna Available Members a la columna Group Members. Seleccione Clara y utilice el botn << para trasladarla de la columna Available Members a la columna Group Members. Seleccione Desmond y utilice el botn << para trasladarlo de la columna Available Members a la columna Group Members. CLI
set user-group set user-group set user-group set user-group set user-group save ike_grp1 location local ike_grp1 user amy ike_grp1 user basil ike_grp1 user clara ike_grp1 user desmond
VPN de acceso telefnico basada en directivas, AutoKey IKE en la pgina 5-165 Creacin de una identificacin IKE de grupo (certificados) en la pgina 5-193 Identificacin IKE de grupo con certificados en la pgina 5-189
NOTA:
La mscara de red asignada es siempre 255.255.255.255 y no puede ser modificada. Un usuario o grupo de usuarios XAuth es uno o varios usuarios remotos que se autentican al conectarse al dispositivo de seguridad a travs de un tnel VPN de AutoKey IKE y, opcionalmente, pueden recibir ajustes TCP/IP del dispositivo de seguridad. Mientras que la autenticacin de los usuarios IKE es en realidad una autenticacin de puertas de enlace o clientes VPN, la autenticacin de los usuarios XAuth consiste en autenticar a los individuos en s. Los usuarios XAuth deben introducir informacin que supuestamente slo ellos conocen, es decir, su nombre de usuario y contrasea.
72
El cliente NetScreen-Remote puede utilizar los ajustes TCP/IP que recibe para crear un adaptador virtual y enviar trfico VPN, mientras que para el trfico no VPN utilizar los ajustes del adaptador de red TCP/IP proporcionados por el proveedor de servicios de Internet o por el administrador de red. Al asignar direcciones IP conocidas a los usuarios remotos, se pueden definir rutas en el dispositivo de seguridad hacia esas direcciones a travs de interfaces de tnel especficas. Entonces, el dispositivo de seguridad puede garantizar que el enrutamiento de retorno llegue a la direccin IP del usuario remoto a travs del tnel VPN, no a travs de la puerta de enlace predeterminada. Las asignaciones de direcciones tambin permiten a un cortafuegos de bajada referirse a esas direcciones al crear directivas. Puede controlar cunto tiempo puede permanecer una direccin IP asociada a un determinado usuario XAuth con el ajuste XAuth lifetime.
NOTA:
Un adaptador virtual se compone de los ajustes TCP/IP (direccin IP, direcciones de servidores DNS, direcciones de servidores WINS) que el dispositivo de seguridad asigna a un usuario remoto durante la permanencia de una conexin de tnel VPN. Slo los clientes ScreenOS-Remote disponen de la funcionalidad de adaptador virtual. Las plataformas de seguridad de Juniper Networks no disponen de dicha funcin. ScreenOS es compatible con los siguientes aspectos de XAuth:
Autenticacin de usuarios XAuth locales y de usuarios XAuth externos Autenticacin de grupos de usuarios XAuth locales y de grupos de usuarios XAuth externos si estn almacenados en un servidor de autenticacin RADIUS Asignaciones de las direcciones IP, de los servidores DNS y de los servidores WINS a partir de un conjunto de direcciones IP para usuarios XAuth locales y usuarios XAuth externos almacenado en un servidor de autenticacin RADIUS Para configurar el dispositivo de seguridad con el fin de utilizar los ajustes XAuth predeterminados almacenados en un servidor RADIUS externo, ejecute cualquiera de los siguientes procedimientos:
WebUI: En la pgina VPNs > AutoKey Advanced > XAuth Settings, seleccione Query Client Settings on Default Server. CLI: Introduzca el comando set xauth default auth server cadena_nombre query-config.
El dispositivo de seguridad tambin puede utilizar los ajustes XAuth especficos de la puerta de enlace almacenados en un servidor RADIUS externo. Para configurar una puerta de enlace IKE especfica, ejecute cualquiera de los siguientes procedimientos:
WebUI: En la pgina VPNs > AutoKey Advanced > Gateway > New > Advanced, seleccione el nombre del servidor RADIUS en la lista desplegable External Authentication y seleccione Query Remote Setting. CLI: Introduzca el comando set ike gateway cadena_nombre xauth server cadena_nombre query-config.
73
Autenticacin slo sin asignaciones de direcciones, asignaciones de direcciones slo sin autenticacin (set ike gateway cadena_nombre xauth bypass-auth), y tanto autenticacin como asignaciones de direcciones combinadas.
Direccin IP de puerta de enlace Nombre de usuario Nmero de reintentos de la sesin Direccin asignada de IP de cliente desde el conjunto local de IP o desde el servidor RADIUS
Para obtener mayor informacin sobre cmo visualizar el registro de trfico, consulte el Volumen 3: Administracin
74
Figura 21: Operaciones para volver a introducir datos de la fase 1 y 2 y el perodo de vigencia de la direccin IP de XAuth
Perodo de vigencia de la direccin IP de XAuth Negociaciones de fase 1 IKE completadas. El usuario XAuth completa el primer inicio de sesin. Negociaciones de fase 2 IKE completadas. Nota: Desde 1:00:06 en adelante hay un flujo constante de trfico a travs del tnel VPN. 1:00:00 1:00:05 1:00:06 Vigencia de direccin IP XAuth: 10 horas Vigencia de SA de fase 1: 8 horas Vigencia de SA de fase 2: 60 min 60 minutos 60 min 60 min 60 min 60 min 60 min 60 min 60 min SA de fase 1 SA de fase 2 9:00:00 9:00:06 9:00:07 Vence la SA de fase 1. La SA de fase 2 caduca y desencadena la introduccin de datos de fase 1. El usuario XAuth completa el segundo inicio de sesin. Nueva introduccin de datos de la fase 2 IKE. 9:00:14 9:00:15
Cuando se produce la segunda operacin de XAuth, el usuario sigue teniendo asegurada la misma direccin IP porque el periodo de vigencia de la direccin IP de XAuth an no ha caducado.
1. La SA de fase 1 se establece con un perodo de vigencia de ocho horas y caduca despus de las primeras 8 horas. 2. El perodo de vigencia de la SA de fase 2 se establece en 60 minutos. Debido al retardo de 5 segundos que se produce durante las negociaciones iniciales de IKE mientras el usuario XAuth introduce su nombre de usuario y contrasea, la octava SA de fase 2 caduca 8 horas y 6 segundos despus de finalizar las negociaciones de la fase 1 (5 segundos para el inicio de sesin de XAuth + 1 segundo para las negociaciones de la fase 2). 3. Dado que hay trfico VPN activo, al caducar la octava SA de la fase 2 se provoca la nueva introduccin de datos de la SA de fase 1, que caduc 6 segundos antes; es decir, se producen las negociaciones (o renegociaciones) de la fase 1 de IKE. 4. Una vez completadas las renegociaciones de la fase 1 de IKE, el dispositivo de seguridad indica al usuario XAuth que vuelva a iniciar una sesin.
NOTA:
Para evitar que se repitan inicios de sesin despus del inicial, configure el tnel VPN con cualquier tiempo de inactividad distinto de 0 utilizando el comando CLI: set vpn nombre gateway nombre idletime nmero (en minutos). Si hay actividad de VPN al completarse las renegociaciones de la fase 1 de IKE, el dispositivo de seguridad no pide al usuario XAuth que vuelva a iniciar una sesin. Esta opcin permite al usuario descargar archivos de gran tamao, enviar o recibir secuencias multimedia (streams), as como participar en conferencias Web sin interrupciones. 5. Debido a que el perodo de vigencia de la direccin XAuth (10 horas) es superior al de la SA de fase 1, el usuario conserva la misma direccin IP, aunque despus de la siguiente introduccin de datos de fase 1 puede que se le asigne una direccin diferente.
75
Si el perodo de vigencia de la direccin XAuth fuese inferior al de la SA de fase 1, el dispositivo de seguridad asignara al usuario otra direccin IP, que podra ser igual o diferente a la direccin previamente asignada.
NOTA:
Si es crucial que siempre asigne la misma direccin IP a un usuario, puede especificarla en la configuracin del usuario. El dispositivo de seguridad le asignar entonces esa direccin en lugar de tomar otra al azar del conjunto de direcciones IP disponibles. Tenga en cuenta que la direccin elegida no debe pertenecer al conjunto de direcciones IP (IP pool), ya que el sistema podra asignarla a otro usuario, por lo que no estara disponible cuando se necesite. Para cambiar el perodo de vigencia de la direccin, ejecute cualquiera de los siguientes procedimientos:
(WebUI) VPNs > AutoKey Advanced > XAuth Settings: Introduzca un nmero (en minutos) en el campo Reserve Private IP for XAuth User y haga clic en Apply. (CLI) set xauth lifetime
nmero
Para desactivar la funcin de perodo de vigencia de la direccin, introduzca el valor 1, que es el valor mnimo permitido.
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK:
User Name: x1 Status: Enable XAuth User: (seleccione) User Password: iDa84rNk Confirm Password: iDa84rNk
76
2.
VPN
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: gw1 Security Level: Custom Remote Gateway Type: Static IP Address: (seleccione), Address/Hostname: 2.2.2.2 Preshared Key: juniper1 Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de la puerta de enlace:
Security Level: Custom: (seleccione) Phase 1 Proposal: pre-g2-3des-sha Mode (Initiator): Main (Proteccin de la identificacin) XAuth Server: (seleccione) Local Authentication: (seleccione) User: (seleccione), x1
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn1 Security Level: Compatible Remote Gateway Tunnel: gw1
CLI
1. Usuario XAuth
set user x1 password aGgb80L0ws set user x1 type xauth unset user x1 type auth NOTA:
El comando CLI set user cadena_nombre password cadena_contrasea crea un usuario de autenticacin. Para crear un usuario de slo XAuth, debe definirlo como usuario XAuth (set user cadena_nombre type xauth) y eliminar la definicin de usuario de autenticacin (unset user cadena_nombre type auth).
2. VPN
set ike gate gw1 ip 2.2.2.2 main outgoing-interface ethernet3 preshare juniper1 proposal pre-g2-3des-sha set ike gateway gw1 xauth server Local user x1 set vpn vpn1 gateway gw1 sec-level compatible save
77
Objects > Users > Local Groups > New: Escriba xa-grp1 en el campo Group Name, haga lo siguiente y luego haga clic en OK: Seleccione x1 y utilice el botn << para trasladarlo de la columna Available Members a la columna Group Members.
2. VPN
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: gw2 Security Level: Custom Remote Gateway Type: Static IP Address: (seleccione), Address/Hostname: 2.2.2.2 Preshared Key: juniper2 Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de la puerta de enlace:
Phase 1 Proposal: pre-g2-3des-sha Mode (Initiator): Main (Proteccin de la identificacin) XAuth Server: (seleccione) Local Authentication: (seleccione) User Group: (seleccione), xa-grp1
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn2 Security Level: Compatible Remote Gateway Tunnel: Predefined: (seleccione), gw2
78
CLI
1. Grupo de usuarios XAuth
set ike gate gw2 ip 2.2.2.2 main outgoing-interface ethernet3 preshare juniper2 proposal pre-g2-3des-sha set ike gateway gw2 xauth server Local user-group xa-grp1 set vpn vpn2 gateway gw2 sec-level compatible save
Configuration > Auth > Auth Servers > New Introduzca los siguientes datos y haga clic en OK:
Name: securid1 IP/Domain Name: 10.20.2.100 Backup1: 10.20.2.110 Timeout: 60 Account Type: XAuth SecurID: (seleccione) Client Retries: 3 Client Timeout: 10 segundos Authentication Port: 15000 Encryption Type: DES User Duress: No
2. Usuario XAuth
Defina el usuario de autenticacin xa-1 con la contrasea iNWw10bd01 en el servidor de autenticacin SecurID externo securid1.
79
3.
VPN
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: gw3 Security Level: Custom Remote Gateway Type: Static IP Address: (seleccione), Address/Hostname: 2.2.2.2 Preshared Key: juniper3 Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de la puerta de enlace:
Phase 1 Proposal: pre-g2-3des-sha Mode (Initiator): Main (Proteccin de la identificacin) XAuth Server: (seleccione) External Authentication: (seleccione), securid1 User: (seleccione) Name: xa-1
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn3 Security Level: Compatible Remote Gateway Tunnel: Predefined: (seleccione), gw3
CLI
1. Servidor de autenticacin SecurID externo
set auth-server securid1 type securid set auth-server securid1 server-name 10.20.2.100 set auth-server securid1 backup1 10.20.2.110 set auth-server securid1 timeout 60 set auth-server securid1 account-type xauth set auth-server securid1 securid retries 3 set auth-server securid1 securid timeout 10 set auth-server securid1 securid auth-port 15000 set auth-server securid1 securid encr 1 set auth-server securid1 securid duress 0
2. Usuario XAuth
Defina el usuario de autenticacin xa-1 con la contrasea iNWw10bd01 en el servidor de autenticacin SecurID externo securid1.
3. VPN
set ike gate gw3 ip 2.2.2.2 main outgoing-interface ethernet3 preshare juniper3 proposal pre-g2-3des-sha set ike gateway gw3 xauth server securid1 user xa-1 set vpn vpn3 gateway gw3 sec-level compatible save
80
NOTA:
La configuracin del servidor de autenticacin de RADIUS es casi idntica a la descrita en el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34, salvo que en este ejemplo solamente se especificar xauth como tipo de cuenta de usuario. Alimentar el grupo de usuarios XAuth llamado xa-grp2 solamente con los usuarios XAuth del servidor RADIUS, dejando el grupo vaco en el dispositivo de seguridad. Los miembros de este grupo son distribuidores en una oficina remota que necesitan acceso a los servidores FTP de la LAN corporativa. Agregar una entrada en la libreta de direcciones de la zona Untrust para el sitio remoto con la direccin IP 10.2.2.0/24 y lo llamar distribuidor1. Tambin introducir una direccin en la libreta de direcciones de la zona Trust para el servidor FTP rsl-srv1 con la direccin IP 10.1.1.5/32. Configurar un tnel VPN hacia 2.2.2.2 para autenticar a los usuarios XAuth del grupo de usuarios xa-grp2. Asignar el nombre gw4 a la puerta de enlace remota, especificar el modo principal y la propuesta pre-g2-3des-sha para las negociaciones de fase 1 y utilizar la clave previamente compartida juniper4. Asignar el nombre vpn4 al tnel VPN y especificar el conjunto de propuestas Compatible para las negociaciones de fase 2. Elegir la interfaz ethernet3 de la zona Untrust como interfaz de salida. Finalmente, crear una directiva que permita el trfico FTP desde el usuario distribuidor1 de la zona Untrust a travs de vpn4 hacia rsl-svr1 en la zona Trust. Servidor RADIUS 1. Cargue el archivo de diccionario de RADIUS en el servidor RADIUS.
NOTA:
Para obtener ms informacin sobre el archivo de diccionario de RADIUS, consulte el Archivo de diccionario de RADIUS en la pgina 22. Para obtener instrucciones sobre cmo cargar el archivo de diccionario en un servidor RADIUS, consulte la documentacin del servidor RADIUS. 2. Introduzca el grupo de usuarios de autenticacin xa-grp2 en el servidor de autenticacin externo radius1 y alimntelo con cuentas de usuarios XAuth.
81
WebUI
1. Servidor de autenticacin
Configuration > Auth > Auth Servers > New Introduzca los siguientes datos y haga clic en OK:
Name: radius1 IP/Domain Name: 10.20.1.100 Backup1: 10.20.1.110 Backup2: 10.20.1.120 Timeout: 30 Account Type: XAuth RADIUS: (seleccione) RADIUS Port: 4500 Shared Secret: A56htYY97kl
2. Grupo de usuarios externo
Objects > Users > External Groups > New: Introduzca los siguientes datos y haga clic en OK:
Group Name: xa-grp2 Group Type: XAuth
3. Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: distribuidor1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.0/24 Zone: Untrust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: rsl-svr1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.5/32 Zone: Trust
4. VPN
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: gw4 Security Level: Custom Remote Gateway Type: Static IP Address: (seleccione), Address/Hostname: 2.2.2.2 Preshared Key: juniper4 Outgoing Interface: ethernet3
82
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de la puerta de enlace:
Phase 1 Proposal: pre-g2-3des-sha Mode (Initiator): Main (Proteccin de la identificacin) XAuth Server: (seleccione) External Authentication: (seleccione), securid1 User Group: (seleccione) Name: xa-grp2
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn4 Security Level: Compatible Remote Gateway: Predefined: (seleccione), gw4
5. Directiva
Policy > Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), distribuidor1 Destination Address: Address Book Entry: (seleccione), rsl-svr1 Servicio: FTP-Get Action: Tunnel Tunnel VPN: vpn4 Modify matching bidirectional VPN policy: (anule la seleccin) Position at Top: (seleccione)
CLI
1. Servidor de autenticacin
set auth-server radius1 type radius set auth-server radius1 account-type xauth set auth-server radius1 server-name 10.20.1.100 set auth-server radius1 backup1 10.20.1.110 set auth-server radius1 backup2 10.20.1.120 set auth-server radius1 timeout 30 set auth-server radius1 radius port 4500 set auth-server radius1 radius secret A56htYY97kl
2. Grupo de usuarios externo
set user-group xa-grp2 location external set user-group xa-grp2 type xauth
3. Direccin
set address untrust distribuidor1 10.2.2.0/24 set address trust rsl-svr1 10.1.1.5/32
4. VPN
set ike gate gw4 ip 2.2.2.2 main outgoing-interface ethernet3 preshare juniper4 proposal pre-g2-3des-sha set ike gateway gw4 xauth server radius1 user-group xa-grp2 set vpn vpn4 gateway gw4 sec-level compatible
83
5.
Directiva
set policy top from untrust to trust distribuidor1 rsl-svr1 ftp-get tunnel vpn vpn4 save
NOTA:
Tambin puede utilizar un servidor de autenticacin RADIUS externo para la autenticacin de usuarios XAuth y la asignacin de direcciones. Puede utilizar un servidor de autenticacin SecurID o LDAP externo slo para la autenticacin XAuth (no para la asignacin de direcciones). Para la autenticacin de usuarios IKE solamente se puede utilizar la base de datos local. Cuando un usuario IKE/XAuth establece una conexin VPN de acceso telefnico al dispositivo de seguridad, ste autentica al usuario IKE (es decir, al dispositivo cliente) por medio de una identificacin IKE y un certificado RSA durante las negociaciones de la fase 1. A continuacin, el dispositivo de seguridad autentica al usuario XAuth (es decir, a la persona que est utilizando el dispositivo) con un nombre de usuario y una contrasea y le asigna las direcciones de IP, de servidores DNS y de los servidores WINS entre las negociaciones de la fase 1 y de la fase 2. Crear un grupo de usuarios local ixa-grp1. Luego definir dos usuarios IKE/XAuth llamados ixa-u1 (contrasea: ccF1m84s) e ixa-u2 (contrasea: C113g1tw) y los agregar al grupo, definiendo de este modo el tipo de grupo como IKE/XAuth. (La inclusin de otros usuarios IKE/XAuth al grupo no se incluye en este ejemplo.) Crear un conjunto de direcciones IP dinmicas (DIP) llamado xa-pool1 con el conjunto de direcciones 10.2.2.1 a 10.2.2.100. ste ser el conjunto de direcciones de las que el dispositivo de seguridad tomar una direccin IP para asignarla a cada usuario XAuth.
NOTA:
Para evitar problemas de enrutamiento y duplicaciones en la asignacin de direcciones, el rango DIP debe encontrarse en un espacio de direcciones distinto del de la zona a la que el usuario XAuth dirige el trfico. Configurar los siguientes ajustes predeterminados de XAuth:
Establezca el tiempo de espera de la direccin XAUTH en 480 minutos. Seleccione la base de datos local como servidor de autenticacin predeterminado. Habilite el protocolo de autenticacin de establecimiento de conexin por desafo (Challenge Handshake Authentication Protocol o CHAP), en el cual el dispositivo de seguridad enva un desafo (clave de encriptacin) al cliente remoto, que utiliza la clave para encriptar su nombre de inicio de sesin y contrasea.
84
Seleccione xa-pool1 como conjunto de DIP predeterminado. Defina las direcciones IP de los servidores DNS principal y secundario como 10.1.1.150 y 10.1.1.151, respectivamente. Defina las direcciones IP de los servidores WINS principal y secundario como 10.1.1.160 y 10.1.1.161, respectivamente.
Configurar una puerta de enlace IKE llamada ixa-gw1, haciendo referencia al grupo de usuarios ixa-grp1 y utilizando los ajustes predeterminados del servidor de autenticacin XAuth. Luego configurar un tnel VPN con el nombre ixa-tun1 y una directiva que permita el trfico desde ixa-grp1 a la zona Trust (direccin IP 10.1.1.0/24) a travs del tnel VPN ixa-tun1. WebUI
1. Usuarios y grupo de usuarios IKE/XAuth
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK:
User Name: ixa-u1 Status: Enable IKE User: (seleccione) Simple Identity: (seleccione) IKE ID Type: AUTO IKE Identity: u1@juniper.net XAuth User: (seleccione) User Password: ccF1m84s Confirm Password: ccF1m84s
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK:
User Name: ixa-u2 Status: Enable IKE User: (seleccione) Simple Identity: (seleccione) IKE ID Type: AUTO IKE Identity: u2@juniper.net XAuth User: (seleccione) User Password: C113g1tw Confirm Password: C113g1tw
Objects > Users > Local Groups > New: Escriba ixa-grp1 en el campo Group Name, haga lo siguiente y luego haga clic en OK: Seleccione ixa-u1 y utilice el botn << para trasladarlo de la columna Available Members a la columna Group Members. Seleccione ixa-u2 y utilice el botn << para trasladarlo de la columna Available Members a la columna Group Members.
85
2.
Conjunto de direcciones IP
Objects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK:
IP Pool Name: xa-pool1 Start IP: 10.2.2.1 End IP: 10.2.2.100
3. Servidor de autenticacin XAuth predeterminado
VPNs > AutoKey Advanced > XAuth Settings: Introduzca los siguientes datos, luego haga clic en Apply:
Reserve Private IP for XAuth User: 480 minutos Default Authentication Server: Local Query Client Settings on Default Server: (anule la seleccin) CHAP: (seleccione) IP Pool Name: xa-pool1 DNS Primary Server IP: 10.1.1.150 DNS Secondary Server IP: 10.1.1.151 WINS Primary Server IP: 10.1.1.160 WINS Secondary Server IP: 10.1.1.161
4. Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Trust_Zone IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.0/24 Zone: Trust
5. VPN
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: ixa-gw1 Security Level: Custom Remote Gateway Type: Dialup User Group: (seleccione) Group: ixa-grp1
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de la puerta de enlace:
Phase 1 Proposal: rsa-g2-3des-sha Mode (Initiator): Dinmico Outgoing Interface: ethernet3 XAuth Server: (seleccione) User Default: (seleccione) User Group: (seleccione), ixa-grp1
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: ixa-vpn1 Security Level: Compatible Remote Gateway: Predefined: (seleccione), ixa-gw1
86
6.
Directiva
Policy > Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Dial-Up VPN Destination Address: Address Book Entry: (seleccione), Trust_Zone Servicio: ANY Action: Tunnel Tunnel VPN: ixa-vpn1 Modify matching bidirectional VPN policy: (anule la seleccin) Position at Top: (seleccione)
CLI
1. Usuarios y grupo de usuarios IKE/XAuth
set user-group ixa-grp1 location local set user ixa-u1 type ike xauth set user ixa-u1 ike-id u-fqdn u1@ns.com set user ixa-u1 password ccF1m84s unset user ixa-u1 type auth set user ixa-u2 type ike xauth set user ixa-u2 ike-id u-fqdn u2@juniper.net set user ixa-u2 password C113g1tw unset user ixa-u2 type auth
2. Conjunto de direcciones IP
xauth lifetime 480 xauth default auth server Local chap xauth default ippool xa-pool1 xauth default dns1 10.1.1.150 xauth default dns2 10.1.1.151 xauth default wins1 10.1.1.160 xauth default wins2 10.1.1.161
Direccin
set ike gateway ixa-gw1 dialup ixa-grp1 aggressive outgoing-interface ethernet3 proposal rsa-g2-3des-sha set ike gateway ixa-gw1 xauth server Local user-group ixa-grp1 set vpn ixa-vpn1 gateway ixa-gw1 sec-level compatible
6. Directiva
set policy top from untrust to trust Dial-Up VPN Trust_zone any tunnel vpn ixa-vpn1 save
87
Cliente XAuth
Un cliente XAuth es un usuario o dispositivo remoto que se conecta a un servidor XAuth a travs de un tnel VPN de AutoKey IKE. Un dispositivo de seguridad puede actuar como cliente XAuth, respondiendo a las peticiones de autenticacin de un servidor XAuth remoto. Finalizadas las negociaciones de la fase 1, el servidor XAuth remoto enva un mensaje de peticin de inicio de sesin al dispositivo de seguridad. Si el dispositivo de seguridad que acta como cliente XAuth inicia una sesin con xito indicando el nombre de usuario y la contrasea correctos, comienzan las negociaciones de la fase 2. Para configurar el dispositivo de seguridad como cliente XAuth, debe especificar lo siguiente:
Any: Permite el protocolo de autenticacin de establecimiento de conexin por desafo (CHAP) o el protocolo de autenticacin mediante contrasea (PAP) CHAP: Permite solamente CHAP
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de la puerta de enlace:
XAuth Client: (seleccione) User Name: beluga9 Password: 1234567 Allowed Authentication Type: (seleccione), CHAP Only
88
CLI
set ike gateway gw1 ip 2.2.2.2 Main outgoing-interface untrust preshare juniper1 sec-level standard set ike gateway gw1 xauth client chap username beluga9 password 1234567 save
SecurID
RADIUS
RADIUS
LDAP
LDAP
Puede incluso utilizar una combinacin de servidores de autenticacin, uno diferente por cada uno de los dos aspectos de L2TP. Por ejemplo, puede utilizar un servidor SecurID para autenticar a un usuario L2TP, pero realizar las asignaciones de direcciones desde la base de datos local. El ejemplo siguiente ilustra la aplicacin de dos servidores de autenticacin para procesar ambos componentes de L2TP. Para ver otros ejemplos, junto con un anlisis detallado de L2TP, consulte Protocolo de encapsulamiento de la capa 2 en la pgina 5-211.
Name: securid1 IP Address: 10.20.2.100 Backup1 IP Address: 10.20.2.110 Port: 15000 Client Retries: 3 Client Timeout: 10 segundos Idle Timeout: 60 minutes Account Type: L2TP Encryption: DES
IP Pool: I2tp1 (172.168.1.1 172.168.1.100) DNS Primary Server IP: 10.20.2.50 DNS Secondary Server IP: 10.20.2.51 PPP Authentication: CHAP WINS Primary Server IP: 10.20.2.60 WINS Secondary Server IP: 10.20.2.61
Despus de configurar el dispositivo de seguridad con los ajustes descritos, crear un tnel L2TP llamado l2tp-tun1 que har referencia a securid1 para la autenticacin y utilizar los ajustes predeterminados para la asignacin de direcciones. Debe tambin configurar el servidor de SecurID como se muestra anteriormente y compltelo con los usuarios L2TP. La Figura 23 muestra los ajustes de L2TP, ajustes del servidor SecurID Auth y la configuracin de red.
90
NOTA:
Una configuracin con slo L2TP no es segura. Para agregar seguridad a un tnel L2TP, recomendamos combinarlo con un tnel IPSec, que debe estar en modo de transporte, segn se describe en Configuracin de L2TP sobre IPSec en la pgina 5-224.
Autenticacin de usuarios Base de datos local Ajustes de L2TP Conjunto de direcciones IP: l2tp1 (172.168.1.1 172.168.1.100) DNS1: 10.20.2.50 DNS2: 10.20.2.51 WINS1: 10.20.2.60 WINS2: 10.20.2.61 Tnel L2TP: l2tp-tun1
Ajustes remotos
Backup 1
securid1
Internet l2tp-tun1
Usuario L2TP
WebUI
1. Servidor de autenticacin
Configuration > Auth > Auth Servers > New Introduzca los siguientes datos y haga clic en OK:
Name: securid1 IP/Domain Name: 10.20.2.100 Backup1: 10.20.2.110 Timeout: 60 Account Type: L2TP SecurID: (seleccione) Client Retries: 3 Client Timeout: 10 segundos Authentication Port: 15000 Encryption Type: DES Use Duress: No
2. Conjunto de direcciones IP
Objects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK:
IP Pool Name: l2tp1 Start IP: 172.168.1.1 End IP: 172.168.1.100
3.
VPNs > L2TP > Default Settings: Introduzca los siguientes datos, luego haga clic en Apply:
Default Authentication Server: Local IP Pool Name: l2tp1 PPP Authentication: CHAP DNS Primary Server IP: 10.20.2.50 DNS Secondary Server IP: 10.20.2.51 WINS Primary Server IP: 10.20.2.60 WINS Secondary Server IP: 10.20.2.61
4. Tnel L2TP
VPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic en OK:
Name: l2tp-tun1 Use Custom Settings: (seleccione) Authentication Server: securid1 Query Remote Settings: (anule la seleccin) Dialup User: (seleccione), Allow Any
CLI
1. Servidor de autenticacin
set auth-server securid1 type securid set auth-server securid1 server-name 10.20.2.100 set auth-server securid1 backup1 10.20.2.110 set auth-server securid1 timeout 60 set auth-server securid1 account-type l2tp set auth-server securid1 securid retries 3 set auth-server securid1 securid timeout 10 set auth-server securid1 securid auth-port 15000 set auth-server securid1 securid encr 1 set auth-server securid1 securid duress 0
2. Conjunto de direcciones IP
l2tp default auth server Local l2tp default ippool l2tp1 l2tp default ppp-auth chap l2tp dns1 10.20.2.50 l2tp dns1 10.20.2.51 l2tp wins1 10.20.2.60 l2tp wins2 10.20.2.61
Tnel L2TP
set l2tp l2tp-tun1 set l2tp l2tp-tun1 auth server securid1 save
92
Captulo 6
Vista general en la pgina 94 Tipos de EAP admitidos en la pgina 94 Habilitacin e inhabilitacin de la autenticacin 802.1X en la pgina 95 Configuracin de los ajustes de 802.1X en la pgina 96 Configuracin de las opciones del servidor de autenticacin en la pgina 100 Visualizacion de la informacin de 802.1X en la pgina 102 Ejemplos de configuracin en la pgina 104
Configuracin del dispositivo de seguridad con un cliente conectado directamente y el servidor RADIUS en la pgina 104 Configuracin de un dispositivo de seguridad con un concentrador entre un cliente y el dispositivo de seguridad en la pgina 105 Configuracin del servidor de autenticacin con una interfaz inalmbrica en la pgina 107
93
Vista general
EAP es un marco de autenticacin que admite mltiples mtodos de autenticacin. EAP se ejecuta habitualmente de forma directa sobre capas de conexin de datos, tales como el protocolo punto a punto (PPP) o IEEE 802, sin requerir direccionamiento a la capa 3 (Layer 3). El protocolo IEEE 802.1X funciona para el control de acceso basado en puertos; IKEv2 lo utiliza como una opcin de autenticacin. El protocolo EAP funciona en un dispositivo de seguridad configurado en modo transparente o de ruta (con o sin la traduccin de direcciones de red habilitada). El protocolo NSRP (NetScreen Redundancy Protocol) admite EAP en las redes con alta disponibilidad. Tambin estn disponibles los mensajes de registro y SNMP. El protocolo 802.1X est disponible para todas las plataformas. EAP funciona como la parte de autenticacin de PPP, que opera en la Capa 2. EAP autentica a un solicitante o cliente, despus que el solicitante enva las credenciales adecuadas y el servidor de autenticacin, generalmente un servidor RADIUS, define los permisos a nivel de usuario. Cuando utiliza EAP, toda la informacin de autenticacin pasa a travs del dispositivo de seguridad (conocido como un mtodo de filtro de la autenticacin de EAP). Toda la informacin del usuario se almacena en el servidor de autenticacin. Si utiliza un servidor RADIUS para autenticacin que admite atributos especficos de cada fabricante (VSA), puede utilizar la funcin de verificacin de zona, la cual verifica las zonas a las que pertenece el cliente.
EAP-TLS (Seguridad El EAP derivado ms comn y lo admiten la mayora de servidores de la capa de RADIUS. EAP-TLS utiliza certificados para la autenticacin del usuario y del transporte) servidor, as como para la generacin dinmica de claves para la sesin. EAP-TTLS (Seguridad de la capa de transporte de tnel) EAP-PEAP (EAP protegido) Requiere solamente una certificacin del lado del servidor y un nombre de usuario y contrasea vlidos para autenticacin. Steel-Belted RADIUS admite TTLS. Diseado para compensar la falta de funciones en EAP-TLS y para reducir la complejidad de su manejo. Requiere solamente certificaciones del lado del servidor y un nombre de usuario y contrasea vlidos. Permite el intercambio de claves, reanudacin de la sesin, fragmentacin y reensamblaje. Steel-Belted RADIUS y Microsoft IAS admiten el EAP protegido. Algoritmo que utiliza un proceso de desafo y respuesta para verificar los hash MD5.
94
Vista general
Interfaces Ethernet
Utilice uno de los siguientes procedimientos para habilitar 802.1X en la interfaz ethernet1. WebUI Network > Interfaces > List > Edit (ethernet1) > 802.1X: Haga clic en Enable. CLI Para habilitar 802.1X en la interfaz ethernet1, introduzca el siguiente comando.
set interface ethernet1 dot1x
Interfaces inalmbricas
Utilice uno de los siguientes procedimientos para habilitar 802.1X en una interfaz inalmbrica. Los siguientes procedimientos crean un SSID llamado hr, que utiliza WPA como el mtodo de autenticacin y TKIP como el mtodo de encriptacin. El servidor de autenticacin es un servidor RADIUS predeterminado llamado radius1. Despus se vincula el SSID a la interfaz inalmbrica 0/1. WebUI Wireless > SSID > Haga clic en New. Introduzca los siguientes datos y haga clic en OK.
SSID Name: hr WPA Based Authentication and Encryption Methods: Seleccione WPA, TKIP. Auth Server: Seleccione radius1. Wireless Interface Binding: Seleccione wireless0/1.
Dependiendo del dispositivo de seguridad, necesita activar los cambios que configur al hacer clic en el botn Activate Changes en la parte superior de la pgina o al seleccionar Wireless > Activate Changes. Para desactivar 802.1X en una interfaz inalmbrica, seleccione none desde la lista Wireless Interface Binding.
CLI Para habilitar automticamente 802.1X en una interfaz inalmbrica, debe crear y configurar un SSID y luego debe vincularlo a la interfaz inalmbrica.
set ssid name hr set ssid hr authentication wpa encryption tkip auth-server radius1 set ssid hr interface wireless0/1
Para desactivar 802.1X en la interfaz inalmbrica, introduzca uno de los siguientes comandos, el cual desvincula SSID de la interfaz.
unset ssid hr interface
Para los dispositivos de seguridad con dos transceptores, tambin puede introducir el siguiente comando, que desvincula la interfaz de la radio:
unset interface wireless0/1 wlan
Tambin puede desactivar 802.1X en una interfaz inalmbrica cambiando el mtodo de autenticacin por un SSID, que no requiere el uso de un servidor de autenticacin. Al desactivar la interfaz inalmbrica con el comando set interface interfaz_inalmbrica shutdown tambin desactiva 802.1X.
Valor predeterminado
auto virtual 16 (Ethernet); 128 (wireless) 3600 enable 3 3 5
Valores alternativos
force-unauthorized interface 1-256 0 -86400 disable 1-16 1-120 0-3600
96
En los siguientes ejemplos, se ajusta el estado del control del puerto a force-unauthorized para la interfaz ethernet1, que especifica que la interfaz bloquea todo el trfico e ignora los intentos de autenticacin del equipo. WebUI Network > Interfaces > List > Edit (para Ethernet1) > 802.1X: Introduzca los siguientes datos y haga clic en Apply.
Port Control: Seleccione Force-unauthorized.
CLI
set interface ethernet1 dot1x port-control force-unauthorized
Interface: Las direcciones MAC de los dispositivos conectados a la interfaz no estn autenticadas. Utilice esta opcin slo si un dispositivo confiable est conectado a la interfaz. Virtual: Las direcciones MAC de los dispositivos conectados a la interfaz estn autenticadas. Se descartan los paquetes de los dispositivos con direcciones MAC no autorizadas. Este modo es el predeterminado para una interfaz. Las interfaces inalmbricas utilizan slo el modo virtual.
En los siguientes ejemplos, ajustar el modo de control a la interfaz para la interfaz ethernet1. WebUI Network > Interfaces > List > Edit (Ethernet1) > 802.1X: Introduzca los siguientes datos y haga clic en Apply.
Control Mode: Interfaz
CLI
set interface ethernet1 dot1x control-mode interface
97
WebUI Network > Interfaces > List > Edit (Ethernet1) > 802.1X: Introduzca los siguientes datos y haga clic en Apply.
Maximum User: 24
CLI
set interface ethernet1 dot1x max-user 24
CLI
set interface ethernet1 dot1x reauth-period 7200
Para ajustar el periodo de reautenticacin a su valor predeterminado, utilice el comando unset interface nombre_interfaz dot1x reauth-period.
98
CLI
set interface ethernet1 dot1x retry
CLI Utilice el siguiente comando para configurar el nmero de paquetes de retransmisin enviados:
set interface ethernet1 dot1x retry count 8
CLI
set interface ethernet1 dot1x retry period 5
99
En los siguientes ejemplos, puede ajustar el periodo de inactividad a 30 segundos para la interfaz ethernet1. WebUI Network > Interfaces > List > Edit (Ethernet1) > 802.1X: Introduzca los siguientes datos y haga clic en Apply.
Silent Period: 30
CLI
set interface ethernet1 dot1x silent-period 30
Interfaces Ethernet
Puede especificar un servidor de autenticacin para las interfaces Ethernet modificando la configuracin de la interfaz. En los siguientes ejemplos, puede especificar el servidor radius1 existente como el servidor de autenticacin para la interfaz ethernet1. WebUI Network > Interfaces > List > Edit (Ethernet1) > 802.1X: Seleccione el servidor de autenticacin desde la lista Server Name, despus haga clic en Apply. CLI
set interface ethernet1 dot1x auth-server radius1
Interfaces inalmbricas
Puede especificar un servidor de autenticacin para las interfaces inalmbricas modificando la configuracin SSID. En los siguientes ejemplos, puede modificar el SSID llamado hr y especificar el servidor radius1 existente como el servidor de autenticacin para la interfaz wireless0/1. Wireless > SSID > Edit (para hr SSID): Haga clic en New. Dependiendo del dispositivo de seguridad, seleccione uno de los siguientes, luego haga clic en OK.
100
WEP Based Authentication and Encryption Methods: WEP Encryption: Seleccione Open; WEP Encryption; y radius1 desde la lista Auth Server. 802.1X Based Authentication and Encryption Methods: Seleccione 802.1X y despus seleccione radius1 desde la lista Auth Server.
CLI
set ssid hr authentication wpa encryption auto auth-server radius1
Para utilizar el WebUI para configurar la informacin del servidor de autenticacin, puede navegar a la pgina Auth Servers: Configuration > Auth > Auth Servers: Introduzca o seleccione el valor de la opcin correspondiente, luego haga clic en Apply.
101
CLI Para activar la verificacin de zona para el servidor RADIUS llamado radius1, introduzca el siguiente comando:
set auth-server radius1 radius zone-verification
Estado de 802.1X: habilitado o desactivado Modo: virtual o interfaz Nmero de usuarios (del nmero mximo de usuarios permitidos) Nmero de segundos hasta que se requiera reautenticacin Estado del modo de control del puerto
102
0 |
0 0
103
Ejemplos de configuracin
Esta seccin contiene los siguientes tres ejemplos:
Configuracin del dispositivo de seguridad con un cliente conectado directamente y el servidor RADIUS en la pgina 104 Configuracin de un dispositivo de seguridad con un concentrador entre un cliente y el dispositivo de seguridad en la pgina 105 Configuracin del servidor de autenticacin con una interfaz inalmbrica en la pgina 107
Configuracin del dispositivo de seguridad con un cliente conectado directamente y el servidor RADIUS
En este ejemplo, como se muestra en la Figura 24, la red tiene dos clientes conectados directamente al dispositivo de seguridad con los siguientes parmetros:
Cliente conectado directamente a la interfaz Ethernet1 Cliente conectado directamente a la interfaz Ethernet2
104
Ejemplos de configuracin
Interfaz Ethernet3 vinculada a la zona Trust con una direccin IP 10.1.40.3/24 Servidor RADIUS llamado radius1 (10.1.1.200) conectado a la interfaz Ethernet3 para autenticar usuarios con 802.1X, utilizando el puerto 1812 como el puerto de autenticacin y la opcin secret of mysecret
Debido a que dos clientes que estn conectados de forma directa son los nicos dispositivos conectados a las interfaces Ethernet1 y Ethernet2, el modo de control est configurado a interface.
Figura 24: Dispositivo de seguridad con un cliente conectado directamente y el servidor RADIUS
Servidor RADIUS
Dispositivo de seguridad
Ethernet3
Ethernet1 Ethernet2
set interface ethernet1 dot1x set interface ethernet2 dot1x set interface ethernet1 dot1x control-mode interface set interface ethernet2 dot1x control-mode interface set interface ethernet3 zone trust set interface ethernet3 ip 10.1.1.10/24 set set set set set auth-server radius1 account-type 802.1x auth-server radius1 type radius auth-server radius1 radius port 1812 auth-server radius1 radius secret mysecret auth-server radius1 server-name 10.1.1.200
set interface ethernet1 dot1x auth-server radius1 set interface ethernet2 dot1x auth-server radius1
NOTA:
No se admite la funcionalidad de 802.1X para un conmutador entre el dispositivo de seguridad y los clientes. Si tiene un conmutador conectado al dispositivo de seguridad, le recomendamos que desactive el 802.1X en la interfaz a la que est conectado el conmutador.
Ejemplos de configuracin
105
Concentrador conectado a la interfaz Ethernet2 (modo de control virtual) Concentrador conectado a la interfaz Ethernet1 (modo de control interface) Interfaz Ethernet3 vinculada a la zona Trust con una direccin IP 10.1.40.3/24 Servidor RADIUS llamado radius1 (10.1.1.200) conectado a la interfaz Ethernet3 para autenticar usuarios con 802.1X, utilizando el puerto 1812 como el puerto de autenticacin y la opcin secret of mysecret
Figura 25: Dispositivo de seguridad con un concentrador entre un cliente y el dispositivo de seguridad
Servidor RADIUS
set interface ethernet1 dot1x set interface ethernet2 dot1x set interface ethernet1 dot1x control-mode interface set interface ethernet2 dot1x control-mode virtual set interface ethernet3 zone trust set interface ethernet3 ip 10.1.1.10/24 set set set set set auth-server radius1 account-type 802.1x auth-server radius1 type radius auth-server radius1 radius port 1812 auth-server radius1 radius secret mysecret auth-server radius1 server-name 10.1.1.200
set interface ethernet1 dot1x auth-server radius1 set interface ethernet2 dot1x auth-server radius1
106
Ejemplos de configuracin
Clientes inalmbricos conectados a la interfaz inalmbrica Concentrador conectado a la interfaz Ethernet1 (modo de control interface) Interfaz Ethernet3 vinculada a la zona Trust con una direccin IP 10.1.40.3/24 Servidor RADIUS llamado radius1 (10.1.1.200) conectado a la interfaz Ethernet3 para autenticar usuarios con 802.1X, utilizando el puerto 1812 como el puerto de autenticacin y la opcin secret of mysecret SSID llamado ingenieros, utiliza autenticacin WPA, con encriptacin AES o TKIP, especificando a radius1 como el servidor de autenticacin y vinculado a la interfaz inalmbrica 1
Ethernet1
set interface ethernet1 dot1x set interface ethernet1 dot1x control-mode interface set interface ethernet3 zone trust set interface ethernet3 ip 10.1.1.10/24 set set set set set auth-server radius1 account-type 802.1x auth-server radius1 type radius auth-server radius1 radius port 1812 auth-server radius1 radius secret mysecret auth-server radius1 server-name 10.1.1.200
set interface ethernet1 dot1x auth-server radius1 set ssid name ingenieros set ssid ingenieros authentication wpa encryption auto auth-server radius1 set ssid ingenieros interface wireless0/1
Ejemplos de configuracin
107
108
Ejemplos de configuracin
ndice
A
adaptadores virtuales ....................................................73 asignacin de prioridades ............................................33 atributos especficos de cada fabricante .....................22 autenticacin dar prioridad ............................................................33 Autenticacin en infranet .............................................46 autenticacin en tiempo de ejecucin ........................48 autenticacin, servidores de vase servidores de autenticacin autenticacin, usuarios de vase usuarios de autenticacin
E
encriptacin, SecurID ....................................................29 entrada de la tabla de autenticacin ...........................45 expresiones de grupos ..............................................5 a 9 operadores .................................................................5 servidores admitidos ...............................................14 usuarios ......................................................................5
I
ID de fabricante, VSA.....................................................22 inactividad en sesin, tiempo de espera ....................19 Infranet Enforcer directiva, configuracin ..........................................44 introduccin .............................................................44
B
base de datos local tiempo de espera ....................................................16 tipos de usuarios admitidos ...................................16 usuarios IKE .............................................................70 bypass-auth ....................................................................74
L
L2TP asignaciones de direcciones...................................89 autenticacin de usuarios .......................................89 base de datos local ..................................................90 servidor de autenticacin externo.........................90 LDAP ........................................................................30 a 31 estructura .................................................................30 identificadores de nombre comn ........................31 nombres completos ................................................31 puertos del servidor ................................................31 tipos de usuarios admitidos ...................................31 locales, bases de datos ..........................................15 a 17
C
CHAP ...............................................................................84 claves manuales .............................................................14 clientes SecurID reintentos .................................................................29 tiempo de espera ....................................................29 cdigos token .................................................................28 configuracin de modos ...............................................74 Controlador de infranet acciones ....................................................................45 directivas de recursos .............................................45 introduccin .............................................................44
M
mensajes de bienvenida ...............................................10
N D
direcciones asignaciones L2TP...................................................89 Perodo de vigencia de la direccin IP para los usuarios XAuth ......................................................74 direcciones XAuth asignaciones ............................................................73 autenticacin, y .......................................................84 perodo de vigencia de la direccin IP.......... 74 a 76 tiempo de espera ....................................................74 directiva de conexin para Intranet Enforcer.............44 nombres completos .......................................................31 nombres comunes .........................................................31
P
protocolo ligero de acceso a directorios vase LDAP protocolos, CHAP ...........................................................84
R
RADIUS ...................................................................19 a 23 archivo de diccionario ..............................................3
ndice
IX-I
archivos de diccionario .......................................... 22 objetos de servidor auth ......................................... 34 propiedades del objeto ........................................... 20 puertos ..................................................................... 20 secreto compartido ................................................. 20 tiempo de espera entre reintentos........................ 20 RADIUS, archivo de diccionario de ............................... 3 RFC 1777, Protocolo ligero de acceso a directorios ....31
T
TACACS+ objetos servidor de autenticacin .........................39 propiedades del objeto ...........................................33 puertos......................................................................33 reintentos de clienteS .............................................33 secreto compartido .................................................33 tiempo de espera de clientes .................................33 tiempo de espera entre reintentos ........................33 tiempo de espera usuarios administradores .......................................18 usuarios de autenticacin ......................................18 tiempo de espera por sesin inactiva .........................19 tiempo de inactividad de VPN .....................................75 Tipos de atributos VSA ..................................................23
S
ScreenOS ID de fabricante de RADIUS .................................. 22 SecurID ........................................................................... 28 autenticador ............................................................. 28 cdigos token .......................................................... 28 objeto servidor de autenticacin ........................... 36 opcin Use Duress .................................................. 29 puerto de autenticacin ......................................... 29 servidores ACE ........................................................ 29 tipos de encriptacin .............................................. 29 usuarios, tipos admitidos ....................................... 30 seguridad asignacin de prioridades ...................................... 33 Servicio de autenticacin remota de usuarios de acceso telefnico vase RADIUS servidores de autenticacin ................................. 13 a 42 consultas de XAuth ................................................. 73 definicin ......................................................... 34 a 42 direcciones ............................................................... 18 enrutador ................................................................. 17 LDAP ................................................................. 30 a 31 nmero de identificacin ....................................... 18 nmero mximo ..................................................... 14 predeterminadas ............................................... 40, 41 proceso de autenticacin ....................................... 17 respaldo .................................................................... 18 SecurID ..................................................................... 28 SecurID, definicin ................................................. 36 tiempo de espera por inactividad ......................... 18 tipos .......................................................................... 18 vase servidores de autenticacin servidores de autenticacin, objetos de nombres ................................................................... 18 propiedades ............................................................. 18 servidores de autenticacin, RADIUS ................. 19 a 23 definicin ................................................................. 34 usuarios, tipos admitidos ....................................... 21 servidores de autenticacin, TACACS+ definicin ................................................................. 39 servidores, SecurID ACE ............................................... 29 solucin de control de acceso unificado vista general de ................................................. vii, 43 SSL, con WebAuth ......................................................... 65
U
usuarios administrador, tiempo de espera ..........................18 administradores ........................................................2 de mltiples tipos ......................................................4 grupos, servidores admitidos ................................14 IKE vase usuarios IKE L2TP .................................................................. 89 a 92 WebAuth ..................................................................14 XAuth ................................................................ 72 a 87 usuarios administradores ...............................................2 dar prioridad a la autenticacin ............................33 privilegios desde RADIUS .........................................3 servidores admitidos ..............................................14 tiempo de espera ....................................................18 usuarios autorizados, autenticacin de previa a la directiva.................................................49 punto de .....................................................................1 servidores de autenticacin, con...........................14 usuarios de autenticacin ..................................... 47 a 68 administradores ........................................................2 base de datos local .......................................... 15 a 17 clave manual ............................................................14 de mltiples tipos ......................................................4 en directivas ............................................................48 grupos .................................................................47, 50 IKE ......................................................................14, 69 inicio de sesin, con diferentes nombres ..............5 L2TP ..........................................................................89 servidores admitidos ..............................................14 tiempo de espera ....................................................18 tipos de usuarios .....................................................13 tipos y aplicaciones ............................................. 1 a 5 vase usuarios de autenticacin WebAuth ..................................................................14 XAuth ........................................................................72
IX-II
ndice
ndice
usuarios de autenticacin, tiempo de ejecucin autenticacin ...........................................................48 externos, usuarios ...................................................54 grupo de usuarios, externos ..................................56 grupos de usuarios locales .....................................53 locales, usuarios ......................................................51 proceso de autenticacin .......................................49 usuarios de autenticacin, WebAuth ...........................49 con SSL (externos, grupos de usuarios) ................65 grupo de usuarios, externos ..................................62 grupos de usuarios locales .....................................61 usuarios IKE ..................................................... 14, 69 a 72 con otros tipos de usuario ........................................4 definicin .................................................................70 grupos .......................................................................70 grupos, definir .........................................................71 grupos, y...................................................................69 identificacin IKE ..............................................69, 84 servidores admitidos ..............................................14 usuarios L2TP .................................................................89 con XAuth ..................................................................4 servidores admitidos ..............................................14 usuarios XAuth ....................................................... 72 a 87 autenticacin ...........................................................72 autenticacin de grupo local ..................................78 autenticacin local ..................................................76 con L2TP ....................................................................4 servidores admitidos ..............................................14 usuarios, IKE vase usuarios IKE
V
VSA ..................................................................................22
W
WebAuth ...................................................................14, 49 con SSL (externos, grupos de usuarios) ................65 grupos de usuarios externos ..................................62 grupos de usuarios locales .....................................61 proceso de autenticacin previo a directivas .......49
X
XAuth adaptadores virtuales ..............................................73 asignaciones TCP/IP ................................................74 autenticacin del cliente .........................................88 bypass-auth ..............................................................74 consultar ajustes remotos.......................................73 definicin..................................................................72 ScreenOS como cliente...........................................88 tiempo de inactividad de VPN ...............................75 XAuth, direcciones asignaciones .............................................................73 autenticacin, y .......................................................84 tiempo de espera.....................................................74 XAuth, externo autenticacin de grupo de usuarios ......................81 autenticacin de usuarios .......................................79 consultas al servidor de autenticacin ..................73
ndice
IX-III
IX-IV
ndice