NetScreen conceptos y ejemplos

Manual de referencia de ScreenOS

Volumen 1: Vista general

ScreenOS 5.1.0
Ref. 093-1366-000-SP
Revisión B
Copyright Notice
Copyright © 2004 Juniper Networks, Inc. All rights reserved.
Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen
Technologies, GigaScreen, and the NetScreen logo are registered trademarks
of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT,
NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208,
NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO,
NetScreen-Global PRO Express, NetScreen-Remote Security Client,
NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100,
NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen
ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and
registered trademarks are the property of their respective companies.
Information in this document is subject to change without notice.
No part of this document may be reproduced or transmitted in any form or by
any means, electronic or mechanical, for any purpose, without receiving written
permission from:
Juniper Networks, Inc.
ATTN: General Counsel
1194 N. Mathilda Ave.
Sunnyvale, CA 94089-1206
FCC Statement
The following information is for FCC compliance of Class A devices: This
equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to
provide reasonable protection against harmful interference when the equipment
is operated in a commercial environment. The equipment generates, uses, and
can radiate radio-frequency energy and, if not installed and used in accordance
with the instruction manual, may cause harmful interference to radio
communications. Operation of this equipment in a residential area is likely to
cause harmful interference, in which case users will be required to correct the
interference at their own expense.
The following information is for FCC compliance of Class B devices: The
equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with NetScreen’s installation
instructions, it may cause interference with radio and television reception. This
equipment has been tested and found to comply with the limits for a Class B
digital device in accordance with the specifications in part 15 of the FCC rules.
These specifications are designed to provide reasonable protection against
such interference in a residential installation. However, there is no guarantee
that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television
reception, which can be determined by turning the equipment off and on, the
user is encouraged to try to correct the interference by one or more of the
following measures:
• Reorient or relocate the receiving antenna.
• Increase the separation between the equipment and receiver.
• Consult the dealer or an experienced radio/TV technician for help.
• Connect the equipment to an outlet on a circuit different from that to
which the receiver is connected.
Caution: Changes or modifications to this product could void the user's
warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE
ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION
PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED
HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE
SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR
NETSCREEN REPRESENTATIVE FOR A COPY.
Contenido
Contenido
Volumen 1: Vista general
Contenido....................................................................... i
Prefacio ..................................................................... xxix
Organización de este manual ............................... xxxi
Convenciones .......................................................xxxvi
Convenciones de la interfaz de línea
de comandos (CLI) ................................................. xxxvi
Convenciones de la interfaz gráfica (WebUI) .........xxxvii
Volumen 2: Fundamentos
Contenido....................................................................... i
Prefacio ........................................................................ ix
Convenciones ............................................................ x
Convenciones de la interfaz de línea
de comandos (CLI) ....................................................... x
Convenciones de la interfaz gráfica (WebUI) .............. xi
Convenciones para las ilustraciones.......................... xiii
Convenciones de nomenclatura y conjuntos
de caracteres.............................................................xiv
Documentación de NetScreen
de Juniper Networks ................................................. xv
Capítulo 1 Arquitectura de ScreenOS...........................1
Zonas de seguridad ...................................................2
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 1: Vista general
Convenciones para las ilustraciones ...................... xxxix
Convenciones de nomenclatura y conjuntos
de caracteres .............................................................. xl
Documentación de NetScreen .................................xli
Apéndice A Glosario...................................................A-I
Índice ......................................................................... IX-I
Interfaces de zonas de seguridad .............................3
Interfaces físicas........................................................... 3
Subinterfaces ............................................................... 4
Enrutadores virtuales ..................................................5
Directivas....................................................................6
VPNs............................................................................9
Sistemas virtuales......................................................11
Secuencia de flujo de paquetes .............................12
Ejemplo (1ª parte): Empresa con seis zonas ........ 16
Ejemplo (2ª parte): Interfaces para seis zonas .... 18
Ejemplo (3ª parte): Dos dominios
de enrutamiento .................................................. 22
Ejemplo (4ª parte): Directivas .............................. 25
i
Contenido
Capítulo 2 Zonas ........................................................31
Zonas de seguridad .................................................34
Zona Global................................................................34
Opciones SCREEN .......................................................34
Zonas de túnel..........................................................35
Ejemplo: Asociar una interfaz de túnel
a una zona de túnel.............................................36
Configuración de zonas de seguridad y zonas
de túnel ....................................................................37
Creación de una zona ...............................................37
Modificación de una zona .........................................38
Eliminación de una zona............................................39
Zonas de función .....................................................40
Zona Null.....................................................................40
Zona MGT ...................................................................40
Zona HA ......................................................................40
Zona Self .....................................................................40
Zona VLAN ..................................................................40
Modos de puerto......................................................41
Establecimiento de los modos de puertos .................47
Ejemplo: Modo de puerto Home-Work.................48
Zonas en los modos “Home-Work” y
“Combined Port”.........................................................49
Ejemplo: Zonas Home-Work..................................51
Capítulo 3 Interfaces ..................................................53
Tipos de interfaces ...................................................55
Interfaces de zonas de seguridad..............................55
Físicas ...................................................................55
Subinterfaz............................................................55
Interfaces agregadas ..........................................56
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 2: Fundamentos
Interfaces redundantes........................................ 56
Interfaces de seguridad virtuales ........................ 56
Interfaces de zonas de función ................................. 57
Interfaz de administración ................................... 57
Interfaz de HA ...................................................... 57
Interfaces de túnel ..................................................... 58
Eliminar interfaces de túnel.................................. 62
Ejemplo: Eliminar una interfaz de túnel................ 62
Visualización de interfaces.......................................64
Tabla de interfaces.............................................. 64
Configuración de interfaces de la zona
de seguridad............................................................66
Asociación de una interfaz a una zona
de seguridad ............................................................. 66
Ejemplo: Asociar una interfaz .............................. 66
Direccionamiento de una interfaz de la zona
de seguridad L3 ......................................................... 67
Direcciones IP públicas........................................ 68
Direcciones IP privadas ....................................... 69
Ejemplo: Direccionamiento de una interfaz ........ 69
Desasociación de una interfaz de una zona
de seguridad ............................................................. 70
Ejemplo: Desasociar una interfaz ........................ 70
Modificación de interfaces........................................ 71
Ejemplo: Modificar los ajustes de la interfaz........ 72
Creación de subinterfaces ........................................ 73
Ejemplo: Subinterfaz en el sistema raíz ................ 73
Eliminación de subinterfaces ..................................... 74
Ejemplo: Eliminar una interfaz de la zona de
seguridad ............................................................ 74
Direcciones IP secundarias ......................................75
Propiedades de las direcciones IP secundarias ........ 75
Ejemplo: Crear una dirección IP secundaria....... 76
ii
Contenido
Interfaces loopback .................................................77
Ejemplo: Crear una interfaz loopback .................77
Uso de interfaces loopback .......................................78
Ejemplo: Interfaz loopback
para la administración.........................................78
Ejemplo: BGP en una interfaz loopback...............79
Ejemplo: VSIs en una interfaz loopback ...............79
Ejemplo: Interfaz loopback como interfaz
de origen .............................................................80
Cambios de estado de la interfaz ...........................81
Supervisión de la conexión física ...............................83
Seguimiento de direcciones IP ...................................84
Configuración del seguimiento de IP...................85
Ejemplo: Configuración del seguimiento
de IP de interfaz ...................................................87
Supervisión de interfaces............................................91
Ejemplo: Dos interfaces supervisadas ..................93
Ejemplo: Bucle de supervisión de interfaces........94
Supervisión de zonas de seguridad............................98
Interfaces inactivas y flujo de tráfico..........................99
Fallo en la interfaz de salida ..............................100
Fallo en la interfaz de entrada...........................103
Capítulo 4 Modos de las interfaces..........................107
Modo transparente ................................................108
Ajustes de zona.........................................................109
Zona VLAN ..........................................................109
Zonas de capa 2 predefinidas ..........................109
Reenvío de tráfico ....................................................110
Opciones “unicast” desconocidas ...........................112
Método de inundación ......................................113
Método ARP/Trace-Route....................................115
Ejemplo: Interfaz VLAN1 para administración.....119
Ejemplo: Modo transparente..............................122
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 2: Fundamentos
Modo NAT ...............................................................127
Tráfico NAT entrante y saliente ................................. 129
Ajustes de interfaz .................................................... 130
Ejemplo: Modo NAT............................................ 131
Modo de ruta .........................................................135
Ajustes de interfaz .................................................... 136
Ejemplo: Modo de ruta...................................... 137
Capítulo 5 Bloques para la construcción
de directivas..............................................................141
Direcciones ............................................................143
Entradas de direcciones .......................................... 144
Ejemplo: Agregar direcciones ........................... 144
Ejemplo: Modificar direcciones ......................... 145
Ejemplo: Eliminar direcciones ............................ 146
Grupos de direcciones ............................................ 146
Ejemplo: Crear un grupo de direcciones .......... 148
Ejemplo: Editar una entrada de grupo
de direcciones................................................... 149
Ejemplo: Eliminar un miembro y un grupo ......... 150
Servicios..................................................................151
Servicios predefinidos .............................................. 151
Servicios personalizados .......................................... 153
Ejemplo: Agregar un servicio personalizado ..... 154
Ejemplo: Modificar un servicio personalizado ... 155
Ejemplo: Eliminar un servicio personalizado ...... 155
Tiempos de espera de servicios............................... 156
Ejemplo: Establecer el tiempo de espera
de un servicio .................................................... 157
Servicios ICMP .......................................................... 158
Ejemplo: Definir un servicio ICMP....................... 159
RSH ALG.................................................................... 160
iii
Contenido
Sun Remote Procedure Call Application
Layer Gateway .........................................................160
Situaciones típicas de llamadas RPC .................160
Servicios Sun RPC ...............................................161
Ejemplo: Servicios Sun RPC.................................162
Microsoft Remote Procedure Call
Application Layer Gateway ......................................163
Servicios de MS RPC ...........................................164
Grupos de servicios MS RPC ...............................167
Ejemplo: Servicios para MS RPC .........................167
Real Time Streaming Protocol
Application Layer Gateway ......................................169
Métodos de petición RTSP ..................................171
Códigos de estado de RTSP ...............................173
Ejemplo: Servidor de medios en un
dominio privado.................................................175
Ejemplo: Servidor de medios en un
dominio público .................................................178
Protocolo H.323 para “Voice-over-IP”.......................181
Ejemplo: Equipo selector (“gatekeeper”) en
la zona Trust (modo “transparente” o “ruta”) ......181
Ejemplo: Equipo selector (“gatekeeper”) en
la zona Untrust (modo transparente o ruta) ........183
Ejemplo: Llamadas salientes con NAT ................186
Ejemplo: Llamadas entrantes con NAT ...............191
Ejemplo: Equipo selector en la zona Untrust
con NAT ..............................................................195
Protocolo de inicio de sesión (“Session Initiation
Protocol” o “SIP”) .......................................................200
Métodos de petición del protocolo SIP ..............201
Clases de respuestas SIP ....................................204
ALG – Application-Layer Gateway .....................206
SDP .....................................................................207
Creación de ojos de aguja ...............................208
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 2: Fundamentos
Tiempo de espera por inactividad
de la sesión........................................................ 211
Protección contra ataques SIP........................... 212
Ejemplo: SIP Protect Deny .................................. 212
Ejemplo: Tiempos de espera por inactividad
de señalización o de medios ............................ 213
Ejemplo: Protección contra inundaciones UDP . 213
Ejemplo: Máximo de conexiones SIP ................. 214
SIP con traducción de direcciones de red (NAT) ..... 215
Llamadas salientes ............................................ 216
Llamadas entrantes ........................................... 216
Llamadas reenviadas ........................................ 217
Terminación de la llamada ............................... 217
Mensajes de llamada Re-INVITE......................... 217
Temporizadores de sesiones de llamadas......... 218
Cancelación de la llamada.............................. 218
Bifurcación......................................................... 218
Mensajes del SIP ................................................ 219
Encabezados SIP ............................................... 219
Cuerpo SIP ......................................................... 223
Supuesto de NAT con el protocolo SIP ............... 223
Soporte de llamadas SIP entrantes utilizando
el servidor de registro del SIP ............................. 226
Ejemplo: Llamada entrante (DIP de interfaz) ..... 228
Ejemplo: Llamada entrante (conjunto de DIP)... 232
Ejemplo: Llamada entrante con MIP ................. 236
Ejemplo: Proxy en la zona privada .................... 239
Ejemplo: Proxy en la zona pública .................... 243
Ejemplo: Zona triple, proxy en DMZ ................... 247
Ejemplo: Untrust intrazonal ................................. 253
Ejemplo: Trust intrazonal..................................... 259
Ejemplo: VPN de malla completa para SIP........ 263
Administración del ancho de banda para
servicios de VoIP....................................................... 271
iv
Contenido
Grupos de servicios ..................................................274
Ejemplo: Crear un grupo de servicios ................275
Ejemplo: Modificar un grupo de servicios ..........276
Ejemplo: Eliminar un grupo de servicios.............277
Conjuntos de DIP....................................................278
Traducción de direcciones de puertos ..............279
Ejemplo: Crear un conjunto de DIP con PAT ......279
Ejemplo: Modificar un conjunto de DIP..............281
Direcciones DIP “sticky” ............................................281
Interfaz extendida y DIP............................................282
Ejemplo: Usar DIP en otra subred .......................282
Interfaz de bucle invertido ("loopback") y DIP ..........291
Ejemplo: DIP en una interfaz loopback ..............292
Grupos de DIP...........................................................297
Ejemplo: Grupo de DIP .......................................299
Tareas programadas..............................................301
Ejemplo: Tarea programada repetitiva..............301
Capítulo 6 Directivas ................................................305
Elementos básicos..................................................307
Directivas aplicadas...............................................329
Tres tipos de directivas ...........................................308
Directivas interzonales ..............................................308
Directivas intrazonales ..............................................309
Directivas globales ...................................................310
Listas de conjuntos de directivas............................311
Definición de directivas..........................................312
Directivas y reglas ....................................................312
Anatomía de una directiva ......................................314
ID ........................................................................315
Zonas..................................................................315
Direcciones ........................................................315
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 2: Fundamentos
Servicios ............................................................. 316
Acción ............................................................... 317
Aplicación ......................................................... 318
Nombre.............................................................. 318
Tunelización VPN ................................................ 319
Tunelización L2TP ............................................... 319
Deep Inspection ................................................ 320
Colocación al principio de la lista
de directivas ...................................................... 320
Traducción de direcciones de origen ............... 321
Traducción de direcciones de destino.............. 321
Autenticación de usuarios ................................. 321
Copia de seguridad de la sesión HA................. 324
Filtrado de URL ................................................... 325
Registro .............................................................. 325
Recuento ........................................................... 325
Umbral de alarma de tráfico ............................. 326
Tareas programadas ......................................... 326
Análisis antivirus.................................................. 326
Asignación de tráfico ........................................ 327
Visualización de directivas....................................... 329
Iconos de directivas .......................................... 329
Creación de directivas ............................................ 331
Ubicación de directivas..................................... 331
Ejemplo: Servicio de correo de directivas
interzonales........................................................ 332
Ejemplo: Conjunto de directivas interzonales.... 337
Ejemplo: Directivas intrazonales ........................ 344
Ejemplo: Directiva global .................................. 347
Introducción del contexto de una directiva ............ 348
Varios elementos por componente de directiva ..... 349
v
Contenido
Negación de direcciones ........................................351
Ejemplo: Negación de la dirección
de destino ..........................................................351
Modificación y desactivación de directivas ............355
Verificación de directivas.........................................356
Reordenamiento de directivas .................................357
Eliminación de una directiva....................................358
Capítulo 7 Asignación de tráfico..............................359
Aplicación de la asignación de tráfico .................360
Administración del ancho de banda a nivel
de directivas.............................................................360
Ejemplo: Asignar tráfico .....................................361
Establecimiento de las prioridades del servicio .....367
Ejemplo: Gestionar colas de prioridades ...........368
Capítulo 8 Parámetros del sistema ...........................375
Compatibilidad con DNS (sistema de nombres de
dominio) .................................................................377
Consulta DNS ............................................................378
Tabla de estado de DNS ..........................................379
Ejemplo: Servidor DNS y programación de
actualizaciones ..................................................380
Ejemplo: Establecer un intervalo
de actualización de DNS ...................................381
DNS dinámico...........................................................382
Ejemplo: Configuración de DDNS para
el servidor dyndns ..............................................383
Ejemplo: Configuración de DDNS para
el servidor de ddo ..............................................384
División de direcciones del DNS proxy .....................385
Ejemplo: Dividir peticiones de DNS ....................386
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 2: Fundamentos
DHCP: Protocolo de configuración dinámica
de hosts ..................................................................388
Servidor DHCP .......................................................... 390
Ejemplo: Dispositivo NetScreen como
servidor DHCP .................................................... 390
Opciones del servidor DHCP.............................. 396
Ejemplo: Opciones de servidor DHCP
personalizadas .................................................. 397
Servidor DHCP en un clúster de NSRP ................ 397
Detección del servidor DHCP............................. 398
Ejemplo: Activar la detección de
servidores DHCP................................................. 399
Ejemplo: Desactivar la detección de
servidores DHCP................................................. 399
Agente de retransmisión de DHCP ........................... 400
Ejemplo: Dispositivo NetScreen como
agente de retransmisión de DHCP .................... 401
Cliente DHCP............................................................ 406
Ejemplo: Dispositivo NetScreen
como cliente DHCP ........................................... 406
Propagación de los ajustes TCP/IP ........................... 408
Ejemplo: Reenviar ajustes TCP/IP........................ 409
PPPoE ......................................................................411
Ejemplo: Configurar PPPoE................................. 411
Ejemplo: Configurar PPPoE en las interfaces
principal y de respaldo de la zona Untrust........ 416
Múltiples sesiones PPPoE a través de una
sola interfaz .............................................................. 417
Interfaces no etiquetadas.................................. 418
Ejemplo: Múltiples instancias PPPoE ................... 419
PPPoE y alta disponibilidad ...................................... 422
Actualización o degradación de firmware ............423
vi
Contenido
Requisitos para actualizar o degradar firmware
del dispositivo ...........................................................424
Conexión del servidor de NetScreen-Security
Manager ............................................................425
Descarga de nuevo firmware...................................426
Carga de nuevo firmware..................................429
Mediante el cargador de arranque
o del sistema operativo......................................431
Actualización de dispositivos NetScreen
en una configuración NSRP......................................434
Actualización de dispositivos en una
configuración NSRP activa/pasiva .....................434
Actualizar dispositivos en una configuración
NSRP activa/activa .............................................439
Autenticar firmware y archivos DI .............................445
Obtención del certificado de autenticación.....445
Carga del certificado de autenticación ...........447
Autenticación de firmware de ScreenOS ...........448
Autenticación de un archivo de base
de datos de objetos de ataques DI ...................448
Descarga y carga de configuraciones .................450
Almacenamiento e importación de ajustes .............450
Retroactivación (“rollback”) de una configuración..452
Última configuración correcta conocida...........452
Retroactivación automática y manual de una
configuración.....................................................453
Carga de un nuevo archivo de configuración..454
Volumen 3: Administración
Contenido....................................................................... i
Prefacio ......................................................................... v
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 3: Administración
Bloqueo del archivo de configuración .................... 455
Inclusión de comentarios en un archivo
de configuración............................................... 456
Establecer Bulk-CLI de NetScreen-Security
Manager ................................................................458
Claves de licencia .................................................459
Ejemplo: Ampliar la capacidad de usuarios ..... 460
Registro y activación de los servicios
de suscripción ........................................................461
Servicio temporal ..................................................... 461
Paquete de AV, filtrado de URLs y DI incluido
con un dispositivo nuevo ......................................... 462
Actualización de AV, filtrado de URLs y DI en
un dispositivo existente............................................. 463
Sólo actualización de DI .......................................... 464
Reloj del sistema ....................................................465
Fecha y hora............................................................ 465
Huso horario ............................................................. 465
NTP ........................................................................... 466
Múltiples servidores NTP ..................................... 466
Desfase temporal máximo................................. 467
Protocolos NTP y NSRP ........................................ 468
Ejemplo: Configurar servidores NTP y un valor
de desfase horario máximo............................... 468
Servidores NTP seguros....................................... 469
Índice ......................................................................... IX-I
Convenciones ........................................................... vi
Convenciones de la interfaz de línea
de comandos (CLI) ......................................................vi
vii
Contenido
Convenciones de la interfaz gráfica (WebUI) ..............vii
Convenciones para las ilustraciones........................... ix
Convenciones de nomenclatura y conjuntos de
caracteres .................................................................... x
Documentación de NetScreen
de Juniper Networks .................................................. xi
Capítulo 1 Administración ............................................1
Administración a través de la interfaz de
usuario web................................................................3
Ayuda de la interfaz gráfica (WebUI)............................4
Copia de los archivos de ayuda a una
unidad local...........................................................4
Desvío de WebUI a la nueva ubicación
de la ayuda ...........................................................4
HTTP...............................................................................5
Identificación de sesión .........................................5
Secure Sockets Layer....................................................8
Configuración de SSL ...........................................10
Redireccionamiento de HTTP a SSL ......................12
Administración a través de la interfaz de línea
de comandos (CLI)...................................................14
Telnet ..........................................................................14
Conexiones Telnet seguras...................................15
Secure Shell ................................................................17
Requisitos del cliente............................................19
Configuración básica de SSH en el dispositivo
NetScreen.............................................................19
Autenticación .......................................................21
SSH y Vsys .............................................................23
Clave del host ......................................................24
Ejemplo: SSHv1 con PKA para inicios de sesión
automatizados .....................................................25
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 3: Administración
Secure Copy (SCP) ..................................................... 26
Consola serie ............................................................. 27
Puerto de módem................................................ 28
Administración a través de NetScreen-Security
Manager ..................................................................30
Inicio de la conectividad entre el agente
y Management System .............................................. 31
Habilitación, inhabilitación y desactivación
del agente ................................................................. 32
Cambio de la dirección del servidor
Management System ................................................. 33
Ejemplo: Establecer la dirección IP del
servidor principal ................................................. 33
Ajuste de los parámetros de informes ........................ 34
Ejemplo: Habilitar la generación de informes
de alarmas y estadísticas .................................... 35
Sincronización de la configuración ........................... 36
Ejemplo: Visualizar al estado
de la configuración............................................. 36
Ejemplo: Consultar el hash
de la configuración............................................. 37
Marca de hora de configuración.............................. 38
Ejemplo: Consultar la marca de hora de
configuración ...................................................... 38
Control del tráfico administrativo .............................39
Interfaces MGT y VLAN1 ............................................. 40
Ejemplo: Administración a través
de la interfaz MGT................................................ 40
Ejemplo: Administración a través
de la interfaz VLAN1 ............................................. 41
Interfaz administrativa ................................................ 42
Ejemplo: Ajuste de las opciones
de la interfaz administrativa ................................ 42
viii
Contenido
IP de administración ...................................................44
Ejemplo: Ajuste de las direcciones IP de
administración para múltiples interfaces .............45
Niveles de administración ........................................47
Administrador raíz .................................................47
Administrador de lectura/escritura .......................48
Administrador de sólo lectura ..............................48
Administrador de sistema virtual...........................48
Administrador de sólo lectura
del sistema virtual.................................................49
Definición de usuarios con permisos
de administrador ........................................................49
Ejemplo: Agregar un administrador
de sólo lectura .....................................................49
Ejemplo: Modificar un administrador ...................50
Ejemplo: Eliminar un administrador ......................50
Ejemplo: Borrar una sesión de administrador.......51
Tráfico administrativo seguro....................................52
Cambiar el número de puerto ...................................53
Ejemplo: Cambiar el número de puerto ..............53
Cambio de nombre y contraseña de inicio
de sesión del administrador .......................................54
Ejemplo: Cambiar el nombre de inicio de
sesión y la contraseña de un usuario
administrador .......................................................55
Ejemplo: Cambiar su propia contraseña .............56
Establecimiento de la longitud mínima de la
contraseña del administrador raíz .......................57
Restablecimiento del dispositivo con los ajustes
predeterminados de fábrica......................................58
Restricción del acceso administrativo........................59
Ejemplo: Restricción de la administración
a una sola estación de trabajo ...........................59
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 3: Administración
Ejemplo: Restringir la administración
a una subred ....................................................... 60
Restricción del administrador raíz a acceder
desde la consola................................................. 60
Túneles de VPN para tráfico administrativo................ 61
Ejemplo: Administración a través de un túnel
VPN de clave manual basado en rutas............... 63
Ejemplo: Administración a través de un túnel
VPN de clave manual basado en directivas ....... 69
Capítulo 2 Supervisión de dispositivos NetScreen ......77
Almacenamiento de la información del registro .....78
Registro de eventos..................................................80
Visualización del registro de eventos ......................... 81
Ejemplo: Ver el registro de eventos según nivel
de gravedad y palabra clave ............................ 82
Clasificación y filtrado del registro de eventos.......... 83
Ejemplo: Clasificar las entradas del registro
de eventos por direcciones IP ............................. 84
Descarga del registro de eventos.............................. 85
Ejemplo: Descargar el registro de eventos.......... 85
Ejemplo: Descargar los eventos críticos
del registro de eventos ........................................ 86
Registro de tráfico ....................................................87
Visualización del registro de tráfico ........................... 89
Ejemplo: Visualizar las entradas del registro
de tráfico ............................................................. 89
Clasificación y filtrado del registro de tráfico...... 90
Ejemplo: Clasificar el registro de tráfico
por horas.............................................................. 90
Descarga del registro de tráfico ................................ 91
Ejemplo: Descargar un registro de tráfico ........... 91
ix
Contenido
Registro propio .........................................................92
Visualización del registro propio.................................92
Clasificación y filtrado del registro propio ...........93
Ejemplo: Filtrar el registro propio por horas ..........94
Descargar el registro propio.......................................95
Ejemplo: Descargar el registro propio..................95
Registro de recuperación de activos.......................96
Ejemplo: Descargar el registro de recuperación
de activos ............................................................96
Alarmas de tráfico....................................................97
Ejemplo: Detección de intrusiones basada en
directivas..............................................................98
Ejemplo: Notificación de sistema
comprometido .....................................................99
Ejemplo: Enviar alertas de correo electrónico ...101
Syslog .....................................................................102
Ejemplo: Habilitar múltiples servidores Syslog.....103
Volumen 4: Mecanismos de detección de ataques y
defensa
Contenido....................................................................... i
Prefacio ......................................................................... v
Convenciones ...........................................................vii
Convenciones de la interfaz de línea
de comandos (CLI) ......................................................vii
Convenciones de la interfaz gráfica (WebUI) .............viii
Convenciones para las ilustraciones............................ x
Convenciones de nomenclatura y conjuntos de
caracteres ................................................................... xi
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 4: Mecanismos de detección de ataques y defensa
WebTrends ............................................................... 104
Ejemplo: Activación de WebTrends
para eventos de notificación ............................ 104
SNMP ......................................................................106
Resumen de implementación.................................. 109
Ejemplo: Definir una comunidad SNMP de
lectura/escritura ................................................. 110
Túneles VPN para tráfico administrativo
autogenerado........................................................112
Ejemplo: Tráfico autogenerado a través
de túnel basado en rutas .................................. 114
Ejemplo: Tráfico autogenerado a través
de túnel basado en directivas........................... 124
Contadores ............................................................135
Ejemplo: Visualizar contadores de pantalla ...... 142
Apéndice A Archivos MIB para SNMP .........................A-I
Índice ......................................................................... IX-I
Documentación de NetScreen
de Juniper Networks ..................................................xii
Capítulo 1 Protección de una red................................1
Etapas de un ataque .................................................2
Mecanismos de detección y defensa .......................3
Supervisión de exploits ...............................................5
Ejemplo: Supervisión de ataques desde
la zona Untrust........................................................ 6
x
Contenido
Capítulo 2 Bloqueo de reconocimiento .......................7
Barrido de direcciones IP ...........................................8
Análisis de puertos....................................................10
Reconocimiento de red mediante opciones IP .......12
Rastreo del sistema operativo ..................................16
Flags SYN y FIN activados ...........................................16
Flag FIN sin flag ACK...................................................18
Encabezado TCP sin flags activados..........................20
Técnicas de evasión ................................................22
Análisis FIN ..................................................................22
Flags no SYN ...............................................................23
Suplantación de IP .....................................................27
Ejemplo: Protección contra suplantación
de IP en la capa 3 ...............................................30
Ejemplo: Protección contra suplantación
de IP en la capa 2 ...............................................34
Opciones de IP de ruta de origen..............................36
Capítulo 3 Defensas contra los ataques
de denegación de servicio.........................................41
Ataques DoS contra el cortafuegos .........................42
Inundación de la tabla de sesiones...........................42
Límites de sesiones según sus orígenes
y destinos .............................................................42
Ejemplo: Limitación de sesiones según
su origen...............................................................45
Ejemplo: Limitación de sesiones según
su destino .............................................................46
Envejecimiento agresivo ......................................46
Ejemplo: Forzar el envejecimiento agresivo
de sesiones...........................................................49
Inundación proxy SYN-ACK-ACK .................................50
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 4: Mecanismos de detección de ataques y defensa
Ataques DoS contra la red .......................................52
Inundación SYN .......................................................... 52
Ejemplo: Protección contra inundaciones SYN.... 59
Inundación ICMP ....................................................... 67
Inundación UDP.......................................................... 69
Ataque terrestre (“Land Attack”)................................. 71
Ataques DoS específicos de cada
sistema operativo .....................................................73
“Ping of Death”........................................................... 73
Ataque “Teardrop” ..................................................... 75
WinNuke ..................................................................... 77
Capítulo 4 Supervisión y filtrado de contenidos .........79
Reensamblaje de fragmentos..................................81
Protección contra URLs maliciosas ............................. 81
Puerta de enlace en la capa de aplicación ............ 82
Ejemplo: Bloqueo de URLs maliciosas
fragmentadas ...................................................... 83
Análisis antivirus ........................................................86
Análisis del tráfico FTP................................................. 87
Análisis del tráfico HTTP............................................... 89
Extensiones MIME de HTTP .................................... 90
Correo web HTTP .................................................. 91
Análisis del tráfico IMAP y POP3.................................. 92
Análisis del tráfico SMTP.............................................. 94
Actualización del archivo de firmas AV ..................... 96
Ejemplo: actualización automática .................... 98
Ejemplo: Actualización manual ........................... 99
Aplicación de análisis AV......................................... 100
Ejemplo: Análisis AV interno (POP3) .................... 100
Ajustes del analizador AV ......................................... 103
Análisis selectivo de contenido ......................... 103
xi
Contenido
Ejemplo: Análisis de todos los tipos de tráfico....104
Ejemplo: Análisis AV para SMTP y HTTP ................105
Descompresión y tamaño máximo
de los contenidos...............................................106
Ejemplo: Descartar archivos de gran tamaño ...106
Asignación de recursos a AV..............................107
Comportamiento en modo de fallo ...................108
Método HTTP Keep-Alive .....................................108
Goteo HTTP .........................................................109
Filtrado de URL........................................................111
Filtrado de URL integrado .........................................112
Servidor de nombres de dominios (DNS) ............113
Contexto de filtrado de URL ...............................113
Ejemplo: Activar el filtrado de URL......................114
Categorías URL ...................................................115
Ejemplo: Categoría de URL ................................116
Perfiles de filtrado URL ........................................117
Ejemplo: Perfil de filtrado de URL........................119
Perfiles y directivas de URL .................................120
Ejemplo: Filtrado de URL integrado ....................121
Servidores SurfControl.........................................124
Caché del filtrado de URL ..................................125
Ejemplo: Parámetros del caché.........................125
Redireccionamiento del filtrado de URL ...................126
Ejemplo: Configuración del filtrado de URL .......132
Capítulo 5 Deep Inspection .....................................135
Resumen de Deep Inspection................................137
Servidor de la base de datos de objetos
de ataque ..............................................................141
Ejemplo: Actualización inmediata .....................142
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 4: Mecanismos de detección de ataques y defensa
Ejemplo: Actualizaciones automáticas.............. 144
Ejemplo: Notificación automática y
actualización inmediata.................................... 145
Ejemplo: Actualización manual ......................... 147
Objetos de ataque y grupos..................................149
Protocolos compatibles............................................ 151
Firmas completas ..................................................... 156
Firmas de secuencias TCP........................................ 157
Anomalías en el protocolo....................................... 157
Grupos de objetos de ataque ................................. 158
Cambio de los niveles de gravedad................. 159
Ejemplo: Deep Inspection para P2P .................. 161
Desactivación de objetos de ataque...................... 163
Acciones de ataque ..............................................164
Ejemplo: Acciones de ataque – Close Server,
Close, Close Client ............................................ 165
Registro de ataques ...............................................176
Ejemplo: Desactivar el registro por grupo
de ataques ........................................................ 176
Asignación de servicios personalizados
a aplicaciones .......................................................179
Ejemplo: Asignar una aplicación a un
servicio personalizado ....................................... 180
Ejemplo: Asignación de aplicación a servicio
para ataques de HTTP........................................ 184
Objetos de ataque y grupos personalizados .........187
Objetos de ataque de firma completa definidos
por el usuario ........................................................... 187
Expresiones regulares ........................................ 188
Ejemplo: Objetos de ataque de firma
completa definidos por el usuario..................... 191
xii
Contenido
Objetos de ataque de la firma de la
secuencia TCP..........................................................195
Ejemplo: Objeto de ataque de firma
de secuencia definido por el usuario ................196
Parámetros configurables de anomalías
de protocolos ...........................................................198
Ejemplo: Modificación de parámetros ..............198
Negación ...............................................................200
Ejemplo: Negación del objeto de ataque.........200
Bloqueo granular de los componentes de HTTP.....207
Controles ActiveX......................................................207
Applets de Java .......................................................208
Archivos EXE..............................................................208
Archivos ZIP ...............................................................208
Ejemplo: Bloquear applets de Java y
archivos .exe ......................................................209
Capítulo 6 Atributos de los paquetes
sospechosos ..............................................................211
Fragmentos ICMP ...................................................212
Volumen 5: VPNs
Contenido....................................................................... i
Prefacio ......................................................................... v
Convenciones ........................................................... vi
Convenciones de la interfaz de línea
de comandos (CLI) ...................................................... vi
Convenciones de la interfaz gráfica (WebUI) ..............vii
Convenciones para las ilustraciones........................... ix
Convenciones de nomenclatura y conjuntos
de caracteres............................................................... x
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 5: VPNs
Paquetes ICMP grandes .........................................214
Opciones IP incorrectas .........................................216
Protocolos desconocidos .......................................218
Fragmentos de paquetes IP ...................................220
Fragmentos SYN......................................................222
Capítulo 7 Prevención de ataques de
sobrefacturación de GPRS ........................................225
Descripción del ataque de sobrefacturación .......226
Solución al ataque de sobrefacturación ...............228
Módulo de NSGP...................................................... 228
Protocolo Gatekeeper de NetScreen....................... 228
Ejemplo: Configuración de la función de
prevención de ataques de sobrefacturación ... 230
Apéndice A Contextos para firmas definidas por
el usuario .....................................................................A-I
Índice ......................................................................... IX-I
Documentación de NetScreen
de Juniper Networks .................................................. xi
Capítulo 1 IPSec ...........................................................1
Introducción a las VPNs..............................................2
Conceptos de IPSec...................................................3
Modos .......................................................................... 4
Modo de transporte............................................... 4
Modo de túnel ....................................................... 5
Protocolos .................................................................... 7
xiii
Contenido
AH...........................................................................7
ESP ..........................................................................8
Administración de claves .............................................9
Clave manual ........................................................9
AutoKey IKE.............................................................9
Asociación de seguridad ...........................................10
Negociación de túnel ..............................................11
Fase 1 .........................................................................11
Modo principal y modo dinámico .......................12
Intercambio Diffie-Hellman...................................13
Fase 2 .........................................................................13
Confidencialidad directa perfecta......................15
Protección contra reprocesamiento ....................15
Paquetes IKE e IPSec ................................................16
Paquetes IKE ...............................................................16
Paquetes IPSec ...........................................................20
Capítulo 2 Criptografía de claves públicas ...............23
Introducción a la criptografía
de claves públicas...................................................24
PKI.............................................................................26
Certificados y CRLs...................................................29
Obtención manual de un certificado ........................30
Ejemplo: Petición de certificado manual.............31
Ejemplo: Carga de certificados y CRLs................34
Ejemplo: Configuración de ajustes de CRL..........36
Obtención automática de un certificado local .........38
Ejemplo: Petición automática de certificado ......39
Renovación automática de certificado.....................43
Generación de pares de claves..........................43
Comprobación de estado mediante OCSP.............44
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 5: VPNs
Configuración de OCSP............................................. 45
Especificación de CRL u OCSP ............................ 45
Visualización de los atributos de comprobación
de estado ............................................................ 45
Especificación de la URL de un servidor de
respuesta OCSP ................................................... 46
Eliminación de atributos de comprobación
de estado ............................................................ 46
Certificados autofirmados (“Self-Signed
Certificates”).............................................................47
Asegurar el tráfico administrativo con SSL.................. 48
Validación de certificados .................................. 49
Creación manual de certificados
autofirmados........................................................ 51
Ejemplo: Certificado autofirmado y definido
por el administrador ............................................ 53
Autogeneración de certificados.......................... 58
Eliminación de certificados autofirmados ........... 60
Capítulo 3 Directivas VPN ...........................................61
Opciones criptográficas...........................................62
Opciones criptográficas punto a punto .................... 63
Opciones VPN de acceso telefónico......................... 72
Túneles basados en directivas y en rutas.................80
Flujo de paquetes: VPN punto a punto ....................82
Consejos para la configuración de un túnel ...........90
Consideraciones sobre seguridad en VPNs
basadas en rutas .....................................................93
Ruta nula.................................................................... 94
Línea de acceso telefónico o arrendada ................. 96
Ejemplo: Conmutación por error de la VPN
hacia la línea arrendada o la ruta nula.............. 97
Interfaz de túnel ficticia............................................ 100
xiv
Contenido
Enrutador virtual para interfaces de túnel ................101
Reencaminar a otro túnel.........................................101
Capítulo 4 VPNs punto a punto ................................103
Configuraciones VPN punto a punto......................104
Pasos de configuración de túneles punto
a punto .....................................................................105
Ejemplo: VPN punto a punto basada
en rutas, AutoKey IKE ..........................................111
Ejemplo: VPN punto a punto basada
en directivas, AutoKey IKE ..................................126
Ejemplo: VPN punto a punto basada
en rutas, interlocutor dinámico ..........................137
Ejemplo: VPN punto a punto basada
en directivas, interlocutor dinámico...................152
Ejemplo: VPN punto a punto basada en rutas,
clave manual .....................................................166
Ejemplo: VPN punto a punto basada
en directivas, clave manual ..............................177
Puertas de enlace IKE dinámicas con FQDN .........186
Alias ..........................................................................187
Ejemplo: Interlocutor AutoKey IKE con FQDN......188
Sitios VPN con direcciones superpuestas ...............203
Ejemplo: Interfaz de túnel con NAT-Src
y NAT-Dst.............................................................206
VPN en modo transparente ....................................221
Ejemplo: VPN AutoKey IKE basada en directivas
en modo transparente .......................................222
Capítulo 5 VPNs de acceso telefónico.....................233
VPNs de acceso telefónico ....................................234
Ejemplo: VPN de acceso telefónico basada
en directivas, AutoKey IKE ..................................235
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 5: VPNs
Ejemplo: VPN de acceso telefónico basada
en rutas, interlocutor dinámico.......................... 244
Ejemplo: VPN de acceso telefónico basada
en directivas, interlocutor dinámico .................. 256
Directivas bidireccionales para usuarios de VPN
de acceso telefónico .............................................. 266
Ejemplo: Directivas bidireccionales para VPNs
de acceso telefónico ........................................ 267
Identificación IKE de grupo....................................275
Identificación IKE de grupo con certificados........... 276
Tipos de identificación IKE ASN1-DN Wildcard
y Container ........................................................ 278
Ejemplo: Identificación IKE de grupo
(certificados) ...................................................... 281
ID IKE de grupo con claves previamente
compartidas............................................................. 288
Ejemplo: ID IKE de grupo (claves previamente
compartidas) ..................................................... 290
Identificación IKE compartida................................297
Ejemplo: ID IKE compartida (claves
previamente compartidas) ................................ 298
Capítulo 6 L2TP .........................................................307
Introducción al L2TP ...............................................308
Encapsulado y desencapsulado de paquetes .....312
Encapsulado ............................................................ 312
Desencapsulado...................................................... 313
Parámetros L2TP......................................................314
Ejemplo: Configuración de un conjunto de
direcciones IP y los ajustes predeterminados
L2TP .................................................................... 315
L2TP y L2TP sobre IPSec...........................................317
Ejemplo: Configuración de L2TP ........................ 318
xv
Contenido
Ejemplo: Configuración de L2TP sobre IPSec .....326
Ejemplo: L2TP bidireccional sobre IPSec ............339
Capítulo 7 Funciones de VPN avanzadas ................349
NAT-Traversal ..........................................................351
Sondeos de NAT........................................................352
Atravesar un dispositivo NAT .....................................354
Suma de comprobación de UDP .............................357
Paquetes de mantenimiento de conexión ...............357
Simetría iniciador/respondedor ................................358
Ejemplo: Habilitación de NAT-Traversal ..............359
Supervisión de VPNs................................................361
Opciones de reencriptación y optimización............362
Interfaz de origen y dirección de destino ................363
Consideraciones sobre directivas ............................365
Configuración de la función de supervisión
de VPN ......................................................................365
Ejemplo: Especificación de las direcciones
de origen y destino para la supervisión
de VPN................................................................368
Objetos y capturas SNMP para la supervisión
de VPN ......................................................................380
Múltiples túneles por interfaz de túnel ....................381
Volumen 6: Enrutamiento
Contenido....................................................................... i
Prefacio ....................................................................... vii
Convenciones .......................................................... viii
Convenciones de la interfaz de línea
de comandos (CLI) .....................................................viii
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 6: Enrutamiento
Asignación de rutas a túneles.................................. 382
Direcciones de interlocutores remotos..................... 383
Entradas de tabla manuales y automáticas............ 385
Entradas manuales en la tabla ......................... 385
Entradas automáticas en la tabla ..................... 386
Ejemplo: Múltiples VPNs en una interfaz
de túnel para subredes superpuestas ............... 388
Ejemplo: Entradas automáticas en la tabla
de rutas y la tabla NHTB..................................... 420
Anexo al ejemplo: OSPF para entradas
automáticas en la tabla de rutas ...................... 438
Puertas de enlace VPN redundantes .....................441
Grupos VPN .............................................................. 442
Mecanismos de supervisión ..................................... 443
Latidos de IKE..................................................... 443
Procedimiento de recuperación IKE.................. 444
Comprobación de flag TCP SYN .............................. 447
Ejemplo: Puertas de enlace VPN redundantes .. 448
VPNs adosadas.......................................................460
Ejemplo: VPNs adosadas ................................... 461
VPNs radiales ..........................................................471
Ejemplo: VPNs radiales....................................... 472
Índice ......................................................................... IX-I
Convenciones de la interfaz gráfica (WebUI) .............. ix
Convenciones para las ilustraciones ........................... xi
Convenciones de nomenclatura y conjuntos de
caracteres................................................................... xii
Documentación de NetScreen de Juniper
Networks ................................................................... xiii
xvi
Contenido
Capítulo 1 Tablas de enrutamiento y
enrutamiento estático....................................................1
Fundamentos del enrutamiento .................................2
Métodos de enrutamiento............................................2
Enrutamiento estático.............................................2
Enrutamiento dinámico ..........................................3
Enrutamiento multicast ...........................................3
Tablas de enrutamiento................................................4
Enrutamiento con rutas estáticas..................................6
Enrutadores virtuales de los dispositivos NetScreen....8
Cuándo configurar rutas estáticas.............................9
Configuración de rutas estáticas .............................11
Ejemplo: Rutas estáticas.......................................12
Ejemplo: Ruta para una interfaz de túnel.............16
Reenvío de tráfico a la interfaz nula ..........................18
Rutas permanentemente activas ...............................19
Capítulo 2 Enrutadores virtuales .................................21
Enrutadores virtuales de los dispositivos
NetScreen.................................................................23
Utilización de dos enrutadores virtuales .....................23
Reenvío de tráfico entre enrutadores virtuales...........24
Configuración de dos enrutadores virtuales ..............24
Ejemplo: Asociación de una zona al untrust-vr ....25
Enrutadores virtuales personalizados..........................27
Ejemplo: Creación de un enrutador virtual
personalizado ......................................................27
Ejemplo: Eliminación de un enrutador virtual
personalizado ......................................................28
Enrutadores virtuales y sistemas virtuales....................29
Ejemplo: Creación de un enrutador virtual
en un vsys.............................................................30
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 6: Enrutamiento
Ejemplo: Compartir rutas entre enrutadores
virtuales................................................................ 32
Modificación de enrutadores virtuales.....................33
ID del enrutador virtual............................................... 34
Ejemplo: Asignación de una ID de enrutador
virtual ................................................................... 35
Número máximo de entradas de la tabla de
enrutamiento.............................................................. 36
Ejemplo: Limitación de las entradas
de la tabla de enrutamiento ............................... 36
Selección de rutas ...................................................37
Preferencia de ruta .................................................... 37
Ejemplo: Establecimiento de una preferencia
de ruta ................................................................. 38
Métrica de ruta .......................................................... 39
Tablas de enrutamiento ...........................................40
Enrutamiento según el origen .................................... 40
Ejemplo: Enrutamiento según el origen ............... 42
Enrutamiento según la interfaz de origen .................. 44
Ejemplo: Enrutamiento según la interfaz
de origen ............................................................. 45
Secuencia de consulta de rutas ................................ 46
Ejemplo: Cambiar el orden de las consultas
de rutas................................................................ 49
Consulta de rutas en múltiples enrutadores
virtuales ...................................................................... 50
Enrutamiento de rutas múltiples de igual coste .......52
Activación del enrutamiento de rutas múltiples
de igual coste ............................................................ 54
Ejemplo: Configurar el máximo de rutas ECMP ... 54
Redistribución de rutas.............................................55
Configuración de un mapa de rutas ......................... 56
xvii
Contenido
Filtrado de rutas..........................................................58
Listas de acceso.........................................................58
Ejemplo: Configuración de una lista
de acceso............................................................59
Ejemplo: Redistribución de rutas en OSPF ............60
Exportación e importación de rutas entre
enrutadores virtuales ................................................62
Ejemplo: Configuración de una regla
de exportación ....................................................63
Ejemplo: Configuración de la exportación
automática ..........................................................65
Capítulo 3 Protocolo OSPF ..........................................67
Introducción al protocolo OSPF ...............................69
Áreas...........................................................................69
Clasificación de enrutadores .....................................70
Protocolo de saludo ...................................................71
Tipos de redes ............................................................71
Redes de difusión.................................................71
Redes punto a punto ...........................................72
Redes punto a multipunto ....................................72
Notificaciones de estado de conexiones...................72
Configuración básica de OSPF ................................74
Creación de una instancia de enrutamiento
de OSPF ......................................................................75
Ejemplo: Creación de una instancia de OSPF .....75
Ejemplo: Eliminación de una instancia de OSPF..76
Definición de un área OSPF........................................77
Ejemplo: Creación de un área OSPF ...................78
Asignación de interfaces a un área OSPF ..................79
Ejemplo: Asignación de interfaces a áreas .........79
Ejemplo: Configuración de un rango de áreas ...80
Habilitación de OSPF en interfaces ............................81
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 6: Enrutamiento
Ejemplo: Habilitación de OSPF en interfaces....... 81
Ejemplo: Inhabilitar OSPF en una interfaz ............ 82
Comprobación de la configuración ......................... 83
Redistribución de rutas.............................................86
Ejemplo: Redistribución de rutas en OSPF............ 86
Resumen de rutas redistribuidas ................................ 87
Ejemplo: Resumen de rutas redistribuidas ........... 87
Ejemplo: Evitar bucles creados por las rutas
resumidas............................................................. 88
Parámetros globales de OSPF ..................................89
Ejemplo: Notificación de la ruta
predeterminada .................................................. 90
Conexiones virtuales .................................................. 92
Ejemplo: Creación de una conexión virtual ........ 93
Ejemplo: Creación de una conexión virtual
automática .......................................................... 95
Parámetros de interfaz OSPF ....................................96
Ejemplo: Ajuste de parámetros
de interfaz OSPF ................................................... 98
Configuración de seguridad....................................99
Autenticación de vecinos .......................................... 99
Ejemplo: Configuración de una contraseña
de texto no cifrado .............................................. 99
Ejemplo: Configuración de una
contraseña MD5 ................................................ 100
Filtrado de vecinos OSPF.......................................... 101
Ejemplo: Configuración de una lista
de vecinos ......................................................... 101
Rechazo de rutas predeterminadas ........................ 102
Ejemplo: Eliminación de la ruta
predeterminada ................................................ 102
Protección contra inundaciones.............................. 103
xviii
Contenido
Ejemplo: Configuración de un límite
de saludo ...........................................................103
Ejemplo: Configuración de un límite de LSAs.....104
Circuitos de demanda en interfaces de túnel .......105
Ejemplo: Crear un circuito de demanda OSPF ..105
Ejemplo: Habilitar la inundación reducida ........106
Interfaz de túnel punto a multipunto ......................107
Establecer el tipo de conexión.................................107
Ejemplo: Establecer el tipo de conexión OSPF...107
Ejemplo: Inhabilitar la restricción Route-Deny....108
Ejemplo: Red punto a multipunto.......................108
Capítulo 4 Protocolo de información
de enrutamiento (RIP) ................................................115
Introducción al protocolo RIP.................................117
Configuración básica de RIP .................................118
Creación de una instancia RIP.................................119
Ejemplo: Creación de una instancia RIP............119
Ejemplo: Eliminación de una instancia RIP.........120
Habilitación de RIP en interfaces..............................121
Ejemplo: Habilitación de RIP en interfaces.........121
Ejemplo: Inhabilitación de RIP en una interfaz ...122
Redistribución de rutas .............................................122
Ejemplo: Redistribución de rutas en RIP .............123
Visualización de la información de RIP ..................124
Visualización de la base de datos RIP......................124
Ejemplo: Visualizar los detalles en la base
de datos RIP .......................................................124
Visualización de los detalles de protocolo RIP .........127
Ejemplo: Visualizar los detalles
de protocolo RIP.................................................127
Visualización de información de vecino RIP.............128
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 6: Enrutamiento
Ejemplo: Visualizar los detalles
de los vecinos RIP .............................................. 128
Visualización de los detalles de protocolo RIP
de una interfaz......................................................... 129
Ejemplo: Visualizar RIP en una interfaz
específica.......................................................... 129
Parámetros globales de RIP ...................................130
Notificación de la ruta predeterminada.................. 132
Ejemplo: Notificación de la ruta
predeterminada ................................................ 132
Parámetros de interfaz RIP......................................133
Ejemplo: Ajuste de parámetros de interfaz RIP .. 134
Configuración de seguridad..................................135
Autenticación de vecinos ........................................ 135
Ejemplo: Configuración de una
contraseña MD5 ................................................ 136
Filtrado de vecinos RIP ............................................. 137
Ejemplo: Configuración de vecinos fiables ....... 137
Rechazo de rutas predeterminadas ........................ 138
Ejemplo: Rechazo de rutas predeterminadas ... 138
Protección contra inundaciones.............................. 139
Ejemplo: Configuración de un umbral de
actualización ..................................................... 139
Ejemplo: Habilitación de RIP en interfaces
de túnel ............................................................. 140
Configuraciones opcionales de RIP .......................142
Versión de protocolo RIP .......................................... 142
Ejemplo: Ajustar las versiones de
protocolo RIP...................................................... 142
Resumen de prefijos................................................. 144
Ejemplo: Habilitar el resumen de prefijos .......... 144
Ejemplo: Inhabilitar el resumen de prefijos ........ 145
Rutas alternativas ..................................................... 146
xix
Contenido
Ejemplo: Ajuste de rutas alternativas..................147
Circuitos de demanda en interfaces de túnel .........148
Ejemplo: Configuración de un circuito
de demanda......................................................149
Configuración de un vecino estático.......................150
Ejemplo: Configuración de un vecino estático..150
Interfaz de túnel punto a multipunto ......................151
Ejemplo: Punto a multipunto con circuitos
de demanda......................................................151
Capítulo 5 Protocolo de puerta de enlace
de límite (BGP)............................................................159
Introducción al protocolo BGP ...............................160
Tipos de mensajes BGP.............................................161
Atributos de ruta .......................................................161
BGP externo e interno ...............................................162
Configuración básica de BGP ...............................163
Creación y habilitación de una instancia de BGP ...164
Ejemplo: Creación de una instancia BGP ..........164
Ejemplo: Eliminación de una instancia de BGP .165
Habilitación de BGP en interfaces............................166
Ejemplo: Habilitación de BGP en interfaces.......166
Ejemplo: Inhabilitación de BGP en interfaces ....166
Configuración de un interlocutor BGP ......................167
Ejemplo: Configuración de un interlocutor
BGP.....................................................................170
Ejemplo: Configuración de un grupo de
interlocutores IBGP..............................................171
Capítulo 6 Enrutamiento multicast............................199
Comprobación de la configuración BGP.................173
Configuración de seguridad..................................175
Autenticación de vecinos.........................................175
Ejemplo: Configuración de la autenticación
MD5....................................................................175
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 6: Enrutamiento
Rechazo de rutas predeterminadas ........................ 176
Ejemplo: Rechazo de rutas predeterminadas ... 176
Configuraciones opcionales de BGP .....................177
Redistribución de rutas............................................. 179
Ejemplo: Redistribución de rutas en BGP ........... 180
Lista de acceso AS-path .......................................... 180
Ejemplo: Configuración de una lista
de acceso ......................................................... 181
Adición de rutas a BGP ............................................ 182
Ejemplo: Notificación de ruta condicional........ 183
Ejemplo: Establecer el peso de la ruta .............. 184
Ejemplo: Establecer atributos de ruta ................ 185
Reflexión de rutas..................................................... 186
Ejemplo: Configuración de la reflexión
de rutas.............................................................. 187
Confederaciones ..................................................... 189
Ejemplo: Configurar una confederación........... 190
Comunidades BGP................................................... 192
Agregación de rutas ................................................ 193
Ejemplo: Agregar rutas con diferentes
AS-Paths ............................................................. 193
Ejemplos: Suprimir las rutas más específicas
en actualizaciones ............................................ 194
Ejemplo: Seleccionar rutas para el
atributo Path ...................................................... 196
Ejemplo: Cambiar atributos de la ruta
agregada .......................................................... 198
Introducción al enrutamiento multicast .................200
Direcciones multicast ............................................... 200
Reenvío por rutas inversas........................................ 201
Enrutamiento multicast en dispositivos NetScreen..202
xx
Contenido
Tabla de enrutamiento multicast..............................202
Rutas multicast estáticas...........................................204
Ejemplo: Configuración de una ruta multicast
estática ..............................................................204
Listas de acceso.......................................................205
Encapsulado de enrutamiento genérico .................205
Ejemplo: Configuración de interfaces
de túnel GRE ......................................................207
Directivas multicast.................................................208
Capítulo 8 PIM ..........................................................253
Capítulo 7 IGMP........................................................211
Introducción al protocolo PIM ................................255
Introducción a IGMP ..............................................212
PIM-SM ....................................................................256
Hosts .........................................................................214
Enrutadores multicast ...............................................215
IGMP en dispositivos NetScreen .............................216
IGMP en interfaces ...................................................216
Ejemplo: Habilitar IGMP en una interfaz .............216
Ejemplo: Inhabilitación de IGMP
en una interfaz ...................................................217
Aspectos relativos a la seguridad.............................217
Ejemplo: Configurar una lista de accesos
para grupos aceptados.....................................218
PIM-SM en dispositivos NetScreen ..........................264
Configuración básica de IGMP................................219
Ejemplo: Configuración básica de IGMP...........219
Verificación de la configuración de IGMP ...............222
Parámetros operativos de IGMP ...............................224
Proxy de IGMP ........................................................226
Envío de informes de miembros en sentido
ascendente hacia el origen ..............................226
Envío de datos multicast en sentido
descendente a los receptores ...........................227
Configuración del proxy de IGMP ............................229
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 6: Enrutamiento
Proxy de IGMP en interfaces .................................... 229
Ejemplo: Proxy de IGMP en interfaces ............... 230
Creación de una directiva multicast ....................... 232
Ejemplo: Directiva de grupo multicast
para IGMP.......................................................... 232
Ejemplo: Configuración básica de Proxy
de IGMP ............................................................. 233
Proxy del remitente de IGMP.................................... 245
Ejemplo: Proxy del remitente de IGMP............... 246
Árboles de distribución multicast ............................. 258
Enrutador designado ............................................... 259
Asignación de puntos de encuentro a grupos ........ 259
Asignación de RP estático ................................. 259
Asignación de RP dinámico............................... 259
Reenvío de tráfico a través del árbol
de distribución ......................................................... 260
El origen envía datos a un grupo ...................... 260
El host se une a un grupo .................................. 262
Creación de una instancia PIM-SM.......................... 265
Ejemplo: Habilitar una instancia PIM-SM en un
enrutador virtual................................................. 265
Ejemplo: Quitar una instancia PIM-SM ............... 266
PIM-SM en interfaces................................................ 267
Ejemplo: PIM-SM en una interfaz........................ 267
Ejemplo: Inhabilitar PIM-SM en una interfaz ....... 268
Directivas de grupo multicast .................................. 269
Mensajes Static-RP-BSR ...................................... 269
Mensajes Join-Prune .......................................... 269
xxi
Contenido
Ejemplo: Directiva de grupo multicast
para PIM-SM .......................................................270
Configuración PIM-SM básica ................................271
Ejemplo: Configuración PIM-SM básica .............272
Comprobación de la configuración......................278
Configuración de RPs.............................................282
RP estático ................................................................282
Ejemplo: Crear un RP estático ............................283
RP candidato............................................................284
Ejemplo: Crear un RP candidato........................284
Aspectos relativos a la seguridad ..........................286
Restricción de grupos multicast................................286
Ejemplo: Restringir grupos multicast ...................286
Restringir orígenes multicast .....................................288
Ejemplo: Restringir orígenes multicast ................288
Volumen 7: Traducción de direcciones
Contenido....................................................................... i
Prefacio ........................................................................ iii
Convenciones ........................................................... iv
Convenciones de la interfaz de línea
de comandos (CLI) ...................................................... iv
Convenciones de la interfaz gráfica (WebUI) ............... v
Convenciones para las ilustraciones...........................vii
Convenciones de nomenclatura y conjuntos
de caracteres.............................................................viii
Documentación de NetScreen
de Juniper Networks .................................................. ix
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 7: Traducción de direcciones
Restricción de RPs .................................................... 289
Ejemplo: Restringir RP ......................................... 289
Parámetros de la interfaz PIM-SM ...........................291
Directiva vecina ....................................................... 291
Ejemplo: Definir una directiva vecina................ 292
Límite bootstrap........................................................ 293
Ejemplo: Definir un límite bootstrap ................... 293
RP Proxy ..................................................................294
Configuración de un RP proxy ................................. 297
Ejemplo: Configuración del RP proxy ................ 298
PIM-SM e IGMPv3....................................................311
PIM-SSM ..................................................................312
PIM-SSM en dispositivos NetScreen........................... 312
Índice ......................................................................... IX-I
Capítulo 1 Traducción de direcciones.........................1
Introducción a la traducción de direcciones ............2
Traducción de direcciones de red de origen.............. 2
Traducción de direcciones de red de destino ............ 4
Opciones de la traducción basada en directivas.....9
Naturaleza direccional de NAT-Src y NAT-Dst ...........13
Capítulo 2 Traducción de direcciones de red
de origen.....................................................................15
Introducción a NAT-Src .............................................16
NAT-Src desde un conjunto de DIP con PAT
habilitada.................................................................18
Ejemplo: NAT-Src con PAT habilitada ................... 19
xxii
Contenido
NAT-Src desde un conjunto de DIP con PAT
inhabilitada ..............................................................22
Ejemplo: NAT-Src con PAT inhabilitada .................22
NAT-Src desde un conjunto de DIP con
desplazamiento de direcciones ..............................25
Ejemplo: NAT-Src con desplazamiento
de direcciones .....................................................26
NAT-Src desde la dirección IP de la interfaz de
salida........................................................................31
Ejemplo: NAT-Src sin DIP........................................31
Capítulo 3. Traducción de direcciones de red
de destino....................................................................35
Introducción a NAT-Dst .............................................36
Flujo de paquetes para NAT-Dst .................................38
Enrutamiento para NAT-Dst .........................................42
Direcciones conectadas a una interfaz...............43
Direcciones conectadas a una interfaz pero
separadas por un enrutador ................................44
Direcciones separadas por una interfaz ..............45
NAT-Dst: Asignación “1:1” .........................................46
Ejemplo: Traducción de destinos “1:1” ................47
Traducción de una dirección a múltiples
direcciones.................................................................51
Ejemplo: Traducción de destinos “1:n” ................51
NAT-Dst: Asignación “n:1” .........................................55
Ejemplo: Traducción de destinos “n:1” ................55
Volumen 8: Autenticación de usuarios
Contenido....................................................................... i
Prefacio ........................................................................ iii
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 8: Autenticación de usuarios
NAT-Dst: Asignación “n:n” .........................................60
Ejemplo: Traducción de destinos “n:n”................ 61
NAT-Dst con asignación de puertos .........................65
Ejemplo: NAT-dst con asignación de puertos ...... 65
NAT-Src y NAT-Dst en la misma directiva ..................70
Ejemplo: NAT-Src y NAT-Dst combinadas ............. 70
Capítulo 4. Direcciones IP asignadas y virtuales .........91
Direcciones IP asignadas .........................................92
MIP y la zona Global .................................................. 93
Ejemplo: MIP en una interfaz de la zona Untrust .. 94
Ejemplo: Acceder a una MIP desde
diferentes zonas................................................... 97
Ejemplo: Agregar una MIP a una interfaz
de túnel ............................................................. 102
MIP-Same-as-Untrust ................................................. 103
Ejemplo: MIP en la interfaz Untrust ..................... 104
MIP y la interfaz de bucle invertido (loopback) ....... 107
Ejemplo: MIP para dos interfaces de túnel ........ 108
Direcciones IP virtuales...........................................118
VIP y la zona Global ................................................. 121
Ejemplo: Configurar servidores de IPs virtuales.. 121
Ejemplo: Editar una configuración de VIP ......... 124
Ejemplo: Eliminar una configuración VIP ........... 124
Ejemplo: VIP con servicios personalizados y
de múltiples puertos........................................... 125
Índice ......................................................................... IX-I
Convenciones ........................................................... iv
Convenciones de la interfaz de línea
de comandos (CLI) ......................................................iv
xxiii
Contenido
Convenciones de la interfaz gráfica (WebUI) ............... v
Convenciones para las ilustraciones...........................vii
Convenciones de nomenclatura y conjuntos
de caracteres.............................................................viii
Documentación de NetScreen
de Juniper Networks .................................................. ix
Capítulo 1 Autenticación..............................................1
Tipos de autenticaciones de usuarios ........................2
Usuarios con permisos de administrador....................3
Usuarios de múltiples tipos..........................................5
Expresiones de grupos ...............................................6
Ejemplo: Expresiones de grupos (AND)...................8
Ejemplo: Expresiones de grupos (OR) ...................10
Ejemplo: Expresiones de grupos (NOT) .................12
Personalización de mensajes de bienvenida ..........14
Ejemplo: Personalizar un mensaje
de bienvenida de WebAuth.................................14
Capítulo 2 Servidores de autenticación .....................15
Capítulo 3 Usuarios de autenticación ........................43
Tipos de servidores de autenticación ......................16
Base de datos local .................................................19
Características y tipos de usuarios admitidos ............19
Ejemplo: Tiempo de espera de la base
de datos local......................................................20
Servidores de autenticación externos ......................21
Propiedades del objeto “servidor de autenticación”.22
Tipos de servidores de autenticación ......................24
RADIUS.........................................................................24
Propiedades del objeto servidor
de autenticación RADIUS .....................................25
Características y tipos de usuarios admitidos ......25
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 8: Autenticación de usuarios
Archivo de diccionario de NetScreen ................. 26
RADIUS Access-Challenge.................................... 28
SecurID ....................................................................... 30
Propiedades del objeto servidor
de autenticación SecurID.................................... 31
Características y tipos de usuarios admitidos...... 31
LDAP ........................................................................... 32
Propiedades del objeto servidor de
autenticación LDAP.............................................. 33
Características y tipos de usuarios admitidos...... 33
Definición de objetos de servidor
de autenticación .....................................................34
Ejemplo: Servidor de autenticación RADIUS......... 34
Ejemplo: Servidor de autenticación SecurID ....... 37
Ejemplo: Servidor de autenticación LDAP............ 39
Definición de los servidores de autenticación
predeterminados......................................................41
Ejemplo: Cambiar los servidores de
autenticación predeterminados.......................... 41
Referencias a usuarios autenticados
en directivas.............................................................44
Referencias a grupos de usuarios
de autenticación en directivas ................................47
Ejemplo: Autenticación en tiempo de
ejecución (usuario local) ..................................... 48
Ejemplo: Autenticación en tiempo de
ejecución (grupo de usuarios locales) ................ 51
Ejemplo: Autenticación en tiempo de
ejecución (usuario externo) ................................. 54
Ejemplo: Autenticación en tiempo de
ejecución (grupo de usuarios externo) ................ 57
xxiv
Contenido
Ejemplo: Usuario de autenticación local
en múltiples grupos ..............................................61
Ejemplo: WebAuth (grupo de usuarios local) .......65
Ejemplo: WebAuth (grupo de usuarios externo) ...68
Ejemplo: WebAuth + SSL solamente (grupo de
usuarios externo) ..................................................72
Capítulo 4 Usuarios IKE, XAuth y L2TP ..........................77
Usuarios y grupos de usuarios IKE .............................78
Ejemplo: Definir usuarios IKE .................................79
Ejemplo: Crear un grupo de usuarios IKE .............81
Referencias a usuarios IKE en puertas de enlace ......82
Usuarios y grupos de usuarios XAuth ........................83
Usuarios XAuth en negociaciones IKE .........................84
Ejemplo: Autenticación XAuth (usuario local).......87
Volumen 9: Sistemas virtuales
Contenido....................................................................... i
Prefacio ........................................................................ iii
Convenciones ........................................................... iv
Convenciones de la interfaz de línea
de comandos (CLI) ...................................................... iv
Convenciones de la interfaz gráfica (WebUI) ............... v
Convenciones para las ilustraciones...........................vii
Convenciones de nomenclatura y conjuntos de
caracteres ..................................................................viii
Documentación de NetScreen
de Juniper Networks .................................................. ix
Capítulo 1 Sistemas virtuales ........................................1
Creación de un objeto vsys .......................................3
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 9: Sistemas virtuales
Ejemplo: Autenticación de XAuth (grupo de
usuarios local) ...................................................... 89
Ejemplo: Autenticación XAuth (usuario externo) .. 91
Ejemplo: Autenticación XAuth (grupo de
usuarios externo) .................................................. 94
Ejemplo: Autenticación y asignación de
direcciones XAuth (grupo de usuarios local) ....... 99
Cliente XAuth............................................................ 105
Ejemplo: Dispositivo NetScreen como
cliente XAuth...................................................... 106
Usuarios y grupos de usuarios L2TP.........................107
Ejemplo: Servidores de autenticación
L2TP locales y externos ...................................... 108
Índice ......................................................................... IX-I
Ejemplo: Objetos y administradores vsys ............... 3
Enrutadores virtuales .................................................... 6
Zonas............................................................................ 7
Interfaces ..................................................................... 8
Clasificación del tráfico ...........................................10
Tráfico destinado al dispositivo NetScreen ................ 10
Tráfico de tránsito....................................................... 11
Interfaces compartidas y dedicadas ........................ 15
Interfaces dedicadas .......................................... 15
Interfaces compartidas........................................ 15
Importación y exportación de interfaces físicas........ 19
Ejemplo: Importación de una interfaz física
a un sistema virtual .............................................. 19
Ejemplo: Exportación de una interfaz física
de un sistema virtual ............................................ 20
xxv
Contenido
Clasificación del tráfico según VLAN .......................22
VLANs ..........................................................................23
Definición de subinterfaces y etiquetas VLAN ............24
Ejemplo: Definición de tres subinterfaces
y etiquetas VLAN...................................................26
Comunicación entre sistemas virtuales ......................29
Ejemplo: Comunicación entre vsys ......................29
Volumen 10: Alta disponibilidad
Contenido....................................................................... i
Prefacio ......................................................................... v
Convenciones ........................................................... vi
Convenciones de la interfaz de línea
de comandos (CLI) ...................................................... vi
Convenciones de la interfaz gráfica (WebUI) ..............vii
Convenciones para las ilustraciones........................... ix
Convenciones de nomenclatura y conjuntos
de caracteres............................................................... x
Documentación de NetScreen
de Juniper Networks .................................................. xi
Capítulo 1 NSRP ............................................................1
Introducción al protocolo NSRP..................................3
Modos de funcionamiento de NetScreen y NSRP ......8
Configuración NSRP activo/pasivo básica ...................8
Ajustes predeterminados........................................9
Ejemplo: NSRP para una configuración
activo/pasivo........................................................10
Clústeres NSRP ..........................................................16
Nombre de clúster......................................................18
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 10: Alta disponibilidad
Clasificación del tráfico según IP.............................34
Ejemplo: Configuración de la clasificación
del tráfico según IP .............................................. 36
Acceso como administrador vsys.............................39
Ejemplo: Acceso y cambio de la contraseña ..... 39
Índice ......................................................................... IX-I
Ejemplo: Creación de un clúster NSRP ................ 19
Objetos en tiempo de ejecución............................... 22
Estados de réplica RTO ........................................ 23
Grupos VSD...............................................................24
Opción de prioridad .................................................. 24
Estados de los miembros de un grupo VSD................ 25
Mensajes de latido..................................................... 26
Ejemplo: Creación de dos grupos VSD................ 27
VSIs y rutas estáticas................................................... 29
Ejemplo: VSIs de zona Trust y Untrust .................... 30
Sincronización ..........................................................34
Sincronización de las configuraciones ...................... 34
Sincronización de archivos ........................................ 35
Sincronización de RTOs .............................................. 35
Ejemplo: Resincronización manual de RTOs ........ 36
Ejemplo: Agregación de un dispositivo
a un clúster NSRP activo ...................................... 37
Sincronización de los relojes del sistema ................... 38
Interfaces HA duales ................................................39
Mensajes de control................................................... 40
Mensajes de datos (reenvío de paquetes) ................ 41
xxvi
Contenido
Advertencia sobre el enrutamiento dinámico .....42
Sondeo de conexiones HA duales .............................43
Ejemplo: Envío manual de sondeos
de conexiones .....................................................44
Ejemplo: Envío automático de sondeos de
conexiones...........................................................45
Procedimiento de configuración .............................46
Cableado de una configuración
en malla completa.....................................................46
Configuración NSRP activo/activo ..............................50
Ejemplo: NSRP para una configuración
activo/activo ........................................................50
Capítulo 2 Redundancia de interfaces......................59
Interfaces redundantes ............................................60
Ejemplo: Creación de interfaces redundantes
para VSIs...............................................................62
Interfaces agregadas ..............................................67
Ejemplo: Configuración de una
interfaz agregada ................................................68
Interfaces Dual Untrust..............................................69
Conmutación por error de interfaces.........................70
Ejemplo: Forzar tráfico hacia la interfaz
de respaldo..........................................................70
Ejemplo: Revertir tráfico a la interfaz primaria .....70
Ejemplo: Conmutación automática de tráfico
por error ...............................................................71
Definición de conmutación por error de interfaces ...72
Conmutación por error de interfaces con
seguimiento de IP.................................................73
Ejemplo: Conmutación por error de interfaces....74
Ejemplo: Conmutación por error del túnel
activo-a-respaldo.................................................79
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 10: Alta disponibilidad
Conmutación por error de interfaces con supervisión
de túneles VPN..................................................... 87
Ejemplo: Túneles activos duales .......................... 88
Ejemplo: Aplicación de pesos a la conmutación por
error de túneles.................................................... 95
Interfaz serie ...........................................................106
Ajustes del módem................................................... 107
Ejemplo: Configuración del módem ................. 108
Configuración del ISP............................................... 109
Ejemplo: Configuración de información ISP ...... 110
Conmutación por error de interfaces serie .............. 111
Ejemplo: Configuración de una interfaz
de respaldo de acceso telefónico en el
modo Trust-Untrust .............................................. 112
Ejemplo: Eliminación de una ruta
predeterminada de la interfaz serie .................. 115
Ejemplo: Agregar una ruta predeterminada
a la interfaz serie................................................ 115
Ejemplo: Especificación de una directiva como
inactiva en caso de conmutación por error de
una interfaz serie................................................ 116
Capítulo 3 Conmutación por error ...........................117
Conmutación por error del dispositivo (NSRP) ........118
Conmutación por error del grupo VSD (NSRP) ........119
Configuración de la supervisión de objetos
para la conmutación por error del dispositivo
o del grupo VSD .....................................................120
Configuración de los objetos bajo supervisión ........ 122
Objetos de interfaz física ................................... 122
Ejemplo: Supervisión de una interfaz ................. 122
Objetos de zona ................................................ 123
Ejemplo: Supervisión de una interfaz ................. 123
Objetos IP sometidos a seguimiento .................. 124
xxvii
Contenido
Ejemplo: Seguimiento de IP para conmutación
por error del dispositivo ......................................127
Conmutación por error del sistema virtual .............132
Ejemplo: VSIs para el reparto de carga
entre sistemas virtuales.......................................132
Capítulo 4 NSRP-Lite..................................................139
Introducción al protocolo NSRP-Lite .......................141
Clústeres y grupos VSD .............................................142
Ajustes predeterminados ..........................................144
Clúster ....................................................................145
Nombre de clúster....................................................146
Autenticación y encriptación ...................................147
Grupo VSD ..............................................................148
Estados de los miembros de un grupo VSD ..............148
Mensajes de latido ...................................................150
Opción de prioridad ................................................150
Cableado y configuración del protocolo
NSRP-Lite .................................................................152
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
Volumen 10: Alta disponibilidad
Ejemplo: Configuración del protocolo
NSRP-Lite ............................................................ 153
Sincronización de la configuración y
los archivos.............................................................160
Sincronización de las configuraciones .................... 160
Sincronización de archivos ...................................... 161
Ejemplo: Agregación de un dispositivo
a un clúster NSRP activo .................................... 161
Sincronización automática de la configuración ..... 162
Supervisión de rutas ...............................................163
Establecimiento de los umbrales ............................. 164
Asignación de pesos a las direcciones IP
sometidas a seguimiento ......................................... 165
Seguimiento de IP para conmutación por error
del túnel VPN ............................................................ 166
Ejemplo: Seguimiento de IP a través
de un túnel VPN ................................................. 167
Índice ......................................................................... IX-I
xxviii
Prefacio

Los dispositivos de Juniper Networks son sistemas y dispositivos de seguridad para Internet basados en ASIC y
certificados por ICSA1 que integran funciones de cortafuegos, redes privadas virtuales (VPN) y asignación de tráfico
para ofrecer una protección flexible para zonas de seguridad, como redes de área local internas (LAN) o zonas
desmilitarizadas (DMZ), cuando se conectan a Internet.
• Cortafuegos: un cortafuegos analiza el tráfico que atraviesa el límite entre una LAN privada y una red
pública, como Internet.
• VPN: una VPN ofrece un canal de comunicaciones seguro entre dos o más dispositivos de red remotos.
• Funciones de red integradas: los protocolos de enrutamiento dinámico averiguan la accesibilidad y
notifican topologías de red que cambian dinámicamente. Además, la funcionalidad de asignación de tráfico
permite la supervisión y el control administrativos del tráfico que atraviesa el cortafuegos NetScreen para
mantener un nivel de calidad de servicio de red (QoS).
• Redundancia: alta disponibilidad de interfaces, rutas de encaminamiento, dispositivos NetScreen y (en
dispositivos NetScreen de gama alta) fuentes de alimentación y ventiladores, para evitar la existencia de un
único punto de error en cualquiera de estas áreas.

Nota: Para obtener más información sobre la conformidad de los productos NetScreen con las normas FIPS
(Federal Information Processing Standards) y para acceder a las instrucciones de configuración de un dispositivo
NetScreen conforme a FIPS en modo FIPS, consulte el documento NetScreen Cryptographic Module Security
Policy del CD-ROM de documentación de NetScreen.

1. La ICSA (Internet Computer Security Association) es una organización dedicada a todo tipo de sistemas de seguridad de red para empresas conectadas a
Internet. Entre sus numerosas funciones, ICSA ofrece certificaciones para diversos tipos de productos de seguridad, como antivirus, cortafuegos, PKI,
detección de intrusiones, IPSec y criptografía. ICSA ha certificado todos los productos de NetScreen para cortafuegos e IPSec.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general xxix

Prefacio

Funciones clave en ScreenOS

Zona Untrust
LAN LAN
Internet

VPNs: túneles de
comunicación segura entre
dos puntos para el tráfico Redundancia: el dispositivo
que atraviesa Internet. de respaldo mantiene una
configuración y unas sesiones
idénticas a las del dispositivo
Dispositivo de principal para asumir el puesto
Cortafuegos: análisis del respaldo del dispositivo principal si es
tráfico entre la LAN protegida e necesario. (Nota: las
Internet interfaces, las rutas de
encaminamiento, las fuentes
de alimentación y los
ventiladores también pueden
Funciones de red integradas: ser redundantes).
Asignación de tráfico:
realiza funciones de enrutamiento, y priorización eficaz del
se comunica e interactúa con tráfico a medida que
dispositivos de enrutamiento del atraviesa el cortafuegos
entorno.
LAN
Enrutamiento Dest Utilice
dinámico: 0.0.0.0/0 1.1.1.250
Zona Trust la tabla de enrutamiento 1.1.1.0/24 eth3
se actualiza 1.2.1.0/24 eth2
automáticamente
comunicándose con los 10.1.0.0/16 trust-vr
interlocutores de 10.2.2.0/24 tunnel.1
enrutamiento dinámico. 10.3.3.0/24 tunnel.2

NetScreen ScreenOS de Juniper Networks es el sistema operativo que ofrece todas las funciones necesarias para
configurar y gestionar cualquier dispositivo o sistema de seguridad NetScreen. NetScreen: conceptos y ejemplos,
Manual de referencia de ScreenOS es un manual de referencia de utilidad para configurar y gestionar un dispositivo
NetScreen a través de ScreenOS.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general xxx

Prefacio Organización de este manual

ORGANIZACIÓN DE ESTE MANUAL

NetScreen: conceptos y ejemplos, Manual de referencia de ScreenOS es un conjunto de documentos distribuidos
en varios volúmenes. A continuación se resume el contenido de cada volumen:
Volumen 1, “Vista general”
• “Contenido” incluye un índice global de todos los volúmenes de NetScreen: conceptos y ejemplos, Manual
de referencia de ScreenOS .
• Apéndice A: el “Glosario” contiene definiciones de todos los términos clave utilizados en todos los
volúmenes de NetScreen: conceptos y ejemplos, Manual de referencia de ScreenOS .
• “Índice”: incluye un índice alfabético global de todos los volúmenes de NetScreen: conceptos y ejemplos,
Manual de referencia de ScreenOS .
Volumen 2, “Fundamentos”
• Capítulo 1, “Arquitectura de ScreenOS” describe los elementos fundamentales de la arquitectura de
NetScreen ScreenOS y se incluye con un ejemplo de cuatro partes con el que se ilustra una configuración
empresarial que incorpora la mayor parte de dichos elementos. En éste y en todos los capítulos siguientes,
cada concepto va acompañado de ejemplos ilustrativos.
• Capítulo 2, “Zonas” explica las zonas de seguridad, las zonas de túnel y las zonas de función.
• Capítulo 3, “Interfaces” describe las diferentes interfaces físicas, lógicas y virtuales de los dispositivos
NetScreen.
• Capítulo 4, “Modos de las interfaces” explica los conceptos relacionados con los modos de funcionamiento
de interfaz transparente, NAT (Network Address Translation) y de rutas.
• Capítulo 5, “Bloques para la construcción de directivas” explica los elementos utilizados para crear
directivas y redes privadas virtuales (“Virtual Private Network” o VPN): direcciones (incluyendo direcciones
VIP), servicios y conjuntos de DIP. También se incluyen diversos ejemplos de configuración compatibles
con el protocolo H.323.
• Capítulo 6, “Directivas” examina los componentes y las funciones de las directivas y ofrece instrucciones
para su creación y aplicación.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general xxxi

Prefacio Organización de este manual

• Capítulo 7, “Asignación de tráfico” explica cómo gestionar el ancho de banda en los niveles de interfaz y
directivas y cómo priorizar servicios.
• Capítulo 8, “Parámetros del sistema” describe los conceptos relacionados con el direccionamiento de
sistemas de nombres de dominio (“Domain Name System” o DNS), el uso del protocolo dinámico de
configuración de host (“Dynamic Host Configuration Protocol” o DHCP) para asignar o retransmitir ajustes
TCP/IP, la carga y descarga de configuraciones del sistema y software y el ajuste del reloj del sistema.
Volumen 3, “Administración”
• Capítulo 1, “Administración” explica los distintos medios disponibles para gestionar un dispositivo
NetScreen de forma local y remota. En este capítulo también se explican los privilegios asociados a cada
uno de los cuatro niveles de administradores de red que se pueden definir. Por último, se explica como
garantizar la seguridad del tráfico administrativo local y remoto.
• Capítulo 2, “Supervisión de dispositivos NetScreen” explica los diversos métodos de supervisión y se
ofrecen instrucciones para interpretar los resultados de dicha supervisión.
• Apéndice A, “Archivos MIB para SNMP” enumera y describe brevemente los archivos de base de
información de administración (“Management Information Base” o MIB) disponibles para los compiladores
MIB.
Volumen 4, “Mecanismos de detección de ataques y defensa”
• Capítulo 1, “Protección de una red” resume las etapas básicas de un ataque y las opciones de cortafuegos
disponibles para combatir al atacante en cada etapa.
• Capítulo 2, “Bloqueo de reconocimiento” describe las opciones disponibles para bloquear el barrido de
direcciones IP, los análisis de puertos y los intentos de descubrir el tipo de sistema operativo (OS) del
sistema objetivo del ataque.
• Capítulo 3, En “Defensas contra los ataques de denegación de servicio” se explican los ataques DoS
específicos de cada sistema operativo, red o cortafuegos, y cómo NetScreen amortigua estos ataques.
• Capítulo 4, “Supervisión y filtrado de contenidos” describe cómo proteger a los usuarios del protocolo de
transferencia de hipertexto ( “Hypertext Transfer Protocol” o HTTP) frente a los localizadores uniformes de
recursos (“Uniform Resource Locator” o URL) maliciosos y cómo configurar el dispositivo NetScreen para
trabajar con productos de otros fabricantes y así proporcionar análisis antivirus y filtrado de URL.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general xxxii

Prefacio Organización de este manual

• Capítulo 5, “Deep Inspection” describe cómo configurar el dispositivo NetScreen para obtener
actualizaciones de objetos de ataques Deep Inspection (DI), cómo crear objetos de ataque y grupos de
objetos de ataque definidos por el usuario, y cómo aplicar IDP a nivel de directivas.
• Capítulo 6, “Atributos de los paquetes sospechosos” explica una serie de opciones SCREEN que bloquean
los paquetes potencialmente peligrosos.
• Capítulo 7, “Prevención de ataques de sobrefacturación de GPRS” describe el ataque GPRS Overbilling y
explica la solución.
• Apéndice A, “Contextos para firmas definidas por el usuario” proporciona una lista y descripciones de los
contextos que se pueden especificar al definir un objeto de ataque de firma completa.
Volumen 5, “VPNs”
• Capítulo 1, “IPSec” ofrece información sobre IPSec, presenta una secuencia de flujo para la fase 1 en
negociaciones IKE en los modos dinámico y principal, y concluye con información sobre la encapsulación
de paquetes IKE y IPSec.
• Capítulo 2, “Criptografía de claves públicas” explica cómo obtener y cargar certificados digitales y listas de
revocación de certificados (CRL).
• Capítulo 3, “Directivas VPN” contiene información útil para seleccionar las opciones VPN disponibles.
También contiene un gráfico de flujo de paquetes para contribuir a desmitificar el procesamiento de
paquetes VPN.
• Capítulo 4, “VPNs punto a punto” ofrece numerosos ejemplos de configuraciones VPN para interconectar
dos redes privadas.
• Capítulo 5, “VPNs de acceso telefónico” ofrece numerosos ejemplos de comunicación cliente/LAN
mediante AutoKey IKE. También ofrece información detallada sobre las configuraciones de ID IKE de grupo
e ID IKE compartida.
• Capítulo 6, “L2TP” explica el protocolo L2TP (Layer 2 Tunneling Protocol), su utilización en solitario y junto
con IPSec (L2TP sobre IPSec).
• Capítulo 7, “Funciones de VPN avanzadas” contiene información y ejemplos sobre las configuraciones VPN
más avanzadas, como NAT-Traversal, supervisión VPN, asociación de múltiples túneles a una única
interfaz de túnel y diseños de túnel radial y adosado.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general xxxiii

Prefacio Organización de este manual

Volumen 6, “Enrutamiento”
• Capítulo 1, “Tablas de enrutamiento y enrutamiento estático” describe la tabla de enrutamiento de
ScreenOS, el proceso de enrutamiento básico que realiza el dispositivo NetScreen y cómo configurar rutas
estáticas en dispositivos NetScreen.
• Capítulo 2, “Enrutadores virtuales” explica cómo configurar los enrutadores virtuales en los dispositivos
NetScreen y cómo redistribuir las entradas de la tabla de enrutamiento entre protocolos o entre enrutadores
virtuales.
• Capítulo 3, “Protocolo OSPF” describe cómo configurar el protocolo de enrutamiento dinámico OSPF en los
dispositivos NetScreen.
• Capítulo 4, “Protocolo de información de enrutamiento (RIP)” describe cómo configurar el protocolo de
enrutamiento dinámico RIP en los dispositivos NetScreen.
• Capítulo 5, “Protocolo de puerta de enlace de límite (BGP)” describe cómo configurar el protocolo de
enrutamiento dinámico BGP en los dispositivos NetScreen.
• Capítulo 6, “Enrutamiento multicast” presenta los conceptos básicos sobre el enrutamiento multicast.
• Capítulo 7, “IGMP” describe cómo configurar el protocolo de administración del grupo de Internet (“Internet
Group Management Protocol” o IGMP) en los dispositivos NetScreen.
• Capítulo 8, “PIM” describe cómo configurar el protocolo de enrutamiento Protocol Independent Multicast
(PIM) en los dispositivos NetScreen.
Volumen 7, “Traducción de direcciones”
• Capítulo 1, “Traducción de direcciones” explica los diversos métodos de traducción de direcciones de
origen y de destino.
• Capítulo 2, “Traducción de direcciones de red de origen” presenta los diferentes métodos de traducción de
direcciones de origen.
• Capítulo 3, “Traducción de direcciones de red de destino” presenta los diferentes métodos de traducción de
direcciones de destino.
• Capítulo 4, “Direcciones IP asignadas y virtuales” trata sobre el uso de direcciones IP asignadas (“mapped
IP” o MIP) y virtuales (“virtual IP” o VIP) para realizar la traducción de direcciones de destino.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general xxxiv

Prefacio Organización de este manual

Volumen 8, “Autenticación de usuarios”

• Capítulo 1, “Autenticación” detalla los distintos usos y métodos de autenticación que admite NetScreen.
• Capítulo 2, “Servidores de autenticación” presenta las opciones de utilización de cada uno de los tres tipos
de servidor posibles (RADIUS, SecurID o LDAP) o de la base de datos interna y muestra cómo configurar el
dispositivo NetScreen para trabajar con cada tipo.
• Capítulo 3, “Usuarios de autenticación” explica cómo definir los perfiles para los usuarios de autenticación y
cómo agregarlos a los grupos de usuarios almacenados localmente o en un servidor de autenticación
RADIUS externo.
• Capítulo 4, “Usuarios IKE, XAuth y L2TP” explica cómo definir usuarios IKE, XAuth y L2TP. Aunque la
sección XAuth se centra sobre todo en el uso del dispositivo NetScreen como servidor de XAuth, también
incluye una subsección sobre la configuración de determinados dispositivos NetScreen actuando como
clientes XAuth.
Volumen 9, “Sistemas virtuales”
• Capítulo 1, “Sistemas virtuales” describe los conceptos de sistemas virtuales, interfaces dedicadas y
compartidas y la clasificación del tráfico según la VLAN y la IP. También explica cómo configurar sistemas
virtuales y crear administradores de sistemas virtuales.
Volumen 10, “Alta disponibilidad”
• Capítulo 1, “NSRP” explica cómo cablear, configurar y administrar dispositivos NetScreen en un grupo
redundante para proporcionar alta disponibilidad mediante el protocolo NSRP (NetScreen Redundancy
Protocol).
• Capítulo 2, “Redundancia de interfaces” describe las distintas formas en que los dispositivos NetScreen
proporcionan redundancia de interfaces.
• Capítulo 3, “Conmutación por error” describe la configuración de la conmutación por error de un dispositivo,
un grupo de dispositivos de seguridad virtual (VSD) o un sistema virtual. También se explica cómo
supervisar determinados objetos para determinar la conmutación por error de un dispositivo o grupo VSD.
• Capítulo 4, “NSRP-Lite” explica cómo configurar dispositivos NetScreen compatibles con NSRP-Lite.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general xxxv

Prefacio Convenciones

CONVENCIONES
Este documento contiene distintos tipos de convenciones, que se explican en las siguientes secciones:
• “Convenciones de la interfaz de línea de comandos (CLI)”
• “Convenciones de la interfaz gráfica (WebUI)” en la página xxxvii
• “Convenciones para las ilustraciones” en la página xxxix
• “Convenciones de nomenclatura y conjuntos de caracteres” en la página xl

Convenciones de la interfaz de línea de comandos (CLI)

Las siguientes convenciones se utilizan para representar la sintaxis de los comandos de la interfaz de línea de
comandos (CLI):
• Los comandos entre corchetes [ ] son opcionales.
• Los elementos entre llaves { } son obligatorios.
• Si existen dos o más opciones alternativas, aparecerán separadas entre sí por barras verticales ( | ).
Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage
significa “establecer las opciones de administración de la interfaz ethernet1, ethernet2 o ethernet3”.
• Las variables aparecen en cursiva. Por ejemplo:
set admin user name password
Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salvo en el caso de las variables,
que siempre aparecen en cursiva ). Por ejemplo: “Utilice el comando get system para visualizar el número de serie
de un dispositivo NetScreen”.

Nota: Para escribir palabras clave, basta con introducir los primeros caracteres que permitan al sistema reconocer
de forma inequívoca la palabra que se está introduciendo. Por ejemplo, es suficiente escribir set adm u joe
j12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54 . Aunque este método se
puede utilizar para introducir comandos, en la presente documentación todos ellos se representan con sus
palabras completas.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general xxxvi

Prefacio Convenciones

Convenciones de la interfaz gráfica (WebUI)

En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegación de la WebUI por las que se
pasa al hacer clic en opciones de menú y vínculos. Por ejemplo, la ruta para abrir el cuadro de diálogo de
configuración de direcciones se representa como sigue: Objects > Addresses > List > New . A continuación se
muestra la secuencia de navegación.

1. Haga clic en Objects en la columna de menú. 3. Haga clic en List.

La opción de menú Objects se desplegará para
mostrar las opciones subordinadas que contiene.
2. (Menú Applet) Sitúe el ratón sobre Addresses.
(Menú DHTML) Haga clic en Addresses.
La opción de menú Addresses se desplegará para
mostrar las opciones subordinadas que contiene.
Aparecerá la tabla de libretas de direcciones.
4. Haga clic en el vínculo New.
Aparecerá el cuadro de diálogo de configuración
de nuevas direcciones.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general xxxvii

Prefacio Convenciones

Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de diálogo apropiado, donde
podrá definir objetos y establecer parámetros de ajuste. El conjunto de instrucciones de cada tarea se divide en dos
partes: la ruta de navegación y los datos de configuración. Por ejemplo, el siguiente conjunto de instrucciones
incluye la ruta al cuadro de diálogo de configuración de direcciones y los ajustes de configuración que se deben
realizar:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust

Nota: En este ejemplo, no hay

Address Name: addr_1
instrucciones para el campo
Comment, por lo que se deja
en blanco.
IP Address Name/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32

Zone: Untrust

Haga clic
en OK .

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general xxxviii

Prefacio Convenciones

Convenciones para las ilustraciones

Los siguientes gráficos conforman el conjunto básico de imágenes utilizado en las ilustraciones de este manual:

Red de área local (LAN) con

Dispositivo NetScreen genérico una única subred
(ejemplo: 10.1.1.0/24)

Dominio de enrutamiento virtual Internet

Rango de direcciones IP dinámicas

Zona de seguridad (DIP)

Equipo de escritorio
Interfaces de zonas de seguridad
Blanca = interfaz de zona protegida
(ejemplo: zona Trust)
Negra = interfaz de zona externa Equipo portátil
(ejemplo: zona sin confianza o zona Untrust)

Dispositivo de red genérico

Interfaz de túnel
(ejemplos: servidor NAT,
concentrador de acceso)
Túnel VPN

Servidor
Icono de enrutador (router)

Icono de conmutador (switch)

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general xxxix

Prefacio Convenciones

Convenciones de nomenclatura y conjuntos de caracteres

ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones, usuarios
administradores, servidores de autenticación, puertas de enlace IKE, sistemas virtuales, túneles de VPN y zonas)
definidas en las configuraciones de ScreenOS.
• Si la secuencia de caracteres que conforma un nombre contiene al menos un espacio, la
cadena completa deberá entrecomillarse mediante comillas dobles ( “ ); por ejemplo,
set address trust “local LAN” 10.1.1.0/24 .
• NetScreen eliminará cualquier espacio al comienzo o al final de una cadena entrecomillada;
por ejemplo, “ local LAN ” se transformará en “local LAN”.
• NetScreen tratará varios espacios consecutivos como uno solo.
• En las cadenas de nombres se distingue entre mayúsculas y minúsculas; por el contrario, en
muchas palabras clave de la interfaz de línea de comandos pueden utilizarse indistintamente.
Por ejemplo, “local LAN” es distinto de “local lan”.
ScreenOS admite los siguientes conjuntos de caracteres:
• Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de múltiples bytes (MBCS). Algunos
ejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS,
también conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano
y el japonés.

Nota: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS,
según el conjunto de caracteres que admita el explorador web.

• Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepción de las comillas dobles ( “ ),
que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general xl

Prefacio Documentación de NetScreen

DOCUMENTACIÓN DE NETSCREEN
Para obtener documentación técnica sobre cualquier producto NetScreen de Juniper Networks, visite
www.juniper.net/techpubs/.
Para obtener soporte técnico, abra un expediente de soporte utilizando el vínculo “Case Manager” en la página web
http://www.juniper.net/support/ o llame al teléfono 1-888-314-JTAC (si llama desde los EE.UU.) o al
+1-408-745-9500 (si llama desde fuera de los EE.UU.).
Si encuentra algún error o omisión en esta documentación, póngase en contacto con nosotros a través de la
siguiente dirección de correo electrónico:
techpubs-comments@juniper.net

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general xli

Prefacio Documentación de NetScreen

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general xlii

Apéndice A

Glosario
A
10BaseT: La forma más común de la norma Ethernet se conoce como 10BaseT, lo que indica una velocidad de
transmisión de 10 Mbps utilizando un cable de par trenzado de cobre. Ethernet es una norma para la conexión de
equipos a una red de área local (LAN). La distancia de cable máxima será de 100 metros, el número máximo de
dispositivos por segmento de red será 1 y el de dispositivos por red, 1.024. Consulte también 100BaseT y Par
trenzado sin blindaje (UTP).
100BaseT: Sinónimo de “fast ethernet”, una norma ampliada para la conexión de equipos a una red de área local
(LAN). Ethernet 100BaseT funciona igual que Ethernet, excepto por el hecho de que puede transferir datos a una
velocidad punta de 100 Mbps. También es más caro y menos común que su antecesor 10BaseT. Consulte también
10BaseT.
Adaptador virtual: Ajustes TCP/IP (dirección IP, direcciones de servidor DNS y direcciones de servidor WINS) que
un dispositivo NetScreen asigna a un usuario XAuth remoto para su uso en una conexión VPN.
Administración de claves: El único modo razonable de proteger la integridad y privacidad de la información es
confiar en el uso de información secreta en forma de claves privadas para firmar o encriptar los datos. La gestión y
el manejo de estos datos secretos se suele conocer como “administración de claves”. Incluye las actividades de
selección, intercambio, almacenamiento, certificación, caducidad, revocación, cambio y transmisión de claves. La
mayor parte del trabajo que supone administrar sistemas de seguridad de información se centra en la
administración de claves.
Adyacencias: Cuando dos enrutadores pueden intercambiar entre sí información de enrutamiento, se considera
que han establecido una relación de adyacencia. Las redes punto a punto sólo tienen dos enrutadores, de modo
que forman automáticamente una adyacencia. Sin embargo, en las redes punto a multipunto hay varias redes punto
a punto. Cuando los enrutadores se emparejan en esta topología de red más compleja, se considera que son
adyacentes entre sí.
Agregación: Proceso de combinar varias rutas distintas de modo que sólo se notifique una. Con esta técnica se
minimiza el tamaño de la tabla de enrutamiento para el enrutador.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-I

Apéndice A Glosario

Agregado atómico: Objeto utilizado por un enrutador BGP para informar a otros enrutadores BGP de que el
sistema ha seleccionado una ruta general.
Agregador: Objeto utilizado para agrupar múltiples rutas bajo una ruta común general de acuerdo con el valor de la
máscara de red.
Análisis antivirus (AV): Un mecanismo para detectar y bloquear virus en tráfico FTP (“File Transfer Protocol”),
IMAP (“Internet Message Access Protocol”), SMTP (“Simple Mail Transfer Protocol”), HTTP (“Hypertext Transfer
Protocol”), incluyendo el tráfico HTTP webmail, y POP3 (“Post Office Protocol”). NetScreen ofrece una solución
interna de análisis AV.
Árbol de distribución compartido: Un árbol de distribución multicast donde el origen transmite el tráfico multicast
al punto de encuentro (“rendezvous point” o RP), que a continuación reenvia el tráfico en sentido descendente a los
receptores del árbol de distribución.
Árbol de la ruta más corta (SPT): Un árbol de distribución multicast donde el origen se encuentra en la raíz del
árbol y reenvía datos multicast en sentido descendente a cada receptor. Denominada también árbol específico del
origen o “source-specific tree”.
Área: El método de clasificación fundamental en el protocolo de enrutamiento OSPF. Un área OSPF divide una red
de gran tamaño en fragmentos menores y más manejables. Con esta técnica se reduce la cantidad de información
que cada enrutador debe almacenar y actualizar acerca de todos los demás enrutadores. Cuando un enrutador en
un área determinada necesita información sobre otro dispositivo, dentro o fuera de esa área, contacta con un
enrutador especial que almacena esa información. Este enrutador se conoce como enrutador de límite de área
(ABR) y contiene toda la información esencial sobre dispositivos. Además, el enrutador de límite de área filtra toda
la información que llega al área, evitando así que otros enrutadores del área se vean ralentizados por información
que no necesiten.
AS. Véase Sistema autónomo.
Asignación de puertos: La traducción del número de puerto de destino original en un paquete a otro número de
puerto predeterminado.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-II

Apéndice A Glosario

Asociación de seguridad: Una SA (Security Association) es un acuerdo unidireccional entre los participantes VPN
por lo que respecta a los métodos y parámetros empleados para garantizar la seguridad de un canal de
comunicaciones. Una comunicación bidireccional requiere al menos dos SA, una para cada dirección. Los
participantes VPN negocian y acuerdan SAs de fase 1 y de fase 2 durante una negociación AutoKey IKE. Consulte
también Índice de parámetros de seguridad.
Autenticación: La autenticación garantiza que las transmisiones de datos digitales lleguen al destinatario previsto.
También garantiza al destinatario la integridad del mensaje y su fuente (el lugar donde se originó o la persona que
lo envió). La forma más simple de autenticación requiere un nombre de usuario y una contraseña para poder
acceder a una cuenta en particular. Los protocolos de autenticación también se pueden basar en una encriptación
de clave secreta, como DES o 3DES, o en sistemas de clave pública, que utilizan firmas digitales.
Cadena AS-path: Cadena que funciona como identificador de una ruta a un sistema autónomo. Se configura junto
con la ID de lista de acceso AS-path.
Clase de atributo AS-path: El protocolo BGP proporciona tres clases de atributos de ruta: Well-Known
Discretionary, Optional Transitive, and Optional Non-Transitive.
Clúster: Grupo de enrutadores en un sistema autónomo BGP, donde un enrutador se establece como reflector de
rutas y los demás son clientes del reflector. El reflector es responsable de proporcionar a los clientes la información
de rutas y direcciones que conoce por los dispositivos de otro sistema autónomo.

Nota: El término “clúster” tiene otro significado en relación con la alta disponibilidad (HA). Consulte “Protocolo de
redundancia de NetScreen (NSRP)”.

Comparación MED: El atributo MED (Multi Exit Discriminator) se utiliza para determinar una conexión ideal para
llegar a un prefijo particular dentro o tras el sistema autónomo (AS) actual. El MED contiene una métrica que
expresa el grado de preferencia de entradas en el AS. Puede establecer prioridad de una conexión sobre el resto
configurando un valor MED para una conexión menor que el del resto de conexiones. Cuanto menor sea el valor
MED, mayor será la prioridad de la conexión. Esto sucede porque un AS establece el valor MED y el otro AS utiliza
el valor para elegir una ruta.
Comunidad: Una comunidad es una agrupación de destinos BGP. Al actualizar la comunidad, se actualizan
automáticamente los destinos de sus miembros con nuevos atributos.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-III

Apéndice A Glosario

Concentrador: Un concentrador (hub) es un dispositivo de hardware utilizado para interconectar equipos

(normalmente, a través de una conexión Ethernet). Se utiliza como punto de cableado común, de modo que la
información puede fluir a través de una ubicación central hacia cualquier otro equipo de la red. Un concentrador
repite las señales en la capa Ethernet física. Un concentrador mantiene el comportamiento de una red de tipo bus
estándar (como Thinnet), pero produce una tipología en estrella con el concentrador en su centro. Esta
configuración permite una administración centralizada.
Conexión virtual: Ruta lógica desde un área OSPF remota hasta el área troncal.
Confederación: Objeto dentro de un sistema autónomo BGP que es un subconjunto de instancias de enrutamiento
en el sistema autónomo. Al agrupar dispositivos en confederaciones dentro de un sistema autónomo BGP, se
reduce la complejidad asociada a la matriz de conexiones de enrutamiento, conocida como “malla”, dentro del
sistema autónomo.
Consultador: Un enrutador que envía mensajes IGMP (“Internet Group Management Protocol”) a todos los hosts
de la red para solicitar información de miembros del grupo. Generalmente hay un consultar por cada red.
Cortafuegos: Dispositivo que protege y controla la conexión de una red con otra, tanto para el tráfico entrante
como para el saliente. Los cortafuegos se utilizan en empresas que desean proteger cualquier servidor conectado a
la red frente a daños (intencionados o no) por parte de quienes acceden a él. Puede tratarse de un equipo
dedicado, equipado con medidas de seguridad, o de un tipo de protección basada en software.
Deep Inspection (DI): Mecanismo para filtrar el tráfico permitido por el cortafuegos NetScreen. Deep Inspection
examina los encabezados de los paquetes de las capas 3 y 4, así como las características del protocolo y el
contenido de aplicación de la capa 7 para detectar e impedir cualquier ataque o comportamiento anómalo que
pueda presentarse.
Desafío de acceso: Condición adicional necesaria para que un usuario de autenticación inicie una sesión Telnet
correctamente a través de un servidor RADIUS.
Desplazamiento de direcciones: Mecanismo para crear una asignación directa (1:1) entre una dirección original
cualquiera en un rango de direcciones y una dirección traducida específica en otra rango.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-IV

Apéndice A Glosario

Dirección IP: Cada nodo de una red TCP/IP utiliza normalmente una dirección IP. La dirección IP tiene una porción
de número de red (r) y una porción de número de host (h), tal y como se muestra en la siguiente tabla de clases y
formatos de direcciones IP:

Clase Número de nodos Formato de

dirección
A > 32.768 rrr.hhh.hhh.hhh
B 256–32.768 rrr.rrr.hhh.hhh
C < 256 rrr.rrr.rrr.hhh

Este formato se conoce como formato de punto decimal. Cada “r” representa una cifra del número de red y, cada
“h”, una cifra del número de host; por ejemplo, 128.11.2.30. Si se envían datos fuera de la red propia (p. ej., a través
de Internet), es necesario obtener el número de red de una autoridad central, que actualmente es el Centro de
Información de Red correspondiente (NIC). Consulte también Máscara de red y Máscara de subred.
Dirección IP asignada o MIP: Una dirección MIP es una asignación directa “uno a uno” a una dirección IP del
tráfico destinado a otra dirección IP.
Dirección MAC (Media Access Control): Dirección que identifica de forma única la tarjeta de interfaz de red, por
ejemplo, un adaptador Ethernet. En el caso de Ethernet, la dirección MAC es una dirección de 6 octetos asignada
por IEEE. En una LAN o cualquier otra red, la dirección MAC es un número de hardware único del equipo (en una
LAN Ethernet, será el mismo que la dirección Ethernet). Cuando se conecte a Internet desde su equipo (o host, tal
y como lo identifica el protocolo de Internet), una tabla de correspondencias relacionará su dirección IP a la
dirección (MAC) física de su equipo en la LAN. La dirección MAC se utiliza en la subcapa de control de acceso a
medios (MAC) de la capa de control de conexión de datos (DLC) en los protocolos de comunicación. Existe una
subcapa MAC distinta para cada tipo de dispositivo físico.
Directivas: Las directivas ofrecen el mecanismo de protección inicial para el cortafuegos, permitiendo determinar
qué tráfico puede atravesarlo en función de los detalles de la sesión IP. Las directivas se pueden utilizar para
proteger los recursos de una zona de seguridad frente a ataques procedentes de otras zonas (directivas
interzonales) o frente a ataques procedentes de la misma zona (directivas intrazonales). También se pueden utilizar
para supervisar el tráfico que intente atravesar el cortafuegos.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-V

Apéndice A Glosario

Directivas multicast: Las directivas multicast permiten que el tráfico de control multicast, como mensajes Internet
Group Management Protocol (IGMP) or Protocol-Independent Multicast (PIM), cruce los dispositivos NetScreen.
Discriminador de salida múltiple: Atributo BGP que determina la preferencia relativa de los puntos de entrada a
un sistema autónomo.
Dispositivo de seguridad virtual (VSD): Un único dispositivo lógico compuesto por un conjunto de dispositivos
NetScreen físicos.
ECMP (rutas múltiples de igual coste): Equal Cost MultiPath (ECMP) asiste con equilibrio de cargas entre dos a
cuatro rutas al mismo destino o aumenta la eficacia de utilización del ancho de banda entre dos o más destinos.
Cuando están habilitados, los dispositivos NetScreen utilizan las rutas definidas estáticamente o memorizan
dinámicamente varias rutas al mismo destino mediante un protocolo de enrutamiento. El dispositivo NetScreen
asigna rutas de igual coste en el modo de ronda recíproca (“round robin”). Valor predeterminado: disabled
Encabezado de autenticación (AH): Véase ESP/AH.
Encapsulamiento: Método de encapsulación de datos. Con el encapsulamiento VPN, un teletrabajador accede al
punto de presencia (POP) de un proveedor de servicios de Internet local en lugar de acceder directamente a la red
de la empresa. Esto implica que, independientemente del lugar en el que se encuentren los teletrabajadores,
siempre pueden acceder a la red de la empresa a través de un proveedor de servicios de Internet local que admita
la tecnología de encapsulamiento VPN, con lo que los costes generados son sólo los de una llamada telefónica
local. Cuando los usuarios remotos acceden a su red de empresa a través de un proveedor de servicios de Internet
que admite el encapsulamiento VPN, tanto el usuario remoto como la propia organización saben que se trata de
una conexión segura. Todos los usuarios telefónicos remotos se autentican a través de un servidor de autenticación
del sitio del proveedor de servicios de Internet y a través de otro servidor de autenticación de la red de empresa.
Esto implica que sólo los usuarios remotos autorizados pueden acceder a la red de la empresa, y sólo pueden
acceder a los host que estén autorizados a utilizar.
Encriptación: Proceso de cambiar los datos de forma que sólo pueda leerlos el receptor correspondiente. Para
descifrar el mensaje, el receptor de los datos encriptados debe disponer de la clave de desencriptación adecuada.
En esquemas de encriptación tradicionales, el emisor y el receptor utilizan la misma clave para encriptar y
desencriptar los datos. Los esquemas de encriptación de clave pública utilizan dos claves: una clave pública, que

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-VI

Apéndice A Glosario

puede utilizar cualquier usuario, y una clave privada correspondiente, que sólo tiene la persona que la creó. Con
este método, cualquiera puede enviar un mensaje encriptado con la clave pública del propietario, pero sólo él podrá
desencriptarlo con su clave privada. DES (Data Encryption Standard) y 3DES (Triple DES) son dos de los
esquemas de encriptación de clave pública más conocidos.
Enrutador: Dispositivo virtual o de hardware (de un entorno NetScreen) que distribuye datos entre todos los demás
enrutadores y puntos de recepción situados dentro o fuera del dominio de enrutamiento local. Los enrutadores
también actúan como filtros, permitiendo que sólo los dispositivos autorizados transmitan datos dentro de la red
local para que la información privada siga siendo segura. Además de dar soporte a estas conexiones, los
enrutadores también gestionan errores, mantienen estadísticas de utilización de la red y se encargan de cuestiones
de seguridad.
Enrutador de límite de área: Enrutador con al menos una interfaz en el Area 0 y al menos una interfaz en otra
área.
Enrutador de límite de sistema autónomo: Enrutador que conecta un sistema autónomo ejecutado según un
protocolo de enrutamiento con otro sistema autónomo ejecutado según un protocolo distinto.
Enrutador virtual: Un enrutador virtual es el componente de ScreenOS que realiza las funciones de enrutamiento.
De forma predeterminada, un dispositivo NetScreen admite dos enrutadores virtuales: Untrust-VR y Trust-VR.
Enrutamiento dinámico: Método de enrutamiento que se adapta a las circunstancias cambiantes de la red
analizando los mensajes entrantes de actualización de enrutamiento. Si el mensaje indica que se ha producido un
cambio en la red, el software de enrutamiento volverá a calcular las rutas y a enviar nuevos mensajes de
actualización de enrutamiento. Estos mensajes alimentan la red, ordenando a los enrutadores que vuelvan a
ejecutar sus algoritmos y que realicen los cambios necesarios en sus tablas de enrutamiento. Existen dos formas
comunes de enrutamiento dinámico, incluyendo el enrutamiento de vector distancia y el enrutamiento de estado de
conexión.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-VII

Apéndice A Glosario

Enrutamiento estático: Rutas definidas por el usuario que fuerzan a los paquetes que se desplazan entre un
origen y un destino a pasar por una ruta especificada. Los algoritmos de enrutamiento estático son asignaciones de
tabla establecidas por el administrador de red antes de que comience el enrutamiento. Estas asignaciones no
cambian salvo que el administrador de red las modifique manualmente. Los algoritmos que utilizan rutas estáticas
son fáciles de diseñar y funcionan bien en entornos en los que el tráfico de red es relativamente predecible y el
diseño de la red es relativamente sencillo.
El software recuerda las rutas estáticas hasta que el usuario las elimina. No obstante, es posible anular rutas
estáticas con información de enrutamiento dinámico a través de la asignación prudente de valores de distancia
administrativa. Para ello, debe asegurarse de que la distancia administrativa de la ruta estática sea mayor que la del
protocolo dinámico.
Enrutamiento multicast: Un método de enrutamiento utilizado para enviar secuencias multimedia a un grupo de
receptores. Los enrutadores habilitados para multicast solamente transmiten tráfico multicast a los hosts que
desean recibir el tráfico. Los hosts deben señalizar su interés por recibir datos multicast y deben unirse a un grupo
multicast para recibir los datos.
Enrutamiento según el origen: Puede configurar un enrutador virtual en un dispositivo NetScreen para que
reenvíe el tráfico en función de la dirección de origen del paquete de datos en lugar de en función de la dirección de
destino.
Enrutamiento según el origen (SIBR): SIBR permite al dispositivo NetScreen reenviar tráfico en función de la
interfaz de origen (la interfaz por la que el paquete de datos llega al dispositivo NetScreen).
Enrutamiento sin clase: Compatibilidad para el enrutamiento entre dominios, independientemente del tamaño o la
clase de la red. Las direcciones de red se dividen en tres clases, pero éstas son transparentes en BGP, dando así a
la red una mayor flexibilidad.
Envejecimiento agresivo: Mecanismo para acelerar el proceso del tiempo de espera cuando el número de
sesiones en la tabla de sesiones sobrepasa un umbral superior especificado. Cuando el número de sesiones en la
tabla cae por debajo de un umbral inferior especificado, el proceso del tiempo de espera vuelve a su estado normal.
Equilibrio de carga: El equilibrio de carga es la asignación (o reasignación) de trabajo a dos o más procesadores,
con la intención de mejorar la eficacia del sistema.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-VIII

Apéndice A Glosario

ESP/AH: Los protocolos de seguridad en el nivel de IP (AH y ESP), fueron propuestos originalmente por el grupo
de trabajo de redes (Network Working Group) centrándose en los mecanismos de seguridad IP, IPSec. El término
IPSec se utiliza libremente para hacer referencia a paquetes, claves y enrutadores asociados a estos protocolos. El
protocolo de encabezamiento de autenticación (AH) IP proporciona autenticación. El protocolo de seguridad de
encapsulamiento (ESP) proporciona autenticación y encriptación.
Establecimiento de conexión en tres fases: Una conexión TCP se establece con un intercambio triple de
paquetes denominado “establecimiento de conexión en tres fases”. El proceso se desarrolla del siguiente modo:
1. El iniciador envía un paquete SYN (sincronización/inicio).
2. El receptor responde con un paquete SYN/ACK (sincronización/acuse de recibo).
3. El iniciador responde con un paquete ACK (acuse de recibo).
4. En este momento, los dos extremos de la conexión se han establecido y puede comenzar la transmisión de
datos.

Estado agregado: Un enrutador se encuentra en estado agregado cuando es una de las múltiples instancias
virtuales de enrutamiento BGP agrupadas en una sola dirección.
Estado de conexión: Los protocolos de enrutamiento de estado de conexión funcionan utilizando un algoritmo
conocido comúnmente como algoritmo SPF (Shortest Path First). En lugar de confiar en información no contrastada
procedente de los vecinos directamente conectados, tal y como sucede en los protocolos de vectores distancia,
cada enrutador de un sistema en estado de conexión actualiza una topología completa de la red y calcula la
información SPF de acuerdo con la topología.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-IX

Apéndice A Glosario

Estados de conexión: Cuando un paquete enviado desde un enrutador llega a otro, se produce una negociación
entre los enrutadores de origen y destino. La negociación pasa por seis estados: Idle, Connect, Active, OpenSent,
OpenConnect y Establish.
Ethernet: Tecnología de red de área local inventada en el centro de investigaciones de Palo Alto de Xerox
Corporation. Ethernet es un sistema de entrega “best-effort” (esfuerzo óptimo, no se utiliza un sistema de
reconocimiento sofisticado para garantizar la entrega fiable de información) que utiliza tecnología CSMA/CD.
Ethernet se puede utilizar con distintos tipos de cable, como cable coaxial (grueso o fino), cable de par trenzado o
cable de fibra óptica. Ethernet es una norma para la conexión de equipos a una red de área local (LAN). La forma
más común de la norma Ethernet se conoce como 10BaseT, lo que indica una velocidad de transmisión máxima de
10 Mbps utilizando un cable de par trenzado de cobre.
Extranet: Conexión de dos o más intranets. Una intranet es un sitio web interno que permite a los usuarios de una
empresa comunicarse e intercambiar información. Una extranet conecta ese espacio virtual con la intranet de otra
empresa, permitiendo así que estas dos (o más) empresas compartan recursos y se comuniquen a través de
Internet en su propio espacio virtual. Esta tecnología mejora enormemente las comunicaciones de empresa a
empresa.
Filtrado dinámico: Servicio IP que se puede utilizar dentro de túneles VPN. Los filtros son una de las formas en
que los dispositivos NetScreen controlan el tráfico de una red a otra. Cuando TCP/IP envía paquetes de datos al
cortafuegos, la función de filtrado del cortafuegos localiza la información de encabezado de los paquetes y los dirige
de acuerdo con ella. Los filtros funcionan según criterios tales como el rango de direcciones IP de origen o de
destino, puertos TCP, UDP, el protocolo ICMP (“Internet Control Message Protocol”) o las respuestas TCP.
Consulte también Encapsulamiento y Red privada virtual (VPN).
Flap Damping: BGP ofrece una técnica para bloquear la notificación de la ruta en algún punto próximo al origen
hasta que la ruta es estable. Este método se denomina flap damping. El route flap damping permite contener la
inestabilidad de enrutamiento en un enrutador de límite de AS adyacente a la zona en la que se está produciendo la
inestabilidad. El impacto de la limitación de la propagación innecesaria es mantener un tiempo de convergencia de
cambio de ruta razonable a medida que se desarrolla la topología de enrutamiento.
GBIC: Un convertidor de interfaz de gigabit (GBIC) es el tipo de tarjeta modular de interfaz utilizada en ciertos
dispositivos NetScreen para conectar una red de fibra óptica.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-X

Apéndice A Glosario

Generic Routing Encapsulation (GRE): Un protocolo que encapsula cualquier tipo de paquete dentro de los
paquetes unicast IPv4. Para obtener información adicional sobre GRE, consulte RFC 1701, Generic Routing
Encapsulation (GRE).
Hello Interval (intervalo de saludo): Tiempo que transcurre entre instancias de paquetes de saludo.
Índice de parámetros de seguridad (SPI): (SPI) es un valor hexadecimal que identifica cada túnel de forma
inequívoca. También indica al dispositivo NetScreen qué clave debe utilizar para desencriptar los paquetes.
Información de accesibilidad de la capa de red: Cada AS dispone de un plan de enrutamiento que indica los
destinos a los que se puede acceder a través de él. Este plan de enrutamiento se conoce como objeto NLRI
(Network Layer Reachability Information). Los enrutadores BGP generan y reciben periódicamente actualizaciones
del objeto NLRI. Cada actualización NLRI contiene información sobre la lista de ASs que atraviesan las cápsulas de
información de accesibilidad. Algunos de los valores comunes descritos por una actualización NLRI son: un número
de red, una lista de ASs atravesados por la información y una lista de otros atributos de ruta.
Intercambio de claves de Internet (IKE): Método para intercambiar claves de encriptación y autenticación en un
medio inseguro, como Internet.
Intervalo muerto: Tiempo transcurrido antes de que una instancia de enrutamiento determine que otra instancia de
enrutamiento no se está ejecutando.
Interfaz de bucle invertido (loopback): Una interfaz lógica que emula una interfaz física en el dispositivo
NetScreen, pero que permanece en estado activo siempre que esté activo el dispositivo. Se debe asignar una
dirección IP a una interfaz de bucle invertido y asociarla a una zona de seguridad.
Interfaz de seguridad virtual (VSI): Entidad lógica de capa 3 vinculada a múltiples interfaces físicas de capa 2 en
un grupo VSD. La VSI se asocia a la interfaz física del dispositivo que actúa como maestro del grupo VSD. La VSI
se desplaza a la interfaz física de otro dispositivo del grupo VSD si se produce una conmutación por error y dicho
dispositivo se convierte en el nuevo maestro.
Interfaz de túnel: Una interfaz de túnel es la abertura o la entrada a través de la que pasa el tráfico entrante o
saliente de un túnel VPN. Una interfaz de túnel puede estar numerada (es decir, asignada a una dirección IP) o sin
numerar. Una interfaz de túnel numerada puede encontrarse en una zona de túnel o en una zona de seguridad.
Una interfaz de túnel sin numerar sólo puede encontrarse en una zona de seguridad que contenga al menos una
interfaz de zona de seguridad. La interfaz de túnel no numerada toma prestada la dirección IP de la interfaz de la
zona de seguridad.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-XI

Apéndice A Glosario

Interlocutor: Véase Vecino.

Internet: También conocida como “la Red”. Diseñada originalmente por el Departamento de defensa de Estados
Unidos para que una señal de comunicación pudiera sobrevivir a una guerra nuclear y servir a las instituciones
militares mundialmente. En un primer momento, Internet se conoció como ARPAnet. Se trata de un sistema de
redes de equipos interconectados a nivel internacional, que facilita los servicios de comunicación de datos, como
acceso remoto, transferencia de archivos, correo electrónico y grupos de noticias. Internet es una forma de
conectar redes de equipos existentes que supera con creces el alcance de cada uno de los sistemas que lo
integran.
Internet Control Message Protocol (ICMP): En ocasiones, las puertas de enlace o los hosts de destino utilizan
ICMP para comunicarse con hosts de origen, por ejemplo, para informar de un error durante el procesamiento de
datagramas. ICMP utiliza el soporte básico del protocolo IP como si se tratara de un protocolo de nivel superior;
aunque en realidad, el protocolo ICMP forma parte integral de IP, por lo que debe implementarlo cada módulo IP.
Los mensajes ICMP se envían en distintas situaciones: por ejemplo, cuando un datagrama no puede llegar a su
destino, cuando la puerta de enlace no tiene capacidad de búfer suficiente para reenviar un datagrama o cuando la
puerta de enlace puede hacer que el host envíe tráfico por una ruta más corta. El protocolo de Internet (IP) no se ha
diseñado para que sea absolutamente fiable. El objetivo de estos mensajes de control es informar sobre problemas
en el entorno de comunicaciones, no hacer de IP un protocolo fiable.
Internet Group Management Protocol (IGMP): Un protocolo que se ejecuta entre los hosts y los enrutadores para
comunicar la información de miembros del grupo multicast.
Intranet: Una intranet, término derivado de Internet, es una red de acceso restringido que funciona como Internet,
aunque no se encuentra en ella. Normalmente es propiedad de una empresa, que también se encarga de su
administración, permitiéndole compartir sus recursos con sus empleados sin que la información confidencial pueda
quedar accesible a cualquier usuario con acceso a Internet.
ISAKMP: El protocolo ISAKMP (“Internet Security Association and Key Management Protocol”) ofrece un marco
para la administración de claves de Internet y proporciona el soporte de protocolo específico para la negociación de
atributos de seguridad. En sí mismo, no establece claves de sesión, aunque se puede utilizar con varios protocolos
de establecimiento de claves de sesión para ofrecer una solución completa para la gestión de claves de Internet.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-XII

Apéndice A Glosario

Keepalive (mantenimiento de conexión): Tiempo en segundos que transcurre entre los paquetes de
mantenimiento de conexión, que garantiza que la conexión TCP entre el enrutador BGP local y un enrutador vecino
permanezca activa. Este valor es igual a un tercio del tiempo de espera. El intervalo predeterminado es de 60
segundos.
Lista de acceso AS-path: Lista de acceso utilizada por una instancia de enrutamiento BGP para permitir o
denegar paquetes enviados por instancias de enrutamiento vecinas a la instancia de enrutamiento virtual actual.
Lista de accesos: Una lista de prefijos de red que se comparan con una ruta determinada. Si la ruta coincide con
un prefijo de red definido en la lista de acceso, la ruta se permitirá o denegará.
Lista de clústeres: Lista de rutas registradas a medida que el paquete pasa a través de un clúster reflector de
rutas BGP.
Lista de filtrado: Lista de direcciones IP que puede enviar paquetes al dominio de enrutamiento actual.
Lista de redistribución: Lista de rutas del dominio de enrutamiento actual importado a partir de otro dominio de
enrutamiento que utiliza un protocolo distinto.
Localizador de recurso uniforme (URL): Método estándar desarrollado para especificar la ubicación de un
recurso disponible de forma electrónica. Una URL, también denominada ubicación o dirección, indica la ubicación
de archivos en servidores. Una URL general presenta la sintaxis: protocolo://dirección. Por ejemplo,
http://www.netscreen.com/support/manuals.html indica que el protocolo es HTTP, y la dirección es
www.netscreen.com/support/manuals.html.
Mapa de rutas: Los mapas de rutas se utilizan en BGP para controlar y modificar la información de enrutamiento y
para definir las condiciones según las cuales las rutas se redistribuyen entre los dominios de enrutamiento. Un
mapa de rutas contiene una lista de entradas de mapa de rutas; cada una de estas entradas contiene un número de
secuencia y un valor de consigna y otro de coincidencia. Las entradas de mapa de rutas se evalúan por orden
ascendente según el número de secuencia. Una vez que una entrada proporciona una condición de coincidencia,
no se evalúa ningún mapa de rutas más. Una vez que se encuentra una coincidencia, el mapa de rutas realiza una
operación de permiso o denegación de la entrada. Si la entrada del mapa de rutas no es una coincidencia, se
evalúa la siguiente entrada según los criterios de coincidencia.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-XIII

Apéndice A Glosario

Máscara de red: Una máscara de red indica qué parte de una dirección IP corresponde a la identificación de red, y
qué parte corresponde a la identificación de host. Por ejemplo, la dirección IP y la máscara de red 10.20.30.1
255.255.255.0 (o 10.20.30.1/24) se refieren a todos los hosts de la subred 10.20.30.0. La dirección IP y la máscara
de red 10.20.30.1 255.255.255.255 (o 10.20.30.1/32) se refieren a un único host. Consulte también Dirección IP y
Máscara de subred.
Máscara de subred: En redes de grandes dimensiones, la máscara de subred permite definir subredes. Por
ejemplo, si tiene una red de clase B, una máscara de subred de 255.255.255.0 indica que las dos primeras partes
del formato de punto decimal son la ID de red, y la tercera parte es la ID de subred. La cuarta parte es la ID de host.
Si no desea tener una subred en una red de clase B, deberá utilizar una máscara de subred de 255.255.0.0. Una
red se puede dividir en una o más subredes físicas, que forman un subconjunto dentro de la red principal. La
máscara de subred es la parte de la dirección IP que se utiliza para representar una subred dentro de una red. El
uso de máscaras de subred permite utilizar espacio de direccionamiento de red que normalmente no está
disponible y garantiza que el tráfico de red no se envíe a toda la red a menos que esa sea la intención del emisor.
Consulte también Dirección IP y Máscara de red.
MD5: Message Digest (versión) 5, algoritmo que produce una codificación de mensaje de 128 bits (o “hash”) a partir
de un mensaje de longitud arbitraria. El “hash” resultante se utiliza a modo de “huella dactilar” de la entrada, para
verificar su autenticidad.
Métrica: Valor asociado a una ruta que utiliza el enrutador virtual para seleccionar la ruta activa cuando hay varias
rutas hacia la misma red de destino con el mismo valor de preferencia. El valor de métrica de las rutas conectadas
es siempre 0. La métrica predeterminada de las rutas estáticas es 1, pero se puede especificar un valor diferente
cuando se definen estas rutas.
Modo de puerto: Función compatible con algunos dispositivos NetScreen; el modo de puerto permite seleccionar
uno de entre varios conjuntos distintos de asociaciones de zona, puerto e interfaz en el dispositivo. Cambiar el
modo de puerto elimina cualquier configuración existente en el dispositivo y requiere reiniciar el sistema.
NAT-Dst: Véase Traducción de direcciones de red de destino (NAT-Dst).
NAT-Src: Véase Traducción de direcciones de red (NAT).

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-XIV

Apéndice A Glosario

NAT-Traversal (NAT-T): Método que permite que el tráfico IPSec atraviese los dispositivos NAT situados a lo largo
de la ruta de datos de una VPN agregando una capa de encapsulamiento UDP. En primer lugar, el método
proporciona un medio para detectar dispositivos NAT durante intercambios IKE de fase 1 y, a continuación, un
medio para atravesarlos una vez completadas las negociaciones IKE de fase 2.
Norma de encriptación de datos (DES): Algoritmo de encriptación de 40 y 56 bits desarrollado por el National
Institute of Standards and Technology (NIST). DES es un método de encriptación de bloques desarrollado
originalmente por IBM. Ha sido certificado por el Gobierno de los Estados Unidos para la transmisión de cualquier
información que no esté clasificada como de “alto secreto”. DES utiliza un algoritmo para la encriptación de claves
privadas. Esta clave está formada por 64 bits de datos, que se transforman y combinan con los primeros 64 bits del
mensaje que se vaya a enviar. Para aplicar la encriptación, el mensaje se divide en bloques de 64 bits, de forma
que cada uno de ellos se pueda combinar con la clave utilizando un complejo proceso de 16 pasos. Aunque DES es
bastante débil, con sólo una iteración, su repetición utilizando claves ligeramente distintas puede ofrecer unos
excelentes niveles de seguridad.
Norma de encriptación de datos-Encadenamiento de bloques de cifrado (DES-CBC): Hasta hace poco, el uso
más importante de Triple DES (3DES) era la encriptación de claves DES simple, y en realidad no era necesario
considerar cómo se podrían implementar distintos modos de encriptación de bloques cuando la encriptación de
bloque en cuestión es un tipo derivado de la encriptación múltiple. No obstante, a medida que la norma DES se
acerca al final de sus días, se da cada vez más importancia al creciente uso de Triple DES. En particular, hay dos
formas sencillas de implementar el modo CBC para Triple DES. Con DES simple en modo CBC, al texto encriptado
se le aplica una operación X-OR con el texto sin formato antes de la encriptación. Sin embargo, con Triple DES,
podríamos utilizar información sobre las tres operaciones DES del texto encriptado a texto normal, algo que se
conoce como “CBC externo” (outer-CBC). De forma alternativa, podríamos ejecutar esta información sobre cada
componente individual de la encriptación, realizando así un triple DES-CBC. A este proceso se le conoce como
“CBC interno” (inner-CBC), ya que hay informaciones internas que no puede llegar a ver el analizador de
encriptación. Desde el punto de vista del rendimiento, puede haber ciertas ventajas en utilizar la opción de CBC
interno, pero las investigaciones han demostrado que CBC externo es, de hecho, más seguro. CBC externo es lo
más recomendado para utilizar Triple DES en el modo CBC.
Notificación: Método que utilizan los enrutadores para anunciarse a otros dispositivos en la red transmitiéndoles
información básica, como dirección IP, máscara de red y otros datos.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-XV

Apéndice A Glosario

Notificación de estado de conexiones: Medio que permite a los enrutadores OSPF poner la información sobre el
dispositivo, la red y el enrutamiento a disposición de la base de datos de estado de conexiones. Cada enrutador
recupera información de las LSA enviadas por otros enrutadores en la red para construir una imagen de toda la red
de Internet a partir de la cual cada instancia de enrutamiento destilará la información de ruta que utilizará en su
tabla de enrutamiento.
Número de AS: Número de identificación del sistema autónomo local asignado a una instancia de enrutamiento
BGP. El número de ID puede ser cualquier número entero válido.
Objetos de ataque: Firmas de estado completo y anomalías de protocolos que un dispositivo NetScreen con
función Deep Inspection utiliza para detectar los ataques dirigidos comprometiendo a uno o varios hosts de una red.
Objeto en tiempo de ejecución (RTO): Objeto de código creado de forma dinámica en la memoria durante el
funcionamiento normal. Algunos ejemplos de RTO son: entradas de la tabla de sesiones, entradas de caché ARP,
certificados, concesiones DHCP y asociaciones de seguridad (SA) IPSec de fase 2.
Paquete de saludo: Paquete que anuncia a la red información, como su presencia y disponibilidad, acerca del
enrutador que generó el paquete.
Par trenzado sin blindaje (UTP): También denominado 10BaseT. Se trata del cable estándar utilizado para las
líneas telefónicas. También se utiliza para las conexiones Ethernet. Consulte también 10BaseT.
Preferencia: Valor asociado a una ruta que utiliza el enrutador virtual para seleccionar la ruta activa cuando hay
varias rutas hacia la misma red de destino. El valor de preferencia está determinado por el protocolo o el origen de
la ruta. Cuanto menor sea el valor de preferencia de una ruta, más posibilidades existen de que esa ruta se
seleccione como ruta activa.
Preferencia local: Para proporcionar una información mejor que la que del valor MED (Multi-Exit Discriminator)
para seleccionar una ruta de paquete, BGP ofrece un atributo conocido como LOCAL_PREF o valor de preferencia
local. Puede configurar el atributo LOCAL_PREF de modo que los prefijos recibidos desde un enrutador que
proporcione una ruta configurada como superior tengan un valor superior a los prefijos almacenados en el
enrutador que ofrezca una ruta menos deseable. Cuanto mayor sea el valor, más deseable será la ruta. El atributo
LOCAL_PREF es la métrica más utilizada en la práctica para expresar la preferencia de un conjunto de rutas sobre
otro.
Prefijo: Dirección IP que representa una ruta.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-XVI

Apéndice A Glosario

Protocolo de configuración dinámica de hosts (DHCP): Método para asignar automáticamente direcciones IP a
hosts en una red. Según el modelo de dispositivo específico, los dispositivos NetScreen pueden asignar direcciones
IP dinámicas a hosts, recibir direcciones IP asignadas dinámicamente o recibir información DHCP desde un
servidor DHCP y reenviar la información a los hosts.
Protocolo de control de transmisión/protocolo de Internet (TCP/IP): TCP/IP es un conjunto de protocolos de
comunicación que admite funciones de conectividad punto a punto para redes de área local y redes de área
extensa. (Un protocolo de comunicaciones es un conjunto de reglas que permite que equipos con distintos sistemas
operativos se comuniquen entre sí). TCP/IP controla el modo en que los datos se transfieren entre los equipos a
través de Internet.
Protocolo de control del transporte en tiempo real (RTCP): RTCP ofrece información sobre los miembros de
una sesión y la calidad de la comunicación. Sincroniza secuencias multimedia asociando marcas de hora y un reloj
en tiempo real.
Protocolo de datagramas de usuario (UDP): Protocolo incluido en el conjunto de protocolos TCP/IP; el protocolo
de datagramas de usuario o UDP permite que un programa de aplicación envíe datagramas a otros programas de
aplicación de un equipo remoto. Básicamente, UDP es un protocolo que ofrece un servicio de datagramas poco
fiable y sin conexión en el que no están garantizadas ni la entrega ni la detección de duplicados. No utiliza acuses
de recibo ni controla el orden de llegada.
Protocolo de descripción de la sesión (SDP): Las descripciones de sesión SDP aparecen en numerosos
mensajes SIP y ofrecen información que puede utilizar un sistema para participar en una sesión multimedia. El
protocolo SDP puede proporcionar datos como direcciones IP, números de puerto, fechas y horas, o información
sobre la secuencia multimedia.
Protocolo de información de enrutamiento (RIP): Protocolo de enrutamiento dinámico utilizado en sistemas
autónomos de tamaño moderado.
Protocolo de inicio de sesión (SIP): SIP es un protocolo conforme a la norma del equipo de ingeniería para el
desarrollo de Internet (“Internet Engineering Task Force” o “IETF”) en el que se define cómo iniciar, modificar y
finalizar sesiones multimedia a través de Internet. Estas sesiones pueden ser de conferencias, telefonía o
transferencias de datos multimedia, con prestaciones como la mensajería inmediata y la movilidad de aplicaciones
en entornos de red.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-XVII

Apéndice A Glosario

Protocolo de Internet (IP): Protocolo normalizado de Internet que define una unidad básica de datos conocida
como datagrama. Los datagramas se utilizan en sistemas de entrega de esfuerzo óptimo (“best-effort”) en los que
no se establece previamente una conexión. El protocolo IP define el modo en que la información pasa entre
sistemas a través de Internet.
Protocolo de puerta de enlace de límite (BGP): Protocolo de enrutamiento interno de un sistema autónomo. Los
enrutadores BGP y los sistemas autónomos intercambian información de enrutamiento para Internet.
Protocolo de redundancia de NetScreen (NSRP): Protocolo propietario que ofrece redundancia de objetos en
tiempo real (RTO) y configuración, así como un mecanismo de conmutación por error de dispositivos para unidades
NetScreen en un clúster de alta disponibilidad (HA).
Protocolo de transporte en tiempo real (RTP): RTP se utiliza para garantizar la recepción de paquetes en orden
cronológico asignando marcas de hora y números de secuencia al encabezado del paquete. Cada sesión RTP tiene
una sesión RTCP correspondiente (consulte RTCP).
Protocol Independent Multicast (PIM): Un protocolo de enrutamiento multicast que se ejecuta entre enrutadores
para reenviar el tráfico multicast a los miembros multicast del grupo a través de la red. El modo PIM-Dense
(PIM-DM) inunda toda la red con tráfico multicast y luego corta las rutas hacia los receptores que no desean recibir
tráfico multicast. El modo PIM-Sparse (PIM-SM) reenvia tráfico multicast solamente a los receptores que lo
soliciten.
Protocolo OSPF: Protocolo de enrutamiento dinámico concebido para funcionar dentro de un único sistema
autónomo.
Protocolo punto a punto sobre Ethernet (PPPoE): Permite que varios usuarios de un sitio compartan la misma
línea de abonado digital, el mismo módem de cable o la misma conexión inalámbrica a Internet. Es posible
configurar instancias de cliente PPPoE, incluyendo nombre de usuario y contraseña, en una o en todas las
interfaces de algunos dispositivos NetScreen.
Proxy de circuito: Proxy, o servidor proxy, es una técnica utilizada para almacenar en caché información en un
servidor web y actuar como intermediario entre un cliente web y un servidor web. Básicamente conserva para los
usuarios los contenidos de la World Wide Web utilizados últimamente y los de uso más común para ofrecer un
acceso más rápido e incrementar la seguridad de los servidores. Esto suele aplicarse a un ISP específicamente si
su conexión a Internet es lenta. En Internet, un proxy primero intenta encontrar los datos localmente y, si no es
posible, los recoge del servidor remoto donde los datos residen de forma permanente. Los servidores proxy

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-XVIII

Apéndice A Glosario

también son elementos que permiten el acceso directo a Internet desde detrás de un cortafuegos. Abren un socket
en el servidor y permiten la comunicación con Internet a través de ese socket. Por ejemplo, si su equipo se
encuentra dentro de una red protegida y desea entrar en Internet utilizando Netscape, puede configurar un servidor
proxy en un cortafuegos. Puede configurar el servidor proxy para permitir que las peticiones HTTP lleguen al puerto
80 desde su equipo y, a continuación, redirigir todas las peticiones a los lugares apropiados.
Puente: Dispositivo que reenvía tráfico entre segmentos de red de acuerdo con la información de la capa de enlace
de datos. Estos segmentos comparten un espacio de direcciones de capa de red en común.
Puerta de enlace: Una puerta de enlace, también conocida como enrutador, es un programa o un dispositivo con
finalidad específica que transfiere datagramas IP de una red a otra hasta alcanzar su destino final.
Puerta de enlace en la capa de aplicación (ALG): En un dispositivo NetScreen, una ALG es un componente de
software diseñado para gestionar protocolos específicos, como SIP o FTP. La ALG intercepta y analiza el tráfico
especificado, localiza los recursos y define directivas dinámicas que permitan el paso seguro del tráfico a través del
dispositivo NetScreen.
Puerto troncal: Un puerto troncal permite a un conmutador agrupar tráfico de varias VLAN por un único puerto
físico, clasificando los paquetes por la identidad de VLAN (VID) de los encabezados de las tramas.
Puerta de enlace IP: Una puerta de enlace, también conocida como enrutador, es un programa o un dispositivo
con finalidad específica que transfiere datagramas IP de una red a otra hasta alcanzar su destino final.
Punto de encuentro (RP): Un enrutador en la raíz del árbol de distribución multicast. Todos los orígenes de un
grupo envían sus paquetes al RP, y el RP envía datos en dirección descendente por el árbol de distribución
compartido a todos los receptores de la red.
Rango de áreas: Secuencia de direcciones IP definidas por un límite inferior y otro superior que indica una serie de
direcciones de dispositivos existentes dentro de un área.
Red de área local (LAN): Cualquier tecnología de red que interconecta recursos dentro de un entorno de oficina,
normalmente a alta velocidad, como p. ej. Ethernet. Una red de área local es una red de corta distancia utilizada
para enlazar un grupo de equipos entre sí dentro de un edificio. Ethernet 10BaseT es la forma más común de LAN.
Un dispositivo de hardware llamado concentrador (hub) sirve como punto de cableado común, permitiendo el envío
de datos de una máquina a otra dentro de la red. Las LANs suelen estar limitadas a distancias de menos de 500
metros y ofrecen capacidades de red de bajo coste y banda ancha dentro de un área geográfica pequeña.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-XIX

Apéndice A Glosario

Red de área local virtual (VLAN): Agrupación de dispositivos más lógica que física que constituye un único
dominio de difusión. Los miembros VLAN no se identifican por su ubicación en una subred física, sino por el uso de
etiquetas en los encabezados de las tramas de sus datos transmitidos. Las VLANs se describen en la norma IEEE
802.1Q.
Red de difusión: Una red de difusión es una red que admite varios enrutadores con capacidad para comunicarse
directamente entre sí. Ethernet es un ejemplo de red de difusión.
Red privada virtual (VPN): Una VPN es un medio sencillo, rentable y seguro para las empresas que permite
ofrecer a los teletrabajadores un acceso telefónico local a la red de la empresa o a otro proveedor de servicios de
Internet (ISP). Las conexiones privadas seguras a través de Internet son más económicas que las líneas privadas
especializadas. Las VPN son posibles gracias a tecnologías y normas como el encapsulado, el análisis, la
encriptación e IPSec.
Redistribución de rutas: Exportación de las reglas de ruta de un enrutador virtual a otro.
Reflector de rutas: Enrutador cuya configuración BGP permite volver a notificar rutas entre vecinos BGP internos
(IBGP) o vecinos ubicados en el mismo AS BGP. Un cliente reflector de rutas es un dispositivo que utiliza un
reflector de rutas para volver a notificar sus rutas a todo el AS. También depende de dicho reflector de rutas para
averiguar información sobre las rutas del resto de la red.
Redistribución: Proceso de importación de una ruta al dominio de enrutamiento actual de otra parte de la red que
utiliza otro protocolo de enrutamiento. Cuando esto ocurre, el dominio actual tiene que traducir toda la información,
en particular las rutas conocidas, del otro protocolo. Por ejemplo, si se encuentra en una red OSPF y se conecta a
una red BGP, el dominio OSPF tendrá que importar todas las rutas de la red BGP para informar a todos sus
dispositivos sobre cómo acceder a todos los dispositivos de la red BGP. El recibo de toda la información de rutas se
denomina redistribución de rutas.
Reglas de exportación: Cuando tenemos dos o más enrutadores virtuales en un dispositivo NetScreen, podemos
configurar reglas de exportación que definirán las rutas de un enrutador virtual que puede reconocer y memorizar
otro enrutador virtual. Consulte también Reglas de importación.
Reglas de importación: Cuando tenemos dos o más enrutadores virtuales en un dispositivo NetScreen, podemos
configurar reglas de importación que definirán las rutas que un enrutador virtual puede reconocer y memorizar. Si
no se configuran reglas de importación para un enrutador virtual, se aceptarán todos los enrutadores que se
exporten a ese enrutador virtual. Consulte también Reglas de exportación.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-XX

Apéndice A Glosario

Reenvío por rutas inversas: Un método utilizado por los enrutadores multicast para comprobar la validez de los
paquetes multicast. Un enrutador realiza operaciones de búsqueda de rutas en la tabla de rutas unicast para
comprobar si la interfaz en la cual recibió el paquete (interfaz de entrada) es la misma interfaz que debe utilizar para
enviar los paquetes de vuelta al remitente. Si lo es, el enrutador crea la entrada de la ruta multicast y reenvía el
paquete al enrutador del salto siguiente. Si no lo es, el enrutador descarta el paquete.
RJ-45: Semejante a un conector telefónico estándar, un conector RJ-45 tiene el doble de ancho (con ocho
conductores) y se utiliza para conectar equipos a redes de área local (LAN) o teléfonos con múltiples líneas.
Ruta de sistema autónomo: Lista de todos los sistemas autónomos que una actualización de enrutador ha
atravesado durante la transmisión actual.
Ruta predeterminada: Una entrada de tabla de enrutamiento “comodín” que define el reenvío de tráfico para redes
de destino que no están definidas de forma explícita en la tabla de enrutamiento. La red de destino para la ruta
predeterminada se representa con la dirección de red 0.0.0.0/0.
Secure Copy (SCP): Método de transferencia de archivos entre un cliente remoto y un dispositivo NetScreen con
protocolo SSH. El dispositivo NetScreen actúa como servidor de SCP, aceptando conexiones de clientes de SCP
en hosts remotos.
Secure Shell (SSH): Protocolo que permite a los administradores del dispositivo gestionar de forma remota el
dispositivo de modo seguro. En el dispositivo NetScreen se puede ejecutar un servidor SSH de versión 1 o de
versión 2.
Seguimiento de IP: Mecanismo para supervisar direcciones IP configuradas y comprobar si responden a
peticiones de comando ping o a peticiones ARP. Puede configurar el seguimiento de IP con NSRP para determinar
la conmutación por error de un dispositivo o un grupo VSD. También puede configurar el seguimiento de IP en una
interfaz de dispositivo para determinar si la interfaz está activa o inactiva.
Seguridad IP (IPSec): Norma de seguridad desarrollada por el equipo de ingeniería para el desarrollo de Internet
(“Internet Engineering Task Force” o “IETF”). Se trata de un conjunto de protocolos que ofrece todo lo necesario
para la seguridad en las comunicaciones (autenticación, integridad y confidencialidad) y permite el intercambio
práctico de claves incluso en grandes redes. Consulte también DES-CBC y ESP/AH.
Servicio de nombres de Internet de Windows (WINS): WINS es un servicio para asignar direcciones IP a
nombres de equipos NetBIOS en redes basadas en servidores Windows NT. Los servidores WINS asignan un
nombre NetBIOS utilizado en un entorno de red Windows a una dirección IP utilizada en una red basada en IP.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-XXI

Apéndice A Glosario

SHA-1: Secure Hash Algorithm-1, algoritmo que produce un hash de 160 bits a partir de un mensaje de longitud
arbitraria. (Normalmente, se considera más seguro que MD5 debido al mayor tamaño del hash que produce).
Siguiente salto: En la tabla de enrutamiento, una dirección IP a la que se reenvía el tráfico para la red de destino.
El siguiente salto también puede ser otro enrutador virtual en el mismo dispositivo NetScreen.
Sistema autónomo (AS): Un AS es un conjunto de enrutadores independientes del resto de la red y gobernados
por una única administración técnica. Este grupo de enrutadores utiliza uno o varios protocolos de puerta de enlace
interior (IGP) y métricas comunes para enrutar paquetes dentro del grupo. El grupo también utiliza un protocolo de
puerta de enlace exterior (EGP) para enrutar paquetes a otros AS. Cada AS dispone de un plan de enrutamiento
que indica los destinos a los que se puede acceder a través de él. Este plan se conoce como objeto NLRI (“Network
Layer Reachability Information”). Los enrutadores BGP generan y reciben periódicamente actualizaciones del
objeto NLRI.
Sistema autónomo miembro: Nombre del sistema autónomo que se incluye en una confederación BGP.
Sistema virtual: Un sistema virtual (vsys) es una subdivisión del sistema principal que para el usuario aparece
como una entidad independiente. Los sistemas virtuales residen de forma independiente entre sí en el mismo
dispositivo NetScreen. Cada uno puede estar gestionado por su propio administrador de sistema virtual.
Subinterfaz: Una subinterfaz es una división lógica de una interfaz física que ocupa el ancho de banda que
necesita de la interfaz física de la que procede. Una subinterfaz es un elemento abstracto con funciones idénticas a
las de una interfaz de un puerto con presencia física, de la que se diferencia por el etiquetado VLAN 802.1Q.
Syslog: Protocolo que permite a un dispositivo enviar mensajes de registro a un host donde se esté ejecutando el
demonio syslog (servidor syslog). El servidor syslog recopila y almacena estos mensajes de registro de forma local.
Tabla de enrutamiento: Lista almacenada en la memoria de un enrutador virtual que contiene una vista en tiempo
real de todas las redes conectadas y remotas hacia las que un enrutador está encaminando paquetes en ese
momento.
Tiempo de espera: En OSPF, tiempo máximo entre instancias para iniciar cálculos SPF (Shortest Path First, iniciar
primero la ruta más corta). En BGP, el tiempo máximo que transcurre entre transmisiones de mensajes entre un
interlocutor BGP y su vecino.
Traducción de direcciones de puertos (PAT): Traducción del número de puerto de origen inicial en un paquete a
un número de puerto distinto designado al azar.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-XXII

Apéndice A Glosario

Traducción de direcciones de red de destino (NAT-dst): Traducción de la dirección IP de destino original en un

encabezado de paquete a otra dirección de destino. NetScreen admite la traducción de una o varias direcciones IP
de destino originales a una sola dirección IP (relaciones “uno con uno” o “varios con uno”). El dispositivo NetScreen
también permite la traducción de un rango de direcciones IP a otro rango (relación “varios con varios”) utilizando el
desplazamiento de direcciones.
Cuando el dispositivo NetScreen lleva a cabo NAT-dst sin desplazamiento de direcciones también puede asignar el
número de puerto de destino a un número de puerto predeterminado distinto. Cuando el dispositivo NetScreen lleva
a cabo NAT-dst con desplazamiento de direcciones, no puede realizar también la asignación de puertos.
Traducción de direcciones de red (NAT): Traducción de la dirección IP de origen de un encabezado de paquete
a otra dirección IP distinta. Las direcciones IP de origen traducidas pueden proceder de un conjunto de direcciones
IP dinámicas (DIP) o de la dirección IP de la interfaz de salida. Cuando del dispositivo NetScreen toma direcciones
de un conjunto DIP, puede hacerlo de forma dinámica o determinista. En el primer caso, toma arbitrariamente una
dirección del conjunto DIP y traduce la dirección IP de origen inicial a la dirección seleccionada al azar. En el
segundo caso, utiliza un desplazamiento de direcciones para traducir la dirección IP de origen a una dirección IP
predeterminada en el rango de direcciones que constituyen el conjunto. Cuando el dispositivo NetScreen utiliza la
dirección IP de la interfaz de salida, traduce todas las direcciones IP de origen iniciales a la dirección de la interfaz
de salida.
Cuando la dirección traducida procede de un conjunto DIP con desplazamiento de direcciones, no es posible
realizar la traducción de la dirección del puerto de origen. Cuando la dirección traducida procede de un conjunto
DIP sin desplazamiento de direcciones, la traducción del puerto es opcional. Cuando la dirección traducida procede
de la interfaz de salida, se requiere la traducción del puerto.

Nota: NAT también se denomina NAT-src para distinguirlo de la traducción de direcciones de red de destino
(NAT-dst).

Vecino: Para comenzar a configurar una red BGP, primero hay que establecer una conexión entre el dispositivo
actual y otro dispositivo adyacente homólogo denominado vecino o interlocutor. Aunque este dispositivo homólogo
puede parecer información innecesaria al principio, en realidad es un componente central para el funcionamiento de
BGP. Al contrario que en RIP u OSPF, deberá configurar dos dispositivos (el enrutador actual y su vecino) para que
BGP funcione. Aunque este método requiere un mayor esfuerzo, permite una conexión en red a gran escala ya que
BGP evita la implementación de las técnicas de notificación limitadas inherentes a los estándares de red interior.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-XXIII

Apéndice A Glosario

Hay dos tipos de vecinos BGP: vecinos internos, que se encuentran en el mismo sistema autónomo, y vecinos
externos, que se encuentran en sistemas autónomos distintos. Entre los vecinos se requiere una conexión fiable,
que se consigue creando una conexión TCP entre los dos dispositivos. El establecimiento de comunicación que
ocurre entre los dos vecinos potenciales pasa por una serie de fases o estados antes de que sea posible realizar
una verdadera conexión. Consulte Estados de conexión.
Vecinos externos: Dos enrutadores BGP que son interlocutores ubicados en dos sistemas autónomos distintos.
Vector distancia: Estrategia de enrutamiento basada en un algoritmo que funciona con una serie de enrutadores
que difunden esporádicamente copias enteras de su propia tabla de enrutamiento a todos los vecinos conectados
directamente. Esta actualización identifica las redes que conoce cada enrutador y la distancia entre cada una de
esas redes. La distancia se mide en número de saltos o en el número de dominios de enrutamiento que un paquete
debe atravesar entre el dispositivo de origen y el dispositivo al que intenta acceder.
Virtual IP Address (dirección IP virtual o VIP): Una dirección VIP asigna el tráfico recibido en una dirección IP a
otra dirección basándose en el número del puerto de destino que figura en el encabezado del paquete.
WebTrends: Producto ofrecido por NetIQ que permite crear informes personalizados basados en los registros
generados por un dispositivo NetScreen. Cuando se utiliza WebTrends, es posible visualizar la información
necesaria en formato gráfico.
XAuth: Protocolo formado por dos componentes: autenticación de usuarios VPN remotos (nombre del usuario y
contraseña) y asignaciones de direcciones TCP/IP (dirección IP, máscara de red y asignaciones de servidores DNS
y servidores WINS).
Zona: Una zona puede ser un segmento del espacio de red al que se aplican medidas de seguridad (zona de
seguridad), un segmento lógico que tiene asociada una interfaz de túnel VPN (zona de túnel), o una entidad física o
lógica que realiza una función específica (zona de función).
Zona de seguridad: Una zona de seguridad es un conjunto de uno o varios segmentos de red, lo que requiere
regular el tráfico entrante y saliente por medio de directivas.
Zona de túnel: Una zona de túnel es un segmento lógico que contiene al menos una interfaz de túnel. Una zona de
túnel está asociada a una zona de seguridad que actúa como su portadora.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-XXIV

Apéndice A Glosario

Zona desmilitarizada (DMZ): Término militar que designa un área entre dos oponentes donde se evita la lucha.
Las redes Ethernets de zonas DMZ conectan redes y equipos controlados por diferentes entidades. Pueden ser
externas o internas. Las redes Ethernet DMZ externas conectan redes regionales con enrutadores.
Zona Trust: Una de las dos zonas NetScreen que impide que los paquetes sean visibles para los dispositivos
externos al dominio NetScreen actual.
Zona Untrust: Una de las dos zonas NetScreen que permite que los paquetes sean visibles para los dispositivos
externos al dominio NetScreen actual.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-XXV

Apéndice A Glosario

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general A-XXVI

Índice

Índice
Símbolos ALG 2 - 206, 4 - 82 anomalías del protocolo 4 - 157
ALGs 4 - 154
definición 1-A-XIX
100BaseT, definición 1-A-I MS RPC 2 - 163 aplicaciones de mensajería inmediata 4 - 152
10BaseT, definición 1-A-I para servicios personalizados 2 - 318 aplicaciones P2P 4 - 153
3DES 5 - 8 configuración de parámetros 4 - 198
RTSP 2 - 169
SIP 2 - 200 protocolos admitidos 4 - 151– 4 - 155
A SIP NAT 2 - 215 protocolos de red básicos 4 - 151
aplicación en directivas 2 - 318
Sun RPC 2 - 160
access-challenge 1-A-IV applets Java, bloquear 4 - 208
acciones de ataque 4 - 164– 4 - 175 almacenamiento en segundo plano 3 - 138
archivo de diccionario 8 - 3
close 4 - 164 almacenamiento flash interno 3 - 78
archivo de diccionario de NetScreen 8 - 26
close client 4 - 164 alta disponibilidad
archivos de ayuda 3 - 4
close server 4 - 164 véase HA archivos exe, bloquear 4 - 208
drop 4 - 164 America Online Instant Messaging archivos MIB 3-A-I
drop packet 4 - 164 véase AIM 4 - 152 archivos MIB, importación 5 - 380
ignore 4 - 165 análisis antivirus 4 - 86– 4 - 110 archivos zip, bloquear 4 - 208
none 4 - 165 correo web HTTP 4 - 91 área 1-A-II
adaptador virtual 8 - 83 definición 1-A-II ARP 2 - 112, 10 - 57, 10 - 124
definición 1-A-I descompresión 4 - 106 difusiones 10 - 19
administración FTP 4 - 87 dirección IP de entrada 2 - 115
administrador vsys 9 - 39 goteo HTTP 4 - 109 supervisión de rutas 10 - 163
CLI (interfaz de línea de comandos) 3 - 14 HTTP 4 - 89 AS path access list (lista de acceso AS-path)
restringir 3 - 59, 3 - 60 HTTP “keep-alive” 4 - 108 1-A-XIII
WebUI 3 - 3 IMAP 4 - 92 asignación de puertos 7 - 5, 7 - 36
administradores, usuarios 8 - 3– 8 - 4 MIME 4 - 90 definición 1-A-II
adyacencias 1-A-I modo de fallo 4 - 108 véase también NAT-dst
AES (Advanced Encryption Standard) 5 - 8 POP3 4 - 92 asignación de tráfico 1 - xxix, 2 - 359– 2 - 373
agregación 1-A-I recursos de AV por cliente 4 - 107 automática 2 - 360
agregado atómico 1-A-II prioridades del servicio 2 - 367
SMTP 4 - 94
agregador 1-A-II requisito de la interfaz 2 - 360
suscripción 4 - 96
AH 5 - 3, 5 - 7 asociación de seguridad
análisis de puertos 4 - 10
AIM 4 - 152 véase SAs
ajustes de configuración análisis FIN 4 - 22
asociaciones de seguridad (SA) 3 - 140
consultar la marca de hora 3 - 38 ancho de banda 2 - 327 ataque de sobrefacturación
hash de configuración 3 - 37 administrar 2 - 360 descripción 4 - 226
requisitos del explorador 3 - 3 colas de prioridades 2 - 367 solución 4 - 228
visualizar el estado de la configuración 3 - 36 especificación máxima 2 - 360 ataque “Teardrop” 4 - 75
alarmas garantizado 2 - 327, 2 - 360, 2 - 368 ataque terrestre 4 - 71
alerta de correo electrónico 3 - 97 máximo 2 - 327, 2 - 368 ataque WinNuke 4 - 77
comunicar a NSM 3 - 34 máximo ilimitado 2 - 360 ataques
tráfico 3 - 97– 3 - 101 niveles de prioridad 2 - 368 ataque terrestre 4 - 71
umbrales 2 - 326, 3 - 97 prioridad predeterminada 2 - 367 direcciones MAC desconocidas 4 - 58

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general IX-I

Índice

etapas 4 - 2 AV, análisis notificación de ruta condicional 6 - 183

fragmentos de paquetes IP 4 - 220 véase análisis antivirus parámetros 6 - 177
fragmentos ICMP 4 - 212 AV, servicio 2 - 463 pasos de configuración 6 - 163
fragmentos SYN 4 - 222– 4 - 223 rechazo de rutas predeterminadas 6 - 176
redistribución de rutas 6 - 179
inundación de la tabla de sesiones 4 - 25,
4 - 42 B reflexión de rutas 6 - 186
inundación ICMP 4 - 67 barrido de direcciones 4 - 8 suprimir rutas 6 - 194
inundación SYN 4 - 52– 4 - 58 base de datos de objetos de ataque 4 - 141– 4 - 148 tipos de mensaje 6 - 161
inundación UDP 4 - 69 actualización automática 4 - 141, 4 - 144 bulk-CLI 2 - 458
objetivos comunes 4 - 1 actualización inmediata 4 - 141, 4 - 142 bypass-auth 8 - 84
opciones de detección y defensa 4 - 3– 4 - 5 actualización manual 4 - 142, 4 - 147
paquetes ICMP grandes 4 - 214
“Ping of Death” 4 - 73
cambiar la URL predeterminada 4 - 147
notificación automática y actualización C
protocolos desconocidos 4 - 218 manual 4 - 142, 4 - 145 cables serie 3 - 28
repetición 5 - 15 base de datos local 8 - 19– 8 - 20 cadena AS-path 1-A-III
“Teardrop” 4 - 75 tiempo de espera 8 - 20 Calidad de servicio
WinNuke 4 - 77 tipos de usuarios admitidos 8 - 19 véase QoS
atributos específicos de cada fabricante usuarios IKE 8 - 78 capturas SNMP
véase VSAs BGP 100, problemas de hardware 3 - 107
autenticación adición de rutas 6 - 182 200, problemas de cortafuegos 3 - 107
algoritmos 5 - 7, 5 - 66, 5 - 71, 5 - 75, 5 - 79 agregación de rutas 6 - 193 300, problemas de software 3 - 107
Allow Any 2 - 324 AS-Path en ruta agregada 6 - 196 400, problemas de tráfico 3 - 107
AS-Set en ruta agregada 6 - 193 500, problemas de VPN 3 - 107
directivas 2 - 321
atributos de la ruta agregada 6 - 198 permitir o denegar 3 - 109
IPSec 1-A-III
atributos de ruta 6 - 161 carga de seguridad encapsulada
NSRP 10 - 7, 10 - 19
autenticación de vecinos 6 - 175 véase ESP
NSRP-Lite 10 - 147
comprobación de configuración 6 - 173 carpetas MIB
usuarios 2 - 321, 8 - 43– 8 - 76 comunidades 6 - 192 principal 3-A-II
WebAuth 8 - 45 confederaciones 6 - 189 certificado de autenticación 2 - 445– 2 - 449
autenticación de usuarios 8 - 15– 8 - 76 configuración de grupo de interlocutores resumen del mensaje MD5 2 - 447
administradores 8 - 3 6 - 167 certificado de soporte 2 - 463, 2 - 464
base de datos local 8 - 19– 8 - 20 configuración de interlocutores 6 - 167 certificado local 5 - 30
con diferentes nombres de inicio de sesión configuración de seguridad 6 - 175 certificados 5 - 10
8-5 creación de instancia en enrutador virtual CA 5 - 26, 5 - 30
de múltiples tipos 8 - 5 6 - 164 carga 5 - 34
punto de autenticación 8 - 2 definición 1-A-XVIII local 5 - 30
servidores de autenticación 8 - 16 equilibrio de carga 6 - 52 petición 5 - 31
tipos de usuarios 8 - 16 establecer atributos de ruta 6 - 185 por correo electrónico 5 - 30
tipos y aplicaciones 8 - 2– 8 - 5 establecer el peso de la ruta 6 - 184 revocación 5 - 29, 5 - 44
usuarios de autenticación 8 - 43 expresiones regulares 6 - 180 certificados de CA 5 - 26, 5 - 30
usuarios de clave manual 8 - 16 externo 6 - 162 Challenge Handshake Authentication Protocol
usuarios IKE 8 - 16, 8 - 78 habilitación en interfaz 6 - 166 véase CHAP
usuarios L2TP 8 - 107 habilitación en VR 6 - 164 CHAP 5 - 311, 5 - 314, 8 - 100
usuarios XAuth 8 - 83 interno 6 - 162 circuito de demanda
WebAuth 8 - 16 introducción al protocolo 6 - 160 OSPF 6 - 105
autenticación en tiempo de ejecución 2 - 323, 8 - 44 lista de acceso AS-path 6 - 180 RIP 6 - 148

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general IX-II

Índice

clase de atributo AS-path 1-A-III guardar 2 - 450 ilustración 1 - xxxix, 2 - xiii, 3 - ix, 4 - x, 5 - ix,
clasificación del tráfico según IP 9 - 34 guardar e importar 2 - 450 6 - xi, 7 - vii, 8 - vii, 9 - vii, 10 - ix
clave manual 5 - 166, 5 - 177 inclusión de comentarios 2 - 456 nombres 1 - xl, 2 - xiv, 3 - x, 4 - xi, 5 - x, 6 - xii,
administración 5 - 9 LKG 2 - 452 7 - viii, 8 - viii, 9 - viii, 10 - x
VPNs 3 - 61, 3 - 113 retroactivación 2 - 452– 2 - 454, 2 - 455 WebUI 1 - xxxvii, 2 - xi, 3 - vii, 4 - viii, 5 - vii,
clave previamente compartida 5 - 9, 5 - 235 salvaguardar 2 - 450 6 - ix, 7 - v, 8 - v, 9 - v, 10 - vii
claves configuración de la marca de hora 3 - 38 cortafuegos, definición 1 - xxix, 1-A-IV
administración 1-A-I configuración de modo 8 - 84 crear
claves de licencia 2 - 459– 2 - 460 configuración en malla completa 10 - 132 direcciones MIP 7 - 94
CLI 3 - 14, 3 - 40, 3 - 41 configuración LKG 2 - 452 grupos de direcciones 2 - 148
convenciones 1 - xxxvi, 2 - x, 3 - vi, 4 - vii, 5 - vi, configuración punto a multipunto grupos de servicios 2 - 275
6 - viii, 7 - iv, 8 - iv, 9 - iv, 10 - vi OSPF 6 - 107 zonas 2 - 37
delete crypto auth-key 2 - 449 conjuntos de caracteres compatibles con CRL (lista de revocación de certificados) 5 - 28,
set arp always-on-dest 2 - 99, 2 - 104, 10 - 57 ScreenOS 1 - xl, 2 - xiv, 3 - x, 4 - xi, 5 - x, 6 - xii, 5 - 44
set vip multi -port 7 - 120 7 - viii, 8 - viii, 9 - viii, 10 - x carga 5 - 28
cloque de mensajes de servidor conjuntos de DIP
véase SMB consideraciones sobre direcciones 7 - 16
clústeres 10 - 17– 10 - 21, 10 - 50, 10 - 142– 10 - 147 interfaces extendidas 5 - 203 D
definición 1-A-III NAT para VPNs 5 - 203 DDoS 4 - 41
código de autenticación de mensajes basado en NAT-src 7 - 2 Deep Inspection 4 - 159– 4 - 194
hash tamaño 7 - 16 acciones de ataque 4 - 164– 4 - 175
véase HMAC Conjuntos de direcciones IP anomalías del protocolo 4 - 157
CompactFlash 3 - 79 véase Conjuntos de DIP
autenticación de descargas 2 - 445– 2 - 449
comparación MED 1-A-III Conjuntos de direcciones IP dinámicas
base de datos de objetos de ataque 4 - 141–
comprobación contra reprocesamiento de véase Conjuntos de DIP
4 - 148
paquetes 5 - 68, 5 - 76 conmutación por error
cambiar gravedad 4 - 159
comprobación de SYN 4 - 22, 4 - 23– 4 - 26 dispositivo 10 - 118
contexto 4 - I
agujero de reconocimiento 4 - 25 grupos VSD 10 - 119
definición 1-A-IV
enrutamiento asimétrico 4 - 24 interfaces Dual Untrust 10 - 70, 10 - 72
interrupción de sesión 4 - 24 expresiones regulares 4 - 188– 4 - 190
interfaz serie 10 - 111
inundación de la tabla de sesiones 4 - 25 sistema virtual 10 - 132 firmas completas 4 - 156
comunidad 1-A-III supervisor de objetos 10 - 120 firmas de secuencias 4 - 157
concentradores, definición 1-A-IV conmutación por error del dispositivo 10 - 118 firmas personalizadas 4 - 188– 4 - 194
conectores consola 3 - 78 grupos de objetos de ataque 4 - 158
GBIC, definición 1-A-X consulta de rutas inhabilitar objetos de ataque 4 - 163
RJ-45, definición 1-A-XXI múltiple VR 6 - 50 negación del objeto de ataque 4 - 200
conexión principal 3 - 140 secuencia 6 - 46 objetos de ataque 4 - 138
conexión virtual container 5 - 280 objetos de ataque personalizados 4 - 187
definición 1-A-IV contraseña objetos de ataque, definición 1-A-XVI
confederación 1-A-IV administrador raíz 3 - 57 registro de grupos de objetos de ataque 4 - 176
confidencialidad directa perfecta administrador vsys 9 - 39 servicios personalizados 4 - 179– 4 - 186
véase PFS olvidada 3 - 54 vista general 4 - 137
configuración controles ActiveX, bloqueo 4 - 207 volver a activar objetos de ataque 4 - 163
bloquear 2 - 455 convenciones definición
carga 2 - 454 CLI 1 - xxxvi, 2 - x, 3 - vi, 4 - vii, 5 - vi, 6 - viii, subinterfaces 9 - 26
descargar y cargar 2 - 450 7 - iv, 8 - iv, 9 - iv, 10 - vi zonas 2 - 37

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general IX-III

Índice

denegación de servicio secundarias 2 - 75 libro de servicios 2 - 151

véase DoS seguimiento en interfaces 2 - 84 límite máximo 2 - 147
DES 5 - 8 servidores NSM 3 - 33 listas de conjuntos de directivas 2 - 311
definición 1-A-XV virtuales 7 - 118 multicast 6 - 208
DES-CBC, definición 1-A-XV zonas de seguridad L3 2 - 67– 2 - 69 múltiples elementos por componente 2 - 349
descompresión, análisis antivirus 4 - 106 direcciones IP de cliente de administración 3 - 59 NAT-dst 2 - 321
desplazamiento de direcciones direcciones IP secundarias 2 - 75 NAT-src 2 - 321
definición 1-A-IV direcciones privadas 2 - 69 negación de direcciones 2 - 351
véase también NAT-dst y NAT-src direcciones públicas 2 - 68 nombre 2 - 318
DHCP 2 - 132, 2 - 138, 2 - 411 direcciones, negación 2 - 351 ocultación 2 - 356
agente de retransmisión 2 - 388 directiva de SA 3 - 141 orden 2 - 357
client 2 - 388 directivas 2 - 3 permit 2 - 317
definición 1-A-XVII acciones 2 - 317 rechazo 2 - 317
HA 2 - 397 administración 2 - 329 recuento 2 - 325
servidor 2 - 388 administrar ancho de banda 2 - 360 registro de tráfico 2 - 325
DI, servicio 2 - 463, 2 - 464 alarmas 2 - 326 reglas internas 2 - 312
Diffie-Hellman, grupos 5 - 13, 5 - 65, 5 - 69, 5 - 74, aplicación 2 - 318 reordenar 2 - 357
5 - 77 asignación de tráfico 2 - 327 sección central 4 - 24, 4 - 139
DiffServ 2 - 327 autenticación 2 - 321 secuencia de consulta 2 - 311
véase DS Codepoint Marking cambiar 2 - 355 servicios 2 - 316
DIP 2 - 136, 2 - 278– 2 - 282, 3 - 140 colocar al principio 2 - 320, 2 - 357 servicios en 2 - 151, 2 - 316
conjuntos 2 - 321 contexto 4 - 140 sistema raíz 2 - 312
grupos 2 - 297– 2 - 300 contexto de una directiva 2 - 348 sistemas virtuales 2 - 312
modificar un conjunto de DIP 2 - 281 copia de seguridad de la sesión HA 2 - 324 tareas programadas 2 - 326
PAT 2 - 279 Deep Inspection 2 - 320 tipos 2 - 308– 2 - 310
puerto fijo 2 - 280 definición 1-A-V túnel 2 - 317
dirección IP asignada denegar 2 - 317 túneles L2TP 2 - 319
véase MIP desactivar 2 - 355 ubicación 2 - 331
dirección MAC direcciones 2 - 315 verificación de directivas 2 - 356
definición 1-A-V direcciones en 2 - 315 VPNs 2 - 319
direcciones elementos requeridos 2 - 307 VPNs bidireccionales 2 - 319, 2 - 330, 5 - 178
definición 2 - 315 eliminar 2 - 358 zonas de seguridad 2 - 315
en directivas 2 - 315 filtrado de URL 4 - 131 directivas de acceso
entradas en la libreta de direcciones 2 - 144 funciones de 2 - 305 véase directivas
privadas 2 - 69 global 2 - 310, 2 - 331, 2 - 347 directivas multicast
públicas 2 - 68 grupos de DIP 2 - 298 IGMP 6 - 232
direcciones IP grupos de direcciones 2 - 315 directivas ocultadas 2 - 356
definición 1-A-V grupos de servicios 2 - 274 discriminador de salida múltiple 1-A-VI
definir por cada puerto 2 - 144 grupos de usuarios de acceso telefónico a distribución de protocolos
extendidas 5 - 203 VPN 2 - 315 comunicar a NSM 3 - 34
identificación de la red 2 - 68 habilitar 2 - 355 DMZ, definición 1-A-XXV
identificación del host 2 - 68 iconos 2 - 329 DN (nombre completo) 5 - 275
IP administrativa 3 - 44 ID 2 - 315 DNS 2 - 377
privadas 2 - 67 interzonales 2 - 308, 2 - 331, 2 - 332, 2 - 337 ajustes de L2TP 5 - 314
públicas 2 - 67 intrazonales 2 - 309, 2 - 331, 2 - 344 consulta 2 - 378
rangos de direcciones privadas 2 - 69 L2TP 2 - 319 consultas de dominios 2 - 385

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general IX-IV

Índice

división de direcciones 2 - 386

división de direcciones DNS del proxy 2 - 385
configuración 6 - 11
multicast 6 - 204
F
DNS dinámico 2 - 382 reenvío en interfaz nula 6 - 18 Fase 1 5 - 11
encapsulamiento a servidores 2 - 385 utilización 6 - 9 propuestas 5 - 11
servidor 2 - 413 enrutamiento multicast propuestas, predefinidas 5 - 12
tabla de estado 2 - 379 IGMP 6 - 211 Fase 2 5 - 13
DoS 4 - 41– 4 - 78 PIM 6 - 253 propuestas 5 - 13, 5 - 14
ataque específico del sistema operativo enrutamiento multidireccional de igual coste propuestas, predefinidas 5 - 14
4 - 73– 4 - 78 (ECMP) 6 - 52, 6 - 90, 6 - 147 filtrado de contenidos 4 - 79– 4 - 134
cortafuegos 4 - 42– 4 - 51 enrutamiento según el origen 6 - 40 filtrado de paquetes 1-A-X
inundación de la tabla de sesiones 4 - 25, enrutamiento según el origen, definición 1-A-VIII filtrado de paquetes dinámico 4 - 3
4 - 42 filtrado de rutas 6 - 58
enrutamiento según la interfaz de origen 6 - 44
red 4 - 52– 4 - 72 filtrado de URL 2 - 325, 4 - 111, 4 - 126– 4 - 134
enrutamiento sin clase 1-A-VIII
activación en el nivel de dispositivo 4 - 131
drop-no-rpf-route 4 - 28 envejecimiento agresivo 4 - 46– 4 - 49
aplicación de perfiles a directivas 4 - 120
DS Codepoint Marking 2 - 360, 2 - 369, 2 - 370 definición 1-A-VIII
aplicación en el nivel de directivas 4 - 131
DSL 2 - 407, 2 - 412 equilibrio de carga
caché 4 - 125
dyndns.org y ddo.jp 2 - 382 definición 1-A-VIII
categorías URL 4 - 115
equilibrio de cargas según coste de cada ruta enrutamiento 4 - 132
E 6 - 52, 6 - 90
error de vector NAT 3 - 140
estado del servidor 4 - 131
integrada 4 - 112
editar error in-short 3 - 137 introducir un contexto 4 - 113
directivas 2 - 355 ESP 5 - 3, 5 - 7, 5 - 8 mensaje de URL bloqueada de NetScreen
grupos de direcciones 2 - 149 encriptación y autenticación 5 - 70, 5 - 78 4 - 130
zonas 2 - 38 sólo autenticación 5 - 70 nombre del servidor SurfControl 4 - 129
encabezado de autenticación sólo encriptación 5 - 70 nombre del servidor Websense 4 - 129
véase AH establecimiento de conexión en tres fases 1-A-IX, perfiles 4 - 117
encriptación 4 - 52 puerto del servidor SurfControl 4 - 129
algoritmos 5 - 8, 5 - 66, 5 - 70, 5 - 74, 5 - 79 estadísticas puerto del servidor Websense 4 - 129
definición 1-A-VII comunicar a NSM 3 - 34 reenviar 4 - 126
NSRP 10 - 7, 10 - 19 estado agregado 1-A-IX servidores CPA de SurfControl 4 - 112
NSRP-Lite 10 - 147 estado de conexión 1-A-IX servidores por vsys 4 - 128
enrutador de límite de área 1-A-VII estados de conexión 1-A-X servidores SurfControl 4 - 124
enrutador de límite de sistema autónomo 1-A-VII estándar VLAN IEEE 802.1Q 9 - 22 SurfControl SCFP 4 - 128
enrutadores virtuales Ethernet, definición 1-A-X tiempo de espera de comunicaciones
véase VRs evasión 4 - 22– 4 - 38 communication timeout 4 - 129
enrutadores, definición 1-A-VII exploits tipo de mensaje de URL bloqueada 4 - 130
enrutamiento 6 - 2 véase ataques filtrar ruta de origen 3 - 141
entre direcciones IP secundarias 2 - 75 exportación de rutas 6 - 62 FIN sin flag ACK 4 - 18
multicast 6 - 199 expresiones de grupos 8 - 6– 8 - 13 FIPS 1 - xxix
preferencia 1-A-XVI grupos de usuarios 8 - 6 firma digital 5 - 24
preferencia de ruta 6 - 37 operadores 8 - 6 firmas completas 4 - 156
ruta predeterminada 1-A-XXI otras expresiones de grupos 8 - 7 definición 4 - 156
selección de rutas 6 - 37 servidores admitidos 8 - 17 firmas de secuencias 4 - 157
siguiente salto 1-A-XIV, 1-A-XXII usuarios 8 - 6 firmware
enrutamiento dinámico 1-A-VII expresiones regulares 4 - 188– 4 - 190 autenticación 2 - 445– 2 - 448
enrutamiento estático 1-A-VIII, 6 - 2, 6 - 6– 6 - 17 extranet, definición 1-A-X flags SYN y FIN activados 4 - 16

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general IX-V

Índice
flujo de paquetes 2 - 12– 2 - 15
NAT-dst 7 - 38– 7 - 41
VPN basada en directivas 5 - 88– 5 - 89
VPN basada en rutas 5 - 82– 5 - 87
VPN de entrada 5 - 85– 5 - 87
VPN de salida 5 - 83– 5 - 85
fragmentados 3 - 141
ataque de simulación de dirección 3 - 138
ataque terrestre 3 - 139
colisión 3 - 137, 3 - 138
descartados 3 - 140, 3 - 141
entrantes 3 - 137
Internet Control Message Protocol (ICMP)
3 - 135, 3 - 139
IPSec 3 - 139
Network Address Translation (NAT) 3 - 140
no enrutables 3 - 140
paquetes 3 - 141
PPTP (Point to Point Tunneling Protocol)
3 - 139
que no se pueden recibir 3 - 137, 3 - 138
rechazados 3 - 141
recibidos 3 - 137, 3 - 138, 3 - 139, 3 - 141
transmitidos por defecto (underrun) 3 - 137
Fragmentos SYN 4 - 222– 4 - 223
G interfaces Dual Untrust 10 - 69
gatekeeper (equipos selectores) 2 - 181
gestión de colas de prioridades 2 - 367
gráficos de historial 2 - 325
GRE 6 - 205
grupos de direcciones 2 - 146, 2 - 315
crear 2 - 148
editar 2 - 149
eliminar entradas 2 - 150
opciones 2 - 147
grupos de dispositivos de seguridad virtuales
véase grupos VSD
grupos de objetos de ataque 4 - 158
aplicado en directivas 4 - 150
cambiar gravedad 4 - 159
niveles de gravedad 4 - 158
registro 4 - 176
URLs de ayuda 4 - 155
grupos de servicios 2 - 274– 2 - 277
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
crear 2 - 275
eliminar 2 - 277
modificar 2 - 276
Grupos VSD
VSD, definición 1-A-VI
grupos VSD 10 - 5, 10 - 24– 10 - 28, 10 - 148–
10 - 151
conmutación por error 10 - 119
estados de los miembros 10 - 25, 10 - 148–
10 - 149, 10 - 163
latidos 10 - 19, 10 - 26, 10 - 150
números de prioridad 10 - 24
tiempo de retención 10 - 52, 10 - 56
H coincidencia 5 - 81, 5 - 90
HA
cableado 10 - 46– 10 - 49
cableado de interfaces de red como
conexiones HA 10 - 48
cableado para interfaces HA dedicadas 10 - 46
conexión de control 10 - 39
conexión de datos 10 - 42
conmutación por error activo/activo 10 - 6
conmutación por error activo/pasivo 10 - 4
DHCP 2 - 397
interfaces agregadas 10 - 67
interfaces redundantes 10 - 60
interfaz de HA virtual 2 - 58
interfaz serie 10 - 106
LED HA 10 - 26
mensajes 10 - 41
ruta secundaria 10 - 26
seguimiento de IP 10 - 124, 10 - 163
sondeo de conexiones 10 - 43
supervisión de rutas 10 - 163
véase también NSRP
historial, gráficos 2 - 325
HMAC 5 - 7
HTTP 3 - 5
bloqueo de componentes 4 - 207– 4 - 209
goteo 4 - 109
ID de sesión 3 - 5
método “keep-alive” 4 - 108
tiempo de espera de la sesión 4 - 48
huso horario 2 - 465
I
ICMP
definición 1-A-XII
fragmentos 4 - 212
paquetes grandes 4 - 214
iconos
definición 2 - 329
directiva 2 - 329
ID de sesión 3 - 5
identificación IKE de grupo
certificados 5 - 276– 5 - 287
clave previamente compartida 5 - 288– 5 - 296
Ident-Reset 3 - 39
IDs de proxy 5 - 14
VPNs y NAT 5 - 203– 5 - 204
IGMP
configuración básica 6 - 219
consultador 6 - 215
directivas multicast 6 - 232
habilitar en interfaces 6 - 216
mensajes de host 6 - 214
parámetros 6 - 222, 6 - 224
proxy 6 - 226
proxy del remitente 6 - 245
proxy en interfaces 6 - 229
usar listas de accesos 6 - 217
verificar su configuración 6 - 222
IKE 5 - 9, 5 - 111, 5 - 126, 5 - 235
administración de claves 1-A-I
grupos de usuarios, definir 8 - 81
ID IKE, Windows 200 5 - 328, 5 - 341
ID local, ASN1-DN 5 - 278
ID remota, ASN1-DN 5 - 278
identificación IKE 5 - 66– 5 - 68, 5 - 75– 5 - 76,
8 - 78, 8 - 99
identificación IKE de grupo, container 5 - 280
identificación IKE de grupo, wildcard 5 - 279
IDs de proxy 5 - 14
ISAKMP 1-A-XII
latidos 5 - 443
mensajes de saludo 5 - 443
propuestas de fase 1, predefinidas 5 - 12
propuestas de fase 2, predefinidas 5 - 14
puertas de enlace redundantes 5 - 441– 5 - 459
recomendaciones de ID IKE 5 - 92
IX-VI
 Índice

usuario de identificación IKE compartida importación de vsys 9 - 19 configuración del módem 10 - 107
5 - 297– 5 - 306 inactivas físicamente 2 - 81 conmutación por error 10 - 111
usuario de identificación IKE de grupo 5 - 275– inactivas lógicamente 2 - 81 interlocutor 1-A-XII
5 - 296 loopback 2 - 77 Internet, definición 1-A-XII
usuarios 8 - 78– 8 - 82 MGT 2 - 57 intervalo de saludo 1-A-XI
usuarios, definir 8 - 79 MIP 7 - 92 intervalo muerto 1-A-XI
usuarios, grupos 8 - 78 modificar 2 - 71 intranet, definición 1-A-XII
ilustración null 5 - 109 inundación de la tabla de sesiones 4 - 25, 4 - 42
convenciones 1 - xxxix, 2 - xiii, 3 - ix, 4 - x, 5 - ix, opciones de administración 3 - 39 inundación del proxy SYN-ACK-ACK 4 - 50
6 - xi, 7 - vii, 8 - vii, 9 - vii, 10 - ix predeterminadas 2 - 69 inundación ICMP 4 - 67
importación de rutas 6 - 62 redundantes 2 - 56, 10 - 60 inundación SYN 4 - 52– 4 - 58
indicadores LED, HA 10 - 26 Seguimiento de IP (Véase seguimiento de IP) ataque 4 - 52
serie 10 - 106 descartar las direcciones MAC desconocidas
información de accesibilidad de la capa de red
supervisión 10 - 19 4 - 58
1-A-XI
supervisión de la conexión 2 - 83 tamaño de la cola 4 - 58
infraestructura de claves públicas
túnel 2 - 35, 2 - 58, 2 - 58– 2 - 63 tiempo de espera 4 - 58
véase PKI
VIP 7 - 118 umbral 4 - 53
inicio de sesión umbral de alarma 4 - 56
administrador raíz 3 - 60 visualizar tabla de interfaces 2 - 64
VSI 2 - 56 umbral de ataque 4 - 56
Telnet 3 - 15 umbral de destino 4 - 57
vsys 9 - 34, 9 - 39 zona Trust 10 - 29
zonas de seguridad L3 2 - 67 umbral de origen 4 - 57
inspección de estado 4 - 3 inundación UDP 4 - 69
intercambio de claves de Internet interfaces agregadas 2 - 56, 10 - 67
IP
véase IKE interfaces de túnel 2 - 58
definición 1-A-XVIII
intercambio Diffie-Hellman 5 - 13 definición 1-A-XI, 2 - 58
fragmentos de paquetes 4 - 220
NAT basada en directivas 2 - 58
interfaces IP administrativa 3 - 44
interfaces de zonas de función 2 - 57
activas físicamente 2 - 81 grupo VSD 0 10 - 8
interfaz de administración 2 - 57 IP del servidor SMTP 3 - 101
activas lógicamente 2 - 81
interfaz de HA 2 - 57 IP dinámica
agregadas 2 - 56, 10 - 67
interfaces Dual Untrust 10 - 69 véase DIP
asociar a zonas 2 - 66 interfaces loopback 2 - 77
cambios de estado 2 - 81– 2 - 106 IP virtual
interfaces no etiquetadas 2 - 418 véase VIP
compartidas 9 - 15, 9 - 34 interfaz de administración
dedicadas 9 - 15, 9 - 34 IPSec 5 - 3
véase interfaz MGT AH 5 - 2, 5 - 69, 5 - 78
desasociar de una zona 2 - 70 interfaz de bucle invertido
DIP 2 - 278 AH, definición 1-A-IX
definición 1-A-XI autenticación 1-A-III
dirección IP secundaria 2 - 75 interfaz de línea de comandos definición 1-A-XXI
direccionamiento 2 - 67 véase CLI encriptación 1-A-VII
Dual Untrust 10 - 69 interfaz de seguridad virtual ESP 5 - 2, 5 - 69, 5 - 78
exportación desde vsys 9 - 20 véase VSI ESP, definición 1-A-IX
extendidas 5 - 203 interfaz de usuario firma digital 5 - 24
físicas 2 - 3 véase WebUI modo de transporte 5 - 4, 5 - 311, 5 - 317,
gestionables 3 - 44 interfaz HA virtual 2 - 58, 10 - 48 5 - 326
HA 2 - 57 interfaz nula 5 - 109 modo de túnel 5 - 5
HA virtual 2 - 58, 10 - 48 interfaz nula, definir rutas 6 - 18 negociación de túnel 5 - 11
HA, duales 10 - 39– 10 - 42 interfaz serie 10 - 106 SAs 1-A-III, 5 - 2, 5 - 10, 5 - 11, 5 - 14
habilitar IGMP 6 - 216 configuración de ISP 10 - 109 SPI 5 - 2

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general IX-VII

Índice

SPI, definición 1-A-XI

túnel 5 - 2
Layer 2 Tunneling Protocol M
véase L2TP
ISAKMP 1-A-XII Management Information Base II
LDAP 8 - 32– 8 - 33
ISP - proveedor de servicios de Internet 2 - 385 véase MIB II
estructura 8 - 32 mantenimiento de conexión, BGP 1-A-XIII
ISP, configuración para la interfaz serie 10 - 109 identificador de nombre común 8 - 33 mapa de rutas 1-A-XIII, 6 - 56
nombre completo 8 - 33 máscaras de red 2 - 315
K objeto servidor de autenticación 8 - 39 aplicaciones 2 - 68
puerto del servidor 8 - 33 definición 1-A-XIV
keepalive
tipos de usuarios admitidos 8 - 33 máscaras de subred
frecuencia, NAT-T 5 - 357
libreta de direcciones definición 1-A-XIV
L2TP 5 - 322
agregar direcciones 2 - 144 MD5 5 - 7
editar entradas de grupos 2 - 149 definición 1-A-XIV
L eliminar direcciones 2 - 150 mensajería inmediata 4 - 152
entradas 2 - 144 AIM 4 - 152
L2TP 5 - 307– 5 - 348 MSN Messenger 4 - 152
asignación de direcciones 8 - 107 grupos 2 - 146
Yahoo! Messenger 4 - 152
autenticación de usuarios 8 - 107 modificar direcciones 2 - 145 mensajes
autenticado del túnel Windows 2000 5 - 322 véase también direcciones alerta 3 - 80
base de datos local 8 - 108 libro de servicios críticos 3 - 80
bidireccional 5 - 311 agregar servicio 2 - 154 depurar 3 - 80
concentrador de accesos: véase LAC eliminar entradas (CLI) 2 - 155 emergencia 3 - 80
configuración obligatoria 5 - 308 grupos de servicios (WebUI) 2 - 274 error 3 - 80
configuración voluntaria 5 - 308 modificar entradas (CLI) 2 - 155 información 3 - 80
desencapsulado 5 - 313 notificación 3 - 80
modificar entradas (WebUI) 2 - 276
directivas 2 - 319 WebTrends 3 - 104
encapsulado 5 - 312 servicio personalizado 2 - 151
servicio personalizado (CLI) 2 - 154 mensajes de bienvenida
Keep Alive 5 - 322 personalizar 8 - 14
L2TP en solitario sobre Windows 2000 5 - 311 servicios preconfigurados 2 - 151
secundarios 8 - 14
modo de funcionamiento 5 - 311 límites de sesiones 4 - 42– 4 - 46 mensajes de control 10 - 39
parámetros predeterminados 5 - 315 de destino 4 - 43, 4 - 46 latidos de conexión física HA 10 - 40
señal hello 5 - 322 según sus orígenes 4 - 42, 4 - 45 latidos RTO 10 - 41
servidor de autenticación externo 8 - 108 lista de acceso latidos VSD 10 - 41
servidor de red: véase LNS definición 1-A-XIII mensajes HA 10 - 41
servidor RADIUS 5 - 314 enrutamiento multicast 6 - 205 mensajes de datos 10 - 41
servidor SecurID 5 - 314 IGMP 6 - 217 Message Digest versión 5
soporte de ScreenOS 5 - 311 para rutas 6 - 58 véase MD5
túnel 5 - 317 PIM-SM 6 - 286 métodos de administración
Windows 2000 5 - 331 CLI 3 - 14
lista de clústeres 1-A-XIII
L2TP sobre IPSec 5 - 4, 5 - 317, 5 - 326 consola 3 - 27
lista de filtrado 1-A-XIII
bidireccional 5 - 311 SSL 3 - 8
túnel 5 - 317 lista de redistribución 1-A-XIII Telnet 3 - 14
L2TP, usuarios 8 - 107– 8 - 111 LKG (última correcta conocida) 2 - 452 WebUI 3 - 3
LAC 5 - 308 Llamada a procedimientos remotos de Microsoft métrica de ruta 6 - 39
NetScreen-Remote 5.0 5 - 308 véase MS-RPC 4 - 154 métrica, definición 1-A-XIV
Windows 2000 5 - 308 LNS 5 - 308 MGT, interfaz 2 - 57
LAN, definición 1-A-XIX LSA, supresión 6 - 106 opciones de administración 3 - 40

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general IX-VIII

Índice

MIB II 3 - 39, 3 - 106 modos de puertos 2 - 41– 2 - 52 basada en interfaces 7 - 3

Microsoft Network Instant Messenger módulo 5 - 13 conjunto de DIP con desplazamiento de
Consulte MSN Messenger MS RPC ALG direcciones 7 - 10
MIME, análisis AV 4 - 90 definición 2 - 163 conjunto de DIP con PAT 7 - 9, 7 - 18– 7 - 21
MIP 2 - 14, 7 - 92 grupos de servicios 2 - 167 conjunto de DIP, puerto fijo 7 - 9
a una zona con NAT basada en interfaces servicios 2 - 164 conjuntos de DIP 7 - 2
2 - 129 MSN Messenger 4 - 152 definición 1-A-XXIII
alcanzable desde otras zonas 7 - 97 MS-RPC 4 - 154 desplazamiento de direcciones 7 - 25– 7 - 30
crear direcciones 7 - 94 multicast desplazamiento de direcciones,
crear en interfaz de zona 7 - 94 árboles de distribución 6 - 258 consideraciones sobre el rango 7 - 25
crear en una interfaz de túnel 7 - 102 direcciones 6 - 200 interfaz de salida 7 - 10, 7 - 31– 7 - 33
definición 1-A-V, 7 - 8 directivas 6 - 208 modo de ruta
enrutador virtual predeterminado 7 - 96 reenvío por rutas inversas 6 - 201 NAT-src 2 - 135
máscara de red predeterminada 7 - 96 rutas estáticas 6 - 204 puerto fijo 7 - 17, 7 - 22– 7 - 24
rango de direcciones 7 - 96 tabla de enrutamiento 6 - 202 traducción de direcciones de puertos 7 - 3
same-as-untrust, interfaz 7 - 103– 7 - 106 traducción unidireccional 7 - 8, 7 - 13
sistemas virtuales 9 - 10
traducción bidireccional 7 - 8 N VPNs 5 - 206
NAT-T 5 - 351– 5 - 360
VPNs 5 - 203 NAT frecuencia de mantenimiento de conexión
zona global 7 - 93 definición 1-A-XXIII, 7 - 2 5 - 357
módem, configuración para la interfaz serie IPSec y NAT 5 - 351 habilitar 5 - 359
10 - 107 NAT-src con NAT-dst 7 - 70– 7 - 90 iniciador y respondedor 5 - 358
modo de fallo 4 - 108 servidores NAT 5 - 351 obstáculos para VPNs 5 - 354
modo de prioridad 10 - 24, 10 - 150 NAT basada en directivas paquete IKE 5 - 354
modo de puerto interfaces de túnel 2 - 58
paquete IPSec 5 - 356
definición 1-A-XIV véase NAT-dst y NAT-src
sondeos de NAT 5 - 352– 5 - 353
modo de ruta 2 - 135– 2 - 140 NAT-dst 7 - 36– 7 - 90
ajustes de interfaz 2 - 136 NAT-Traversal
asignación de puertos 7 - 5, 7 - 36, 7 - 65
modo de transporte 5 - 4, 5 - 311, 5 - 317, 5 - 326 véase NAT-T
con MIPs o VIPs 7 - 4
modo de túnel 5 - 5 negación de direcciones 2 - 351
consideraciones sobre las rutas 7 - 37, 7 - 42–
modo dinámico 5 - 12 7 - 45 negación, Deep Inspection 4 - 200
modo NAT 2 - 127– 2 - 134 definición 1-A-XXIII NetBIOS 4 - 154
ajustes de interfaz 2 - 130 desplazamiento de direcciones 7 - 7, 7 - 37, NetInfo 2 - 389
tráfico a la zona Untrust 2 - 107, 2 - 129 7 - 60 NetScreen-Remote
modo principal 5 - 12 flujo de paquetes 7 - 38– 7 - 41 interlocutor dinámico 5 - 244, 5 - 256
modo transparente 2 - 108– 2 - 126 IP única con asignación de puerto 7 - 11 opción NAT-T 5 - 351
ARP/trace-route 2 - 113 IP única, sin asignación de puertos 7 - 11 VPN AutoKey IKE 5 - 235
bloquear tráfico que no es ARP 2 - 110 rango de direcciones 7 - 6 NetScreen-Security Manager
bloquear tráfico que no es IP 2 - 110 rango de direcciones a IP única 7 - 12, 7 - 55 véase NSM
descartar las direcciones MAC desconocidas rango de direcciones a rango de direcciones Network Address Translation (NAT) 3 - 140
4 - 58 7 - 12, 7 - 60 nombre completo 8 - 33
inundación 2 - 113 traducción “1:1” 7 - 46 nombre común 8 - 33
opciones de administración 3 - 40 traducción “1:n” 7 - 51 nombre de clúster, NSRP 10 - 18, 10 - 146
opciones unicast 2 - 113 traducción unidireccional 7 - 8, 7 - 13 nombres
rutas 2 - 111 VPNs 5 - 203 convenciones 1 - xl, 2 - xiv, 3 - x, 4 - xi, 5 - x,
tráfico broadcast 2 - 110 NAT-src 7 - 2, 7 - 16– 7 - 33 6 - xii, 7 - viii, 8 - viii, 9 - viii, 10 - x

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general IX-IX

Índice
Norma de encriptación de datos
véase DES
notificación 1-A-XV
notificación de estado de conexiones 1-A-XVI
notificación mediante alertas de correo electrónico
3 - 101, 3 - 104
NRTP 10 - 34, 10 - 160
NSM
activar agente 3 - 32
agente 3 - 30, 3 - 33
bulk-CLI 2 - 458
comunicar eventos 3 - 34, 3 - 35
configuración de la conectividad inicial NSM
Management System 3 - 31
definición 3 - 30
interfaz de usuario 3 - 30
Management System 3 - 30, 3 - 33
marca de hora de configuración 3 - 38
opciones de administración 3 - 39
sincronización de la configuración 3 - 36
tiempo de espera para el reinicio 2 - 458
NSRP
ajustes predeterminados 10 - 9, 10 - 144
archivos, sincronización 10 - 35
ARP 10 - 57
cableado 10 - 46– 10 - 49
cableado HA, interfaces de red 10 - 48
cableado HA, interfaces dedicadas 10 - 46
clústeres 10 - 17– 10 - 21, 10 - 50
comando clear cluster 10 - 17, 10 - 146
comando debug cluster 10 - 17, 10 - 146
comunicaciones seguras 10 - 7, 10 - 19
conexión de control 10 - 39
conexión de datos 10 - 42
configuración en malla completa 10 - 46,
10 - 132
conmutación por error de puerto 10 - 60
copia de seguridad de la sesión HA 2 - 324,
10 - 22
DHCP 2 - 397
difusiones ARP 10 - 19
estados RTO 10 - 23
grupos de DIP 2 - 297– 2 - 300
grupos VSD 10 - 5, 10 - 24– 10 - 28, 10 - 50,
10 - 163
interfaces HA 10 - 40
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
interfaces redundantes 2 - 56
IP administrativa 10 - 124, 10 - 164
LED HA 10 - 26
maestro 10 - 4
mensajes de control 10 - 39, 10 - 40
mensajes de datos 10 - 41
modo de prioridad 10 - 24
modo transparente 10 - 8
modos NAT y de rutas 10 - 8
nombre de clúster 10 - 18, 10 - 146
NSRP, definición 1-A-XVIII
números de prioridad 10 - 24
puertos HA, interfaces redundantes 10 - 60
puertos redundantes 10 - 39
reenvío de paquetes y enrutamiento dinámico
10 - 42
reparto de carga 10 - 132
respaldo 10 - 4
retroactivación de la configuración 2 - 455
RTOs 1-A-XVI, 10 - 22– 10 - 23, 10 - 50
RTOs, sincronización 10 - 35
ruta secundaria 10 - 19, 10 - 26
sincronización de configuraciones 10 - 34
sincronización NTP 2 - 468, 10 - 38
sincronización PKI 10 - 35
sistemas virtuales 10 - 132– 10 - 138
supervisión de interfaces 10 - 19
supervisión de puertos 10 - 122
tiempo de retención 10 - 52, 10 - 56
vista general 10 - 3
VSD, definición 1-A-VI
VSI 1-A-XI
VSIs 2 - 56
VSIs, rutas estáticas 10 - 29, 10 - 65, 10 - 66
zona Trust 10 - 5
NSRP-Lite 10 - 139– 10 - 162
cableado 10 - 152
clústeres 10 - 142– 10 - 147
comunicaciones seguras 10 - 147
desactivación de la sincronización 10 - 162
grupos VSD 10 - 148– 10 - 151
modo de prioridad 10 - 150
sincronización de archivos 10 - 161
sincronización de la configuración 10 - 160
supervisión de puertos 10 - 163
NTP 2 - 466– 2 - 469
configuración del servidor 2 - 468
desfase horario máximo 2 - 467
múltiples servidores 2 - 466
servidores 2 - 466
servidores seguros 2 - 469
sincronización NSRP 2 - 468, 10 - 38
tipos de autenticación 2 - 469
O
objetos AV
tiempo de espera 4 - 103
objetos de ataque 4 - 138, 4 - 149– 4 - 157
anomalías del protocolo 4 - 157, 4 - 198
definición 1-A-XVI
desactivar 4 - 163
firmas completas 4 - 156
firmas de secuencias 4 - 157
firmas de secuencias TCP 4 - 195
negación 4 - 200
volver a activar 4 - 163
objetos en tiempo de ejecución
véase RTOs
OCSP (Online Certificate Status Protocol) 5 - 44
client 5 - 44
servidor de respuesta 5 - 44
ojos de aguja 2 - 208
opción de reencriptación, supervisión de VPN
5 - 362
opción de seguridad IP 4 - 13, 4 - 15
opción IP de grabación de ruta 4 - 13, 4 - 15
opción IP de ID de secuencia 4 - 14, 4 - 15
opción IP de marca de hora 4 - 14, 4 - 15
opción IP de ruta de origen abierta 4 - 13, 4 - 36–
4 - 38
opción IP de ruta de origen estricta 4 - 14, 4 - 36–
4 - 38
opciones criptográficas 5 - 62– 5 - 79
acceso telefónico 5 - 72– 5 - 79
algoritmos de autenticación 5 - 66, 5 - 71,
5 - 75, 5 - 79
algoritmos de encriptación 5 - 66, 5 - 70, 5 - 74,
5 - 79
comprobación contra reprocesamiento de
paquetes 5 - 68, 5 - 76
IX-X
Índice

Diffie-Hellman, grupos 5 - 65, 5 - 69, 5 - 74, asignación de interfaces a un área 6 - 79 Skype 4 - 154
5 - 77 autenticación de vecinos 6 - 99 SMB 4 - 154
ESP 5 - 70, 5 - 78 circuitos de demanda 6 - 105 WinMX 4 - 154
identificación IKE 5 - 66– 5 - 68, 5 - 75– 5 - 76 conexión virtual 1-A-IV PAP 5 - 311, 5 - 314
longitudes de bits de los certificados 5 - 65, conexiones virtuales 6 - 92 paquete de saludo 1-A-XVI
5 - 73 configuración de seguridad 6 - 99 paquetes, filtrado 1-A-X
métodos de administración de claves 5 - 64 creación de instancia en enrutador virtual par de claves pública/privada 5 - 27
modo de transporte 5 - 78 6 - 75 Password Authentication Protocol
modo de túnel 5 - 78 definición 1-A-XVIII véase PAP
modos de fase 1 5 - 64, 5 - 73 definición de área 6 - 77 PAT 2 - 279, 7 - 16
PFS 5 - 68, 5 - 77 enrutador designado 6 - 71 definición 1-A-XXII
protocolos IPSec 5 - 69, 5 - 78 enrutador designado de respaldo 6 - 71 PCMCIA 3 - 79
punto a punto 5 - 63– 5 - 71 equilibrio de carga 6 - 52 PFS 5 - 15, 5 - 68, 5 - 77
recomendaciones VPN de acceso telefónico establecer el tipo de conexión OSPF 6 - 107 PIM-SM 6 - 256
5 - 79 filtrado de vecinos 6 - 101 configuración de RP 6 - 282
recomendaciones VPN punto a punto 5 - 71 habilitación en interfaz 6 - 81 configuraciones de seguridad 6 - 286
tipos de autenticación 5 - 64, 5 - 73 inhabilitar la restricción route-deny 6 - 108 crear una instancia 6 - 265
opciones de administración 3 - 39 interfaces de túnel 6 - 105, 6 - 107 enrutador designado 6 - 259
gestionables 3 - 44 inundación LSA reducida 6 - 105 IGMPv3 6 - 311
modo transparente 3 - 40 notificaciones de estado de conexiones 6 - 69,
parámetros de interfaz 6 - 291
NSM 3 - 39 6 - 72
pasos de configuración 6 - 264
ping 3 - 39 parámetros de interfaz 6 - 96
proxy RP 6 - 294
SNMP 3 - 39 parámetros globales 6 - 89
puntos de encuentro 6 - 259
SSH 3 - 39 pasos de configuración 6 - 74
protección contra inundaciones 6 - 103 reenvío de tráfico 6 - 260
SSL 3 - 39
Telnet 3 - 39 protocolo de saludo 6 - 71 PIM-SSM 6 - 312
WebUI 3 - 39 punto a multipunto 6 - 107 ping
opciones IP 4 - 12– 4 - 15 rechazo de rutas predeterminadas 6 - 102 opciones de administración 3 - 39
atributos 4 - 12– 4 - 14 red de difusión 6 - 71 “Ping of Death” 4 - 73
formateadas incorrectamente 4 - 216 red punto a punto 6 - 72 PKI 5 - 26
grabación de ruta 4 - 13, 4 - 15 redistribución de rutas 6 - 86 clave 3 - 9
ID de secuencia 4 - 14, 4 - 15 resumen de rutas redistribuidas 6 - 87 encriptación 1-A-VII
marca de hora 4 - 14, 4 - 15 soporte de ECMP 6 - 90 PPP 5 - 309
ruta de origen 4 - 36 supresión de LSA 6 - 106 PPPoE 2 - 411– 2 - 422
ruta de origen abierta 4 - 13, 4 - 36– 4 - 38 tipos de enrutador 6 - 70 alta disponibilidad 2 - 422
ruta de origen estricta 4 - 14, 4 - 36– 4 - 38 configuración 2 - 411, 2 - 416
definición 1-A-XVIII
seguridad 4 - 13, 4 - 15
opciones “unicast” desconocidas 2 - 112– 2 - 118 P múltiples instancias 2 - 419
ARP 2 - 115– 2 - 118 P2P 4 - 153 múltiples sesiones por interfaz 2 - 417
inundación 2 - 113– 2 - 114 BitTorrent 4 - 153 PPTP (Point to Point Tunneling Protocol) 3 - 139
trace-route 2 - 115, 2 - 118 DC 4 - 153 preferencia
OSPF eDonkey 4 - 153 definición 1-A-XVI
adyacencia de enrutadores 6 - 71 FastTrack 4 - 153 preferencia local 1-A-XVI
área de rutas internas 6 - 70 Gnutella 4 - 153 prefijos, definición 1-A-XVI
área no exclusiva de rutas internas 6 - 70 KaZaa 4 - 153 prevención de ataques de sobrefacturación
áreas 6 - 69 MLdonkey 4 - 154 configuración 4 - 230

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general IX-XI

Índice

prevención de ataques de sobrefacturación de números de puerto 7 - 128 redes de difusión 1-A-XX

GPRS 4 - 225– 4 - 231 principales, fiables y no fiables 10 - 60 redistribución 1-A-XX
propuestas puertos troncales 1-A-XIX redistribución de rutas 1-A-XX, 6 - 55
Fase 1 5 - 11, 5 - 90 redundantes 10 - 39 reensamblaje de fragmentos 4 - 81– 4 - 85
Fase 2 5 - 14, 5 - 90 secundarios, fiables y no fiables 10 - 60 reflector de rutas 1-A-XX
protección contra reprocesamiento de paquetes supervisión 10 - 122, 10 - 163 registro 2 - 325, 3 - 78– 3 - 96
5 - 15 troncales 9 - 24 CompactFlash (PCMCIA) 3 - 79
protección contra URL maliciosas 4 - 81– 4 - 85 puertos troncales 9 - 24 comunicar a NSM 3 - 34
protección frente a ataques configuración manual 9 - 23 consola 3 - 78
nivel de directivas 4 - 5 definición 1-A-XIX, 9 - 23 correo electrónico 3 - 78
nivel de zona de seguridad 4 - 5 punto a punto grupos de objetos de ataque 4 - 176
protocolo de control del transporte en tiempo real véase P2P
véase RTCP interno 3 - 78
protocolo de redundancia de NetScreen registro de eventos 3 - 80
véase NSRP Q registro de recuperación de activos 3 - 96
protocolo de transferencia de hipertextos (HTTP) registro propio 3 - 92
QoS (calidad del servicio) 1 - xxix, 2 - 360 SNMP 3 - 78, 3 - 106
véase HTTP
protocolo de transporte en tiempo real syslog 3 - 78, 3 - 102
véase RTP R WebTrends 3 - 79, 3 - 104
protocolo de transporte fiable de NetScreen registro de eventos 3 - 80
RADIUS 3 - 54, 8 - 24– 8 - 27
véase NRTP registro de recuperación de activos 3 - 96
access-challenge 1-A-IV
protocolo ligero de acceso a directorios registro propio 3 - 92
archivo de diccionario de NetScreen 8 - 3
véase LDAP reglas de exportación, definición 1-A-XX
L2TP 5 - 314
protocolo punto a punto reglas de importación, definición 1-A-XX
objeto servidor de autenticación 8 - 34
véase PPP reglas, derivadas de directivas 2 - 312
protocolos propiedades del objeto 8 - 25
puerto 8 - 25 reloj del sistema 2 - 465– 2 - 469
CHAP 5 - 311 fecha y hora 2 - 465
NRTP 10 - 34, 10 - 160 secreto compartido 8 - 25
tiempo de espera entre reintentos 8 - 25 huso horario 2 - 465
NSRP 10 - 1, 10 - 139 sincronización con cliente 2 - 465
PAP 5 - 311 rango de áreas 1-A-XIX
rastreo reparto de carga 10 - 132
PPP 5 - 309 requisitos del explorador 3 - 3
VRRP 10 - 124, 10 - 164 puertos abiertos 4 - 10
red 4 - 8 requisitos del explorador de web 3 - 3
protocolos desconocidos 4 - 218
sistemas operativos 4 - 16– 4 - 20 restablecimiento de los ajustes predeterminados de
puentes 1-A-XIX
reconocimiento 4 - 7– 4 - 38 fábrica 3 - 58
puerta de enlace
análisis de puertos 4 - 10 retroactivación 2 - 458
enrutamiento 1-A-XIX
puerta de enlace (enrutador) 1-A-XIX análisis FIN 4 - 22 retroactivación, configuración 2 - 452– 2 - 454
puerta de enlace en la capa de aplicación barrido de direcciones 4 - 8 RFC
véase ALG flags SYN y FIN activados 4 - 16 (MD5)
puertas de enlace redundantes 5 - 441– 5 - 459 opciones IP 4 - 12 1321 5 - 7
comprobación de flag TCP SYN 5 - 447 paquete TCP sin flags 4 - 20 2403 5 - 7
procedimiento de recuperación 5 - 444 recuento 2 - 325 (SHA-1)
puerto de módem 3 - 28 recuperación de la marca de hora 3 - 38 2404 5 - 7
puertos red privada virtual 2104 5 - 7
conmutación por error de puerto 10 - 60 véase VPNs 2407 5 - 3
módem 3 - 28 red, ancho de banda 2 - 360 2408 5 - 3

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general IX-XII

Índice

RFCs 2091 6 - 148 resumen de prefijo 6 - 144

1035, “Domain Names–Implementation and
Specification” 4 - II
1038, “Revised IP Security Option” 4 - 13
1112, “Host Extensions for IP Multicasting”
6 - 212
1157, “A Simple Network Management
Protocol” 3 - 106
1213, “Introduction to Community-based
SNMPv2” 3 - 39
1213, “Management Information Base for
Network Management of TCP/IP-based
internets
MIB-II” 3 - 106
1349, “Type of Service in the Internet Protocol
Suite” 2 - 327, 3 - 139
1508, “Generic Security Service Application
Program Interface” 4 - III
1583 6 - 84, 6 - 90
1701, “Generic Routing Encapsulation (GRE)”
6 - 205
1730, “Internet Message Access Protocol -
Version 4” 4 - III
1731, “IMAP4 Authentication Mechanisms”
4 - III
1771 6 - 160
1777, “Lightweight Directory Access Protocol”
8 - 32
1793 6 - 97, 6 - 105
1901, “Introduction to Community-based
SNMPv2” 3 - 106
1905, “Protocol Operations for Version 2 of the
Simple Network Management Protocol
(SNMPv2)” 3 - 106
1906, “Transport Mappings for Version 2 of the
Simple Network Management Protocol
(SNMPv2)” 3 - 106
1918, “Address Allocation for Private
Internets” 2 - 69
1939, “Post Office Protocol –- Version 3” 4 - IV
1945, “Hypertext Transfer Protocol–
HTTP/1.0” 4 - II
1965 6 - 173, 6 - 189, 6 - 190
1966 6 - 186
1997 6 - 192
2082 6 - 117
2132, “DHCP Options and BOOTP Vendor ruta de resumen de configuración 6 - 144
Extensions” 2 - 396 rutas alternativas 6 - 146
2236, “Internet Group Management Protocol, versión 6 - 142
Version 2” 6 - 212 versión de protocolo 6 - 142
2326, “Real Time Streaming Protocol (RTSP)” visualizar la base de datos RIP 6 - 126
2 - 169, 2 - 174 visualizar la información de vecino RIP 6 - 128
2328 6 - 90 visualizar los detalles de la interfaz de RIP
2338 10 - 124, 10 - 164 6 - 129
2453 6 - 117, 6 - 142 visualizar los detalles de protocolo RIP 6 - 127
2474, “Definition of the “Differentiated route flap dampening 1-A-X
Services” Field (DS Field) in the IPv4 and RSH ALG 2 - 160
IPv6 Headers” 2 - 327 RTCP
2821, “Simple Mail Transfer Protocol” 4 - V definición 1-A-XVII
3065 6 - 189 RTOs 10 - 22– 10 - 23
3376, “Internet Group Management Protocol, estados de funcionamiento 10 - 23
Version 3” 6 - 212 interlocutor RTO 10 - 25
3569, “An Overview of Source-Specific RTP
Multicast (SSM)” 6 - 256 definición 1-A-XVIII
791, “Internet Protocol” 4 - 12, 4 - 13, 4 - 73, RTSP ALG
4 - 216 códigos de estado 2 - 173
792, “Internet Control Message Protocol” definición 2 - 169
2 - 158, 4 - 73 métodos de petición 2 - 171
793, “Transmission Control Protocol” 4 - 18 servidor en dominio privado 2 - 175
959, “File Transfer Protocol (FTP)” 4 - II servidor en dominio público 2 - 178
RIP ruta de origen 3 - 141
autenticación de vecinos 6 - 135 ruta de sistema autónomo 1-A-XXI
base de datos 6 - 146 ruta nula 5 - 109
configuración de circuito de demanda 6 - 148 ruta secundaria 10 - 19, 10 - 26
configuración de seguridad 6 - 135
configuración de un circuito de demanda
6 - 149 S
creación de instancia en enrutador virtual SA inactiva 3 - 141
6 - 119 SAs 5 - 10, 5 - 11, 5 - 14
definición 1-A-XVII comprobación en flujo de paquetes 5 - 84
equilibrio de carga 6 - 52 definición 1-A-III
filtrado de vecinos 6 - 137 SCEP (Simple Certificate Enrollment Protocol)
habilitación en interfaz 6 - 121 5 - 38
introducción al protocolo 6 - 117 SCP 3 - 26
parámetros de interfaz 6 - 133 definición 1-A-XXI
parámetros globales 6 - 130 ejemplo de comando del cliente 3 - 27
pasos de configuración 6 - 118 habilitar 3 - 26
protección contra inundaciones 6 - 139 SCREEN
punto a multipunto 6 - 151 análisis de puertos 4 - 10
rechazo de rutas predeterminadas 6 - 138 ataque terrestre 4 - 71
redistribución de rutas 6 - 122 ataque WinNuke 4 - 77

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general IX-XIII

Índice

barrido de direcciones 4 - 8 zonas de seguridad predefinidas 2 - 2 seguridad

descartar las direcciones MAC desconocidas zonas de túnel 2 - 35 zonas 1-A-XXIV
4 - 58 SDP 2 - 206– 2 - 208 Seguridad IP
FIN sin ACK 4 - 22 definición 1-A-XVII véase IPSec
FIN sin flag ACK, descarte 4 - 18 secuencia de bits 3 - 137 serie, cables 3 - 28
flags SYN y FIN activados 4 - 16 Secure Copy Servicio AV 2 - 462
fragmentos de paquetes IP, bloquear 4 - 220 véase SCP servicio de autenticación remota de usuarios de
fragmentos ICMP, bloquear 4 - 212 Secure Hash Algorithm-1 acceso telefónico
fragmentos SYN, detectar 4 - 222– 4 - 223 véase SHA-1 véase RADIUS
inundación del proxy SYN-ACK-ACK 4 - 50 Secure Shell Servicio de DI 2 - 462
inundación ICMP 4 - 67 véase SSH servicios 2 - 151
inundación SYN 4 - 52– 4 - 58 Secure Sockets Layer ALGs personalizados 2 - 318
inundación UDP 4 - 69 véase SSL definición 2 - 316
opción IP de ruta de origen abierta, detectar SecurID 8 - 30– 8 - 31 direcciones 2 - 146
4 - 38 amenaza 8 - 31 en directivas 2 - 316
opción IP de ruta de origen estricta, detectar autenticador 8 - 30 ICMP 2 - 158
4 - 38 L2TP 5 - 314 lista desplegable 2 - 151
opción IP de ruta de origen, denegar 4 - 38 objeto servidor de autenticación 8 - 37 modificar el tiempo de espera 2 - 157
opciones IP 4 - 12 puerto de autenticación 8 - 31 personalizado en vsys 2 - 153
opciones IP incorrectas, descartar 4 - 216 reintentos del cliente 8 - 31 personalizados 2 - 153– 2 - 155, 4 - 179
paquete TCP sin flags, detectar 4 - 20 servidor ACE 8 - 30 servicios 2 - 274
paquetes ICMP grandes, bloquear 4 - 214 tiempo de espera del cliente 8 - 31 umbral del tiempo de espera 2 - 156
“Ping of Death” 4 - 73 tipo de encriptación 8 - 31 servicios ICMP 2 - 158
protocolos desconocidos, descartar 4 - 218 token, código 8 - 30 código de mensaje 2 - 158
suplantación de IP 4 - 27– 4 - 35 usuarios, tipos admitidos 8 - 31 tipo de mensaje 2 - 158
“Teardrop” 4 - 75 seguimiento de IP 10 - 124, 10 - 163 servicios personalizados 2 - 153– 2 - 155
zona MGT 2 - 34 conmutación por error del túnel 10 - 166 en root y vsys 2 - 153
zonas VLAN y MGT 4 - 3 definición 1-A-XXI Servidor de filtrado de URLs 2 - 462
ScreenOS 1 - xxx ejecución del comando ping y ARP 10 - 124, servidores de autenticación 8 - 16
actualizar 2 - 423 10 - 163 consultas de XAuth 8 - 84
directivas 2 - 3 fallo en la interfaz de entrada 2 - 103– 2 - 106 definición 8 - 34– 8 - 42
flujo de paquetes 2 - 12– 2 - 15 fallo en la interfaz de salida 2 - 100– 2 - 102 dirección 8 - 22
interfaces de la zona de seguridad 2 - 3 interfaces compartidas 2 - 85 externos 8 - 21
interfaces físicas 2 - 3 interfaces compatibles 2 - 85 funciones admitidas 8 - 16
modos de puertos 2 - 41 opción “dynamic” 2 - 86 LDAP 8 - 32– 8 - 33
sistemas virtuales 2 - 11 peso 2 - 86 LDAP, definición 8 - 39
sistemas virtuales, VRs 9 - 6 pesos 10 - 165 múltiples tipos de usuario 8 - 18
sistemas virtuales, zonas 9 - 7 redireccionamiento de tráfico 2 - 84– 2 - 106 nombre del objeto 8 - 22
subinterfaces 2 - 4 umbral de conmutación por error del número de identificación 8 - 22
vista general 2 - 1– 2 - 30 dispositivo 10 - 164 número máximo 8 - 17
zona de seguridad global 2 - 2 umbral de fallos de la IP supervisada 2 - 86, predeterminadas 8 - 41
zona global 2 - 34 10 - 121, 10 - 164 proceso de autenticación 8 - 21
zona Home-Work 2 - 49 umbral de fallos del objeto 2 - 86 propiedades del objeto 8 - 22
zonas 2 - 31– 2 - 40 vsys 2 - 85 RADIUS 8 - 24– 8 - 27
zonas de función 2 - 40 según el origen RADIUS, definición 8 - 34
zonas de seguridad 2 - 2, 2 - 34 enrutamiento 1-A-VIII RADIUS, tipos de usuarios admitidos 8 - 25

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general IX-XIV

Índice

SecurID 8 - 30– 8 - 31 definición 2 - 215 véase también reloj del sistema

SecurID, definición 8 - 37 entrante, con MIP 2 - 232, 2 - 236 sistemas autónomos
servidores de respaldo 8 - 22 proxy en DMZ 2 - 247 definición 1-A-XXII
tiempo de espera 8 - 22 proxy en zona privada 2 - 239 SMB
tipos 8 - 22 proxy en zona pública 2 - 243 NetBIOS 4 - 154
usuarios, tipos admitidos 8 - 16 trust intrazonal 2 - 259 SNMP 3 - 39, 3 - 106
servidores proxy 1-A-XIX untrust intrazonal 2 - 253 archivos MIB 3-A-I
sesiones multimedia, SIP 2 - 200 utilizar DIP de interfaz 2 - 228 archivos MIB, importación 5 - 380
SHA-1 5 - 7 utilizar DIP entrante 2 - 226 captura de inicio en frío 3 - 106
definición 1-A-XXII utilizar un conjunto de DIP 2 - 232 capturas por alarma del sistema 3 - 106
SIBR 6 - 44 Sistema de nombres de dominio capturas por alarmas de tráfico 3 - 106
siguiente salto véase DNS carpetas MIB, nivel principal 3-A-II
definición 1-A-XXII sistema operativo 3 - 14 comunidad, privada 3 - 110
sincronización sistema virtual 2 - 11, 9 - 1– 9 - 40 comunidad, pública 3 - 110
archivos 10 - 35 administradores 3 - 48, 9 - iii, 9 - 1 configuración 3 - 110
configuración 3 - 36, 10 - 34 administradores de sólo lectura 3 - 48 encriptación 3 - 109, 3 - 112
consulta del hash de configuración 3 - 37 cambio de la contraseña del administrador implementación 3 - 109
objetos PKI 10 - 35 9 - 3, 9 - 39 opciones de administración 3 - 39
RTOs 10 - 35 clasificación del tráfico 9 - 10– 9 - 18 supervisión de VPN 5 - 380
visualizar el estado 3 - 36 clasificación del tráfico según IP 9 - 34– 9 - 38
tipos de captura 3 - 107
SIP 2 - 200– 2 - 213 clasificación del tráfico según VLAN 9 - 22–
software
ALG 2 - 206, 2 - 211 9 - 33
actualizar 2 - 423
anuncios de medios 2 - 208 clave software 9 - 16
clave, vsys 9 - 16
caducidad por inactividad 2 - 211 conmutación por error 10 - 132
SPI
códigos de respuesta 2 - 204 creación de un objeto vsys 9 - 3
definición 1-A-XXII definición 1-A-XI
definición 1-A-XVII, 2 - 200
exportación de una interfaz física 9 - 20 SSH 3 - 17– 3 - 23, 3 - 39
información de la conexión 2 - 207
mensajes 2 - 200 importación de una interfaz física 9 - 19 autenticación mediante contraseña 3 - 21
Métodos de petición 2 - 201 interfaces 9 - 8 autenticación mediante PKA 3 - 21
ojos de aguja 2 - 206 manejabilidad y seguridad 9 - 35 cargar claves públicas, CLI 3 - 22
respuestas 2 - 204 MIP 9 - 10 cargar claves públicas, TFTP 3 - 22, 3 - 25
RTCP 2 - 208 modo transparente 9 - 23 cargar claves públicas, WebUI 3 - 22
RTP 2 - 208 NSRP 10 - 132 clave de host 3 - 18
SDP 2 - 206– 2 - 208 rangos de direcciones superpuestos 9 - 26, clave de sesión 3 - 18
señalización 2 - 206 9 - 35 clave del servidor 3 - 18
sesiones multimedia 2 - 200 reparto de carga 10 - 132 clave PKA 3 - 18
tiempo de espera por inactividad de la sesión requisitos funcionales básicos 9 - 3 definición 1-A-XXI
2 - 211 subredes superpuestas 9 - 26 forzar la autenticación mediante PKA
tiempo de espera por inactividad de medios tipos de administradores 9 - 3 exclusivamente 3 - 23
2 - 211, 2 - 213 VIP 9 - 10 inicios de sesión automatizados 3 - 25
tiempo de espera por inactividad de VR compartido 9 - 15 PKA 3 - 22
señalización 2 - 211, 2 - 213 VRs 9 - 6 prioridad del método de autenticación 3 - 23
tipos de métodos de petición 2 - 201 zona compartida 9 - 15 procedimiento de conexión 3 - 18
SIP NAT zonas 9 - 7 SSL 3 - 8
con VPN de malla completa 2 - 263 sistema, parámetros 2 - 375– 2 - 469 con WebAuth 8 - 72
configuración de llamadas 2 - 215, 2 - 223 sistema, reloj 2 - 465– 2 - 469 opciones de administración 3 - 39

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general IX-XV

Índice
SSL Handshake Protocol
véase SSLHP
SSLHP 3 - 8
subinterfaces 2 - 4, 9 - 24
configuración (vsys) 9 - 24
creación (vsys) 9 - 24
crear (sistema raíz) 2 - 73
definición 1-A-XXII, 9 - 26
eliminar 2 - 74
varias subinterfaces por vsys 9 - 24
Sun RPC ALG
definición 2 - 160
servicios 2 - 161
supuestos de llamadas 2 - 160
supervisión de interfaces
bucles 2 - 92
interfaces 2 - 91– 2 - 98
zonas de seguridad 2 - 98
supervisión de objetos 10 - 120
supervisión de rutas 10 - 163
conmutación por error del túnel 10 - 166
supervisión de VPN 5 - 361– 5 - 379
cambios de estado 5 - 361, 5 - 366
dirección de destino 5 - 363– 5 - 367
dirección de destino, XAuth 5 - 364
directivas 5 - 365
diseño de rutas 5 - 93
interfaz de salida 5 - 363– 5 - 367
opción de reencriptación 5 - 362, 5 - 386
peticiones de eco ICMP 5 - 380
SNMP 5 - 380
suplantación de IP 4 - 27– 4 - 35
capa 2 4 - 28, 4 - 34
capa 3 4 - 27, 4 - 30
drop-no-rpf-route 4 - 28
SurfControl 4 - 112, 4 - 126
suscripciones
activación del servicio 2 - 463, 2 - 464
descarga de claves 2 - 463
registro y activación 2 - 461– 2 - 464
servicio temporal 2 - 461
servicios incluidos 2 - 462
syslog 3 - 78
definición 1-A-XXII
encriptación 3 - 112
host 3 - 102
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
mensajes 3 - 102 tráfico
nombre de host 3 - 103, 3 - 104, 3 - 116, 3 - 127 alarmas 3 - 97– 3 - 101
puerto 3 - 103, 3 - 116, 3 - 127 asignación 2 - 360
utilidad 3 - 103, 3 - 116, 3 - 127 clasificación del tráfico según VLAN 9 - 22
utilidad de seguridad 3 - 103, 3 - 116, 3 - 127 clasificación, según IP 9 - 34
prioridad 2 - 327
recuento 2 - 325
T registro 2 - 325
tabla de enrutamiento 1-A-XXII, 6 - 4 tráfico de tránsito, clasificación de vsys 9 - 11–
consulta 6 - 46 9 - 14
consulta en múltiples VR 6 - 50 tráfico administrativo 3 - 40
multicast 6 - 202 Triple DES
selección de rutas 6 - 37 véase 3DES
tipos 6 - 40 túnel
tabla NHTB 5 - 381– 5 - 387 interfaz, definición 1-A-XI
asignación de rutas a túneles 5 - 382 zonas 1-A-XXIV
entradas automáticas 5 - 386
entradas manuales 5 - 385
esquema de direccionamiento 5 - 383 U
tareas programadas 2 - 301, 2 - 326 UDP
TCP definición 1-A-XVII
comprobación de flag SYN 5 - 447 encapsulación NAT-T 5 - 351
establecimiento de conexión en tres fases suma de comprobación 5 - 357
1-A-IX tiempo de espera de la sesión 4 - 48
firmas de secuencias 4 - 195 última configuración correcta conocida
paquete sin flags 4 - 20 véase configuración LKG
proxy 3 - 141 umbral inferior 4 - 47
tiempo de espera de la sesión 4 - 47 umbral superior 4 - 47
TCP/IP, definición 1-A-XVII URL, definición 1-A-XIII
Telnet 3 - 14, 3 - 39 URL, servicio de filtrado 2 - 463
tiempo 2 - 458 usuario de identificación IKE de grupo 5 - 275–
tiempo de espera 1-A-XXII 5 - 296
usuario con permisos de administrador 8 - 23 certificados 5 - 276
usuario de autenticación 8 - 22 clave previamente compartida 5 - 288
tiempo de espera de la sesión usuarios
HTTP 4 - 48 grupos, servidores admitidos 8 - 17
TCP 4 - 47 identificación IKE compartida 5 - 297– 5 - 306
tiempo de espera por inactividad 8 - 22 identificación IKE de grupo 5 - 275– 5 - 296
UDP 4 - 48 IKE 8 - 78– 8 - 82
tiempo de espera por sesión inactiva 8 - 22 IKE, grupos 8 - 81
token, código 8 - 30 múltiples usuarios administrativos 3 - 47
trace-route 2 - 115, 2 - 118 usuarios administradores 8 - 3– 8 - 4
traducción de direcciones privilegios desde RADIUS 8 - 3
véase NAT, NAT-dst, y NAT-src proceso de autenticación 8 - 4
traducción de direcciones de puertos servidores admitidos 8 - 17
véase PAT tiempo de espera 8 - 23
IX-XVI
Índice

usuarios de autenticación 8 - 43– 8 - 76 Verisign 5 - 44 definición 1-A-XX

autenticación en tiempo de ejecución 2 - 323, VIP 2 - 14 Diffie-Hellman, grupos 5 - 13
8 - 44 a una zona con NAT basada en interfaces directivas 2 - 319
autenticación previa a la directiva 2 - 323, 2 - 129 encapsulamiento, definición 1-A-VI
8 - 45 alcanzable desde otras zonas 7 - 121 Fase 1 5 - 11
en directivas 8 - 44 configuración 7 - 121 Fase 2 5 - 13
grupos 8 - 43, 8 - 47 definición 1-A-XXIV, 7 - 8 flujo de paquetes 5 - 82– 5 - 89
proceso de autenticación en tiempo de editar 7 - 124 FQDN para puerta de enlace 5 - 186– 5 - 202
ejecución 2 - 323, 8 - 44 eliminar 7 - 124 grupos redundantes, procedimiento de
punto de autenticación 8 - 2 información necesaria 7 - 119 recuperación 5 - 444
servidores admitidos 8 - 17 servicios personalizados y multipuerto 7 - 125– grupos VPN 5 - 441
tiempo de ejecución (grupo de usuarios 7 - 131 IDs de proxy, coincidencia 5 - 90
externo) 8 - 57 servicios personalizados, números de puerto intercambio Diffie-Hellman 5 - 13
tiempo de ejecución (grupo de usuarios bajos 7 - 119 MIP 5 - 203
locales) 8 - 51 sistemas virtuales 9 - 10 modo dinámico 5 - 12
tiempo de ejecución (usuario externo) 8 - 54 zona global 7 - 121 modo principal 5 - 12
tiempo de ejecución (usuario local) 8 - 48 VLAN1 múltiples túneles por interfaz de túnel 5 - 381–
tiempo de espera 8 - 22 Interfaz 2 - 109, 2 - 119 5 - 437
WebAuth 2 - 323, 8 - 45 opciones de administración 3 - 40 NAT para direcciones superpuestas 5 - 203–
WebAuth (grupo de usuarios externo) 8 - 68 Zonas 2 - 109 5 - 220
WebAuth (grupo de usuarios local) 8 - 65 VLANs NAT-dst 5 - 203
WebAuth + SSL (grupo de usuarios externo) clasificación del tráfico según VLAN 9 - 22 NAT-src 5 - 206
8 - 72 comunicación con otra VLAN 9 - 29– 9 - 33 opciones criptográficas 5 - 62– 5 - 79
usuarios de múltiples tipos 8 - 5 crear 9 - 26– 9 - 28 para tráfico administrativo 3 - 112
usuarios IKE definición 1-A-XX protección contra reprocesamiento de
con otros tipos de usuario 8 - 5 entroncamiento 9 - 23 paquetes 5 - 15
definición 8 - 79 etiqueta 9 - 24, 9 - 25 puertas de enlace redundantes 5 - 441– 5 - 459
grupos 8 - 78 etiquetas 1 - XXII, 2 - 4 SAs 5 - 10
identificación IKE 8 - 2, 8 - 78 modo transparente 9 - 23, 9 - 24 supervisión y reencriptación de VPN 5 - 362
servidores admitidos 8 - 17 subinterfaces 9 - 24 tiempo de inactividad 8 - 86
usuarios L2TP 8 - 107– 8 - 111 voz sobre IP túnel siempre activo 5 - 362
con XAuth 8 - 5 administración del ancho de banda 2 - 271 zonas de túnel 2 - 35
punto de autenticación 8 - 2 definición 2 - 181 VRRP 10 - 124, 10 - 164
servidores admitidos 8 - 17 VPN AutoKey IKE 3 - 61, 3 - 113, 5 - 9 VRs 6 - 23– 6 - 62
usuarios XAuth 8 - 83– 8 - 105 administración 5 - 9 BGP 6 - 163– 6 - 174
con L2TP 8 - 5 VPN basada en directivas 5 - 80 compartidas 9 - 15
punto de autenticación 8 - 2 VPN basadas en rutas 5 - 80– 5 - 81 consulta de tablas de enrutamiento en múltiple
servidores admitidos 8 - 17 VPNs 1 - xxix VR 6 - 50
UTP, definición 1-A-XVI a una zona con NAT basada en interfaces consulta en la tabla de enrutamiento 6 - 46
2 - 129 creación de un VR compartido 9 - 17
V alias FQDN 5 - 187
AutoKey IKE 3 - 61, 3 - 113, 5 - 9
definición 1-A-VII
en vsys 6 - 29
valor del tiempo de espera para el reinicio 2 - 458 basadas en rutas o basadas en directivas enrutamiento multidireccional de igual coste
vecino 1-A-XXIII 5 - 80 6 - 52
vecinos externos 1-A-XXIV clave manual 3 - 61, 3 - 113 enrutamiento según el origen 6 - 40
vector distancia 1-A-XXIV consejos de configuración 5 - 90– 5 - 92 enrutamiento según la interfaz de origen 6 - 44

Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general IX-XVII

Índice
exportación de rutas 6 - 62
filtrado de rutas 6 - 58
ID de enrutador 6 - 34
importación de rutas 6 - 62
introducción 2 - 5
listas de acceso 6 - 58
mapa de rutas 6 - 56
máximo de entradas de la tabla de
enrutamiento 6 - 36
métrica de ruta 6 - 39
modificar 6 - 33
OSPF 6 - 74– 6 - 104
personalizados 6 - 27
predefinido 6 - 23
preferencia de ruta 6 - 37
redistribución de rutas 6 - 55
reenviar tráfico entre dos 2 - 5, 6 - 24
RIP 6 - 118– 6 - 141
selección de rutas 6 - 37
utilización de dos VRs 6 - 23, 6 - 24
VSAs 8 - 26
ID de fabricante 8 - 26
nombre de atributo 8 - 26
número de atributo 8 - 26
tipo de atributo 8 - 26
VSIs
definición 1-A-XI
varias VSI por grupo VSD 10 - 132
W definición 1-A-XXIV, 8 - 83
WebAuth 8 - 16
con SSL (grupo de usuarios externo) 8 - 72
grupo de usuarios externo 8 - 68
grupo de usuarios local 8 - 65
proceso de autenticación previo a directivas
2 - 323, 8 - 45
WebTrends 3 - 79, 3 - 104
Juniper Networks NetScreen conceptos y ejemplos – Volumen 1: Vista general
definición 1-A-XXIV Y
encriptación 3 - 104, 3 - 112
Yahoo! Messenger 4 - 152
mensajes 3 - 104
WebUI 3 - 3, 3 - 40, 3 - 41
archivos de ayuda 3 - 4 Z
convenciones 1 - xxxvii, 2 - xi, 3 - vii, 5 - vii,
6 - ix, 7 - v, 8 - v, 9 - v, 10 - vii zombie, agente 4 - 41, 4 - 43
wildcard 5 - 279 zona global 7 - 121
WINS zona Home 2 - 49
ajustes de L2TP 5 - 314 zona Trust 10 - 5, 10 - 24, 10 - 148
definición 1-A-XXI rutas estáticas 10 - 29
zona Trust, definición 1-A-XXV
X zona Untrust, definición 1-A-XXV
zona VLAN 2 - 109
XAuth
adaptador virtual 8 - 83 zona Work 2 - 49
asignaciones de direcciones 8 - 83, 8 - 85 zonas 2 - 31– 2 - 40
asignaciones TCP/IP 8 - 84 compartidas 9 - 15
autenticación de grupos de usuarios externos definición 1-A-XXIV
8 - 94
función 2 - 40
autenticación de usuario externo 8 - 91
global 2 - 34, 7 - 121
autenticación de usuario local 8 - 87
autenticación de usuarios 8 - 83 Layer 2 2 - 109
autenticación del cliente 8 - 105 seguridad 2 - 34
autenticación del grupo de usuarios local 8 - 89 túnel 2 - 35
autenticación y dirección 8 - 99 VLAN 2 - 40, 2 - 109
bypass-auth 8 - 84 vsys 9 - 7
consultar ajustes remotos 8 - 84
zonas de seguridad 1-A-XXIV, 2 - 2
consultas del servidor de autenticación
externo 8 - 84 determinación de la zona de destino 2 - 14
determinación de la zona de origen 2 - 13
periodo de vigencia 8 - 86 global 2 - 2
periodo de vigencia de la dirección IP 8 - 85– interfaces 2 - 3, 2 - 55
8 - 86
interfaces físicas 2 - 55
ScreenOS como cliente 8 - 105
supervisión de VPN 5 - 364 predefinidas 2 - 2
tiempo de espera de direcciones 8 - 85 subinterfaces 2 - 55
tiempo de inactividad de VPN 8 - 86 véase zonas
XAuth, usuarios 8 - 83– 8 - 105 zonas de túnel, definición 1-A-XXIV
IX-XVIII