Volumen 9: Autenticación de Usuariosn: Conceptos Y Ejemplos Manual de Referencia de Screenos

Juniper Networks, Inc.
1194 North Mathilda Avenue

Sunnyvale, CA 94089
USA
408-745-2000
www.juniper.net
Nmero de pieza: 530-017775-01-SP, Revisin 02
Conceptos y ejemplos
Manual de referencia de ScreenOS
Volumen 9:
Autenticacin de usuariosn
Versin 6.0.0, Rev. 02
ii
Copyright Notice
Copyright 2007 Juniper Networks, Inc. All rights reserved.
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Reorient or relocate the receiving antenna.
Increase the separation between the equipment and receiver.
Consult the dealer or an experienced radio/TV technician for help.
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
Contenido iii
Contenido
Acerca de este manual vii
Convenciones del documento ....................................................................... viii
Convenciones de la interfaz de usuario web........................................... viii
Convenciones de interfaz de lnea de comandos .................................... viii
Convenciones de nomenclatura y conjuntos de caracteres ....................... ix
Convenciones para las ilustraciones .......................................................... x
Asistencia y documentacin tcnica................................................................ xi
Captulo 1 Autenticacin 1
Tipos de autenticaciones de usuarios ............................................................... 1
Usuarios con permisos de administrador ......................................................... 2
Usuarios de mltiples tipos .............................................................................. 4
Expresiones de grupos ..................................................................................... 5
Ejemplo: Expresiones de grupos (AND) ..................................................... 6
Ejemplo: Expresiones de grupos (OR)........................................................ 8
Ejemplo: Expresiones de grupos (NOT)...................................................... 9
Personalizacin de mensajes de bienvenida .................................................. 10
Ejemplo: Personalizar un mensaje de bienvenida de WebAuth................ 10
Mensaje de bienvenida de inicio de sesin..................................................... 11
Ejemplo: Crear un mensaje de bienvenida de inicio de sesin................. 11
Captulo 2 Servidores de autenticacin 13
Tipos de servidores de autenticacin ............................................................. 13
Base de datos local......................................................................................... 15
Ejemplo: Tiempo de espera de la base de datos local .............................. 16
Servidores de autenticacin externos............................................................. 17
Propiedades del objeto servidor de autenticacin................................. 18
Tipos de servidores de autenticacin ............................................................. 19
Servicio de autenticacin remota de usuarios de acceso telefnico.......... 19
Propiedades del objeto servidor de autenticacin RADIUS ................ 20
Caractersticas y tipos de usuarios admitidos .................................... 21
Archivo de diccionario de RADIUS .................................................... 22
Mejoras de RADIUS compatibles para los usuarios Auth y XAuth...... 25
SecurID.................................................................................................... 28
Propiedades del objeto servidor de autenticacin SecurID ................ 29
Protocolo ligero de acceso a directorios................................................... 30
Propiedades del objeto servidor de autenticacin LDAP.................... 31
Sistema plus de control de acceso de control de acceso de terminal Plus
(TACACS+) ............................................................................................. 32
Propiedades del objeto del servidor TACACS+................................. 33
Pioridad de la autenticacin de administrador ............................................... 33
iv Contenido
Manual de referencia de ScreenOS: Conceptos y ejemplos
Definicin de objetos de servidor de autenticacin ........................................ 34
Ejemplo: Servidor de autenticacin RADIUS............................................ 34
Ejemplo: Servidor de autenticacin SecurID............................................ 36
Ejemplo: Servidor de autenticacin LDAP................................................ 38
Ejemplo: Servidor de autenticacin TACACS+........................................ 39
Definicin de los servidores de autenticacin predeterminados..................... 40
Ejemplo: Cambiar los servidores de autenticacin predeterminados ....... 41
Captulo 3 Autenticacin de infranet 43
Solucin de control de acceso unificado......................................................... 43
Funcionamiento del cortafuegos con el controlador de infranet ..................... 45
Configuracin de la autenticacin de infranet ................................................ 46
Captulo 4 Usuarios de autenticacin 47
Referencias a usuarios autenticados en directivas.......................................... 48
Autenticacin en tiempo de ejecucin ..................................................... 48
Autenticacin de comprobacin previa a la directiva (WebAuth) ............. 49
Referencias a grupos de usuarios de autenticacin en directivas.................... 50
Ejemplo: Autenticacin en tiempo de ejecucin (usuario local)................ 51
Ejemplo: Autenticacin en tiempo de ejecucin
(grupo de usuarios locales) ...................................................................... 53
Ejemplo: Autenticacin en tiempo de ejecucin (usuario externo) ........... 54
Ejemplo: Autenticacin en tiempo de ejecucin
(grupo de usuarios externos) ................................................................... 56
Ejemplo: Usuario de autenticacin local en mltiples grupos................... 58
Ejemplo: WebAuth (grupo de usuarios locales) ........................................ 61
Ejemplo: WebAuth (grupo de usuarios externos) ..................................... 62
Ejemplo: WebAuth + SSL solamente (grupo de usuarios externos) ......... 65
Captulo 5 Usuarios IKE, XAuth y L2TP 69
Usuarios y grupos de usuarios IKE ................................................................. 69
Ejemplo: Definir usuarios IKE.................................................................. 70
Ejemplo: Creacin de un grupo de usuarios IKE ...................................... 71
Referencias a usuarios IKE en puertas de enlace ..................................... 72
Usuarios y grupos de usuarios XAuth ............................................................. 72
Registro de eventos para el modo IKE..................................................... 74
Usuarios XAuth en negociaciones IKE ..................................................... 74
Ejemplo: Autenticacin XAuth (usuario local) .................................... 76
Ejemplo: Autenticacin XAuth (usuario externo) ............................... 79
Cliente XAuth .......................................................................................... 88
Ejemplo: Dispositivo de seguridad como cliente XAuth..................... 88
Usuarios y grupos de usuarios L2TP............................................................... 89
Ejemplo: Servidores de autenticacin L2TP locales y externos ................ 90
Captulo 6 Autenticacin extensible para interfaces inalmbricas y Ethernet 93
Vista general .................................................................................................. 94
Tipos de EAP admitidos ................................................................................. 94
Habilitacin e inhabilitacin de la autenticacin 802.1X................................ 95
Interfaces Ethernet .................................................................................. 95
Interfaces inalmbricas............................................................................ 95
Configuracin de los ajustes de 802.1X.......................................................... 96
Configuracin del control del puerto 802.1X ........................................... 96
Contenido
Contenido v
Configuracin del modo de control de 802.1X ........................................ 97
Ajuste del nmero mximo de usuarios simultneos............................... 97
Configuracin del periodo de reautenticacin.......................................... 98
Habilitacin de las retransmisiones EAP.................................................. 98
Configuracin de la cuenta de retransmisiones de EAP ........................... 99
Configuracin del periodo de retransmisin de EAP................................ 99
Configuracin del periodo inactivo (sin actividad) ................................... 99
Configuracin de las opciones del servidor de autenticacin........................ 100
Especificar un servidor de autenticacin................................................ 100
Interfaces Ethernet.......................................................................... 100
Ajuste del tipo de cuenta ....................................................................... 101
Habilitacin de la verificacin de zonas................................................. 101
Visualizacion de la informacin de 802.1X .................................................. 102
Visualizacion de la informacin de configuracin global de 802.1X....... 102
Visualizacion de la informacin de 8021.X para una interfaz ................ 103
Visualizacion de estadsticas de 802.1X................................................. 103
Visualizacion de estadsticas de la sesin de 802.1X.............................. 104
Visualizacion de detalles de la sesin de 802.1X.................................... 104
Ejemplos de configuracin........................................................................... 104
Configuracin del dispositivo de seguridad con un cliente conectado
directamente y el servidor RADIUS........................................................ 104
Configuracin de un dispositivo de seguridad con un concentrador
entre un cliente y el dispositivo de seguridad ........................................ 105
Configuracin del servidor de autenticacin con una interfaz
inalmbrica ........................................................................................... 107
ndice ........................................................................................................................IX-I
vi Contenido
vii
Acerca de este manual
Volumen 9: Autenticacin de usuariosn: en este volumen se describen los mtodos de
ScreenOS para autenticar diferentes tipos de usuarios. Contiene una introduccin a
la autenticacin de usuarios, presenta las dos ubicaciones en las que se puede
almacenar la base de datos de perfiles de usuarios (la base de datos interna y un
servidor de autenticacin externo), y luego proporciona numerosos ejemplos para
configurar la autenticacin, usuarios y grupos de usuarios IKE, XAuth y L2TP.
Tambin se tratan algunos otros aspectos de la autenticacin de usuarios, como
cambiar los mensajes de bienvenida de inicio de sesin, crear usuarios de varios
tipos (por ejemplo, un usuario IKE/XAuth) y utilizar expresiones de grupos en las
directivas que aplican la autenticacin.
Este volumen contiene los siguientes captulos:
El Captulo 1, Autenticacin, detalla los distintos usos y mtodo de
autenticacin que admite ScreenOS.
El Captulo 2, Servidores de autenticacin, presenta las opciones de
utilizacin de cada uno de los cuatro tipos de servidor posibles de autenticacin
externa, RADIUS, SecurID, TACACS+ o LDAP, o la base de datos interna y
muestra cmo configurar el dispositivo de seguridad para trabajar con cada
tipo.
El Captulo 3, Autenticacin de infranet, describe cmo se implementa el
dispositivo de seguridad en una solucin de control de acceso unificado (UAC).
La solucin de Juniper Networks (UAC) asegura y garantiza la entrega de
aplicaciones y servicios a travs de la infranet empresarial.
El Captulo 4, Usuarios de autenticacin, explica cmo definir los perfiles
para los usuarios de autenticacin y cmo agregarlos a los grupos de usuarios
almacenados localmente o en un servidor de autenticacin RADIUS externo.
El Captulo 5, Usuarios IKE, XAuth y L2TP, explica cmo definir usuarios IKE,
XAuth y L2TP. Aunque la seccin XAuth se centra sobre todo en el uso del
dispositivo de seguridad como servidor de XAuth, tambin incluye una
subseccin sobre la configuracin de determinados dispositivos de seguridad
actuando como clientes XAuth.
El Captulo 6, Autenticacin extensible para interfaces inalmbricas y
Ethernet, explica las opciones disponibles del protocolo de autenticacin
extensible para autenticar interfaces inalmbricas y Ethernet.
viii Convenciones del documento
Convenciones del documento
Este documento utiliza las convenciones descritas en las secciones siguientes:
Convenciones de la interfaz de usuario web en esta pgina
Convenciones de interfaz de lnea de comandos en esta pgina
Convenciones de nomenclatura y conjuntos de caracteres en la pgina ix
Convenciones para las ilustraciones en la pgina x
Convenciones de la interfaz de usuario web
En la interfaz de usuario web (WebUI), el conjunto de instrucciones de cada tarea
se divide en ruta de navegacin y establecimientos de configuracin. Para abrir una
pgina de WebUI e introducir parmetros de configuracin, navegue hacia la pgina
en cuestin haciendo clic en un elemento del men en el rbol de navegacin en el
lado izquierdo de la pantalla, luego en los elementos subsiguientes. A medida
que avanza, su ruta de navegacin aparece en la parte superior de la pantalla,
cada pgina separada por signos de mayor y menor.
Lo siguiente muestra los parmetros y ruta de WebUI para la definicin
de una direccin:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: dir_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
Para abrir la ayuda en lnea para los ajustes de configuracin, haga clic en el signo
de interrogacin (?) en la parte superior izquierda de la pantalla.
El rbol de navegacin tambin proporciona una pgina de configuracin de Help >
Config Guide configuracin para ayudarle a configurar las directivas de seguridad
y la Seguridad de protocolo de Internet (IPSec). Seleccione una opcin del men
desplegable y siga las instrucciones en la pgina. Haga clic en el carcter ? en la
parte superior izquierda para la Ayuda en lnea en la Gua de configuracin.
Convenciones de interfaz de lnea de comandos
Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos
de interfaz de lnea de comandos (CLI) en ejemplos y en texto.
En ejemplos:
Los elementos entre corchetes [ ] son opcionales.
Los elementos entre llaves { } son obligatorios.
Convenciones del documento ix
Si existen dos o ms opciones alternativas, aparecern separadas entre s por
barras verticales ( | ). Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage
Las variables aparecen en cursiva:
set admin user nombre1 contrasea xyz
En el texto, los comandos estn en negrita y las variables en cursiva.
Convenciones de nomenclatura y conjuntos de caracteres
ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos
(como direcciones, usuarios administradores, servidores de autenticacin, puertas
de enlace IKE, sistemas virtuales, tneles de VPN y zonas) definidos en las
configuraciones de ScreenOS:
Si una cadena de nombre tiene uno o ms espacios, la cadena completa deber
estar entre comillas dobles; por ejemplo:
set address trust local LAN 10.1.1.0/24
Cualquier espacio al comienzo o al final de una cadena entrecomillada se
elimina; por ejemplo, local LAN se transformar en local LAN.
Los espacios consecutivos mltiples se tratan como uno solo.
En las cadenas de nombres se distingue entre maysculas y minsculas; por el
contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente.
Por ejemplo, local LAN es distinto de local lan.
ScreenOS admite los siguientes conjuntos de caracteres:
Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de
mltiples bytes (MBCS). Algunos ejemplos de SBCS son los conjuntos de
caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin
conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran
el chino, el coreano y el japons.
Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin
de las comillas dobles ( ), que tienen un significado especial como
delimitadores de cadenas de nombres que contengan espacios.
NOTA: Para introducir palabras clave, basta con introducir los primeros caracteres para
identificar la palabra de forma inequvoca. Al escribir set adm u whee j12fmt54
se ingresar el comando set admin user wheezer j12fmt54. Sin embargo, todos
los comandos documentados aqu se encuentran presentes en su totalidad.
NOTA: Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, segn el conjunto de caracteres que admita el explorador.
x Convenciones del documento
Convenciones para las ilustraciones
La siguiente figura muestra el conjunto bsico de imgenes utilizado en las
ilustraciones de este volumen:
Figura 1: Imgenes de las ilustraciones
Sistema autnomo
o bien
dominio de enrutamiento virtual
Interfaces de zonas de seguridad:
Blanco = Interfaz de zona protegida
(ejemplo = zona Trust)
Negro = Interfaz de zona externa
(ejemplo = zona Untrust)
Dispositivos de seguridad
Juniper Networks
Concentrador
Conmutador
Enrutador
Servidor
Tnel VPN
Dispositivo de red genrico
Rango dinmico de IP (DIP)
Internet
Red de rea local (LAN) con
una nica subred
o bien
zona de seguridad
Interfaz de tnel
Motor de directivas
Asistencia y documentacin tcnica xi
Asistencia y documentacin tcnica
Para obtener documentacin tcnica sobre cualquier producto de Juniper Networks,
visite www.juniper.net/techpubs/.
Para obtener soporte tcnico, abra un expediente de soporte utilizando el vnculo
Case Manager en la pgina web http://www.juniper.net/customers/support/
o llame al telfono 1-888-314-JTAC (si llama desde los EE.UU.) o al
+1-408-745-9500 (si llama desde fuera de los EE.UU.).
Si encuentra algn error u omisin en este documento, pngase en contacto con
Juniper Networks al techpubs-comments@juniper.net.
xii Asistencia y documentacin tcnica
Tipos de autenticaciones de usuarios 1
Captulo 1
Autenticacin
Despus de una introduccin general a los diferentes tipos de autenticacin
disponibles para los diferentes tipos de usuarios de la red, este captulo dedica una
breve seccin a la autenticacin del usuario administrador (admin). A continuacin,
proporciona informacin sobre la combinacin de diferentes tipos de usuarios, la
utilizacin de expresiones de grupos y cmo personalizar los mensajes de
bienvenida que aparecen al iniciar una sesin HTTP, FTP, L2TP, Telnet y XAuth. La
seccin final describe cmo crear un mensaje de bienvenida de mayor tamao
(4 Kbytes), que precede a todos los mensajes de bienvenida de autenticacin de
cortafuegos y el acceso administrativo, los cuales se definieron individualmente.
Este captulo consta de las siguientes secciones:
Tipos de autenticaciones de usuarios en esta pgina
Usuarios con permisos de administrador en la pgina 2
Usuarios de mltiples tipos en la pgina 4
Expresiones de grupos en la pgina 5
Personalizacin de mensajes de bienvenida en la pgina 10
Mensaje de bienvenida de inicio de sesin en la pgina 11
Tipos de autenticaciones de usuarios
En los siguientes captulos se describen los diferentes tipos de usuarios y grupos de
usuarios que se pueden crear y cmo utilizarlos al configurar directivas, puertas de
enlace IKE y tneles L2TP:
Usuarios de autenticacin en la pgina 47
Usuarios y grupos de usuarios IKE en la pgina 69
Usuarios y grupos de usuarios XAuth en la pgina 72
Usuarios y grupos de usuarios L2TP en la pgina 89
El dispositivo de seguridad autentica los diferentes tipos de usuarios en diversas
etapas durante el proceso de conexin. Las tcnicas de autenticacin de usuario
IKE, XAuth, L2TP y auth ocurren en diferentes momentos durante la creacin del
tnel VPN L2TP a travs de IPSec. Consulte la Figura 1 en la pgina 2.
2 Usuarios con permisos de administrador
Figura 1: Autenticacin durante el tnel VPN L2TP a travs de IPSec
Usuarios con permisos de administrador
Los usuarios con permisos de administrador son los administradores de un
dispositivo de seguridad. Hay cinco clases de usuarios con permisos de
administrador:
Administrador raz (root admin)
Administrador de lectura/escritura de nivel raz (root-level read/write admin)
Administrador de slo lectura de nivel raz (root-level read-only admin)
Administrador Vsys (Vsys admin)
Administrador Vsys de slo lectura (Vsys read-only admin)
Aunque el perfil del usuario raz de un dispositivo de seguridad debe almacenarse
en la base de datos local, puede almacenar usuarios vsys y usuarios
administradores de nivel raz con privilegios de lectura/escritura y privilegios de
slo lectura en la base de datos local o en un servidor de autenticacin externo.
identificacin IKE
Durante la fase 1
Modo principal: Mens. 5 y 6
Modo dinmico: Mens. 1 y 2
Las fases en las que se produce la autenticacin de usuarios IKE, XAuth, L2TP y
auth ocurren durante la configuracin y uso de un tnel L2TP sobre IPSec
XAuth
Entre las fases 1 y 2
L2TP
Una vez establecido el tnel
IPSec, durante la
negociacin del tnel L2TP
Auth
Cuando el trfico enviado a
travs del tnel alcanza el
cortafuegos de Juniper Networks
Usuario
Auth/IKE/L2TP/XAuth
Nota: Dado que tanto XAuth como L2TP proporcionan autenticacin de usuarios y asignaciones de direcciones, rara vez se utilizan juntos.
Se muestran juntos aqu solamente para ilustrar cundo se produce cada tipo de autenticacin durante la creacin de un tnel VPN.
Fase 1 Fase 2
Tnel IPSec
Tnel L2TP
Trfico
NOTA: Para obtener informacin sobre los privilegios de cada tipo de usuario
administrador y ver ejemplos de creacin, modificacin y eliminacin de usuarios
administradores, consulte Administracin en la pgina 3-1.
Usuarios con permisos de administrador 3
Captulo 1: Autenticacin
Si almacena cuentas de usuarios en un servidor de autenticacin RADIUS externo y
carga el archivo de diccionario RADIUS en el servidor de autenticacin, puede optar
por consultar los privilegios de administrador definidos en el servidor.
Opcionalmente, puede especificar un nivel de privilegios que se aplicar
globalmente a todos los usuarios con permisos de administrador almacenados en
ese servidor de autenticacin. Puede especificar privilegios de lectura/escritura o de
slo lectura. Si almacena usuarios con permisos de administrador en un servidor de
autenticacin SecurID o LDAP externo, o en un servidor RADIUS sin el archivo de
diccionario RADIUS, no podr definir sus atributos de privilegios en el servidor de
autenticacin. Por lo tanto, debe asignarles un nivel de privilegios en el dispositivo
de seguridad.
La Figura 2 muestra el proceso de autenticacin de admin.
Figura 2: Proceso de autenticacin de admin
Si se establecen en el
dispositivo de
seguridad:
Y el servidor RADIUS tiene
cargado el archivo de
diccionario de RADIUS:
Y un servidor SecurID, LDAP o
RADIUS sin el archivo de
diccionario de RADIUS:
Obtener privilegios del
servidor RADIUS
Asignar los privilegios
apropiados
Fallo de inicio de sesin del admin
de nivel raz o vsys
Asignar privilegios de
lectura/escritura al
admin externo
lectura/escritura de nivel raz o
vsys
lectura/escritura de nivel raz
vsys
slo lectura al admin
externo
Asignar privilegios de slo
lectura de nivel raz o vsys
Asignar privilegios de slo lectura
de nivel raz
vsys
1. El usuario administrador inicia
una sesin HTTP o Telnet.
4, 5. El dispositivo de seguridad comprueba una cuenta de
usuario administrador primero en la base de datos local y
luego, si no ha encontrado ninguna coincidencia, revisa en
un servidor de autenticacin externo.
servidor de autenticacin
Nombre: ??
Contrasea: ??
Nombre: **
Contrasea: **
WebUI o CLI
6. Despus de autenticar con xito a un usuario
con permisos de administrador, el dispositivo
abre una sesin de WebUI o de CLI.
Usuario administrador
2, 3. ScreenOS enva una peticin de inicio de
sesin a travs de HTTP o Telnet al origen.
BD local
4 Usuarios de mltiples tipos
Usuarios de mltiples tipos
Puede combinar usuarios de autenticacin, IKE, L2TP o XAuth para crear las
siguientes combinaciones y almacenarlas en la base de datos local:
Usuario Auth/IKE
Usuario Auth/IKE/XAuth
Usuario Auth/L2TP
Usuario IKE/XAuth
Usuario Auth/IKE/L2TP
Usuario L2TP/XAuth
Usuarios IKE/L2TP
Usuario IKE/L2TP/XAuth
Usuario Auth/XAuth
Usuario Auth/IKE/L2TP/XAuth
Aunque puede crear todas las combinaciones indicadas al definir cuentas de
usuarios de mltiples tipos en la base de datos local, tenga en cuenta los puntos
siguientes antes de crearlos:
Combinar un usuario del tipo IKE con cualquier otro tipo de usuario limita el
potencial de ampliacin. Las cuentas de usuario IKE deben almacenarse en la
base de datos local. Si crea cuentas de usuario auth/IKE, IKE/L2TP o IKE/XAuth
y el nmero de usuarios crece ms all de la capacidad de la base de datos
local, no podr trasladar estas cuentas a un servidor de autenticacin externo.
Si mantiene las cuentas de usuario IKE separadas de otros tipos de cuentas,
tiene la posibilidad de mover las cuentas de usuario que no sean IKE a un
servidor de autenticacin externo en caso de necesidad.
L2TP y XAuth proporcionan los mismos servicios: autenticacin de usuarios
remotos y asignacin de las direcciones IP propia, de los servidores DNS y de
los servidores WINS. No se recomienda utilizar L2TP y XAuth juntos para un
tnel L2TP-por-IPSec. Ambos protocolos no slo cumplen los mismos objetivos;
adems, las asignaciones de direcciones L2TP sobreescriben las asignaciones
de direcciones XAuth una vez finalizadas las negociaciones IKE de la fase 2 e
iniciadas las negociaciones de L2TP.
Si crea una cuenta de usuario de mltiples tipos en la base de datos local
combinando auth/L2TP o auth/XAuth, se deber utilizar el mismo nombre de
usuario y contrasea para ambos inicios de sesin.
Expresiones de grupos 5
Aunque resulta ms cmodo crear una sola cuenta de usuario de mltiples
tipos, separar los tipos de usuario en dos cuentas independientes permite
aumentar la seguridad. Por ejemplo, puede almacenar una cuenta de usuario
de autenticacin en un servidor de autenticacin externo y una cuenta de
usuario XAuth en la base de datos local. Puede entonces asignar diferentes
nombres de usuario de inicio de sesin y contraseas a cada cuenta, y hacer
referencia al usuario XAuth en la configuracin de la puerta de enlace IKE y al
usuario de autenticacin en la configuracin de la directiva. El usuario VPN de
acceso telefnico deber autenticarse dos veces, posiblemente con dos
nombres de usuario y contraseas totalmente diferentes.
Expresiones de grupos
Una expresin de grupo es una instruccin que se puede utilizar en directivas para
condicionar los requisitos de autenticacin. Las expresiones de grupos permiten
combinar usuarios, grupos de usuarios u otras expresiones de grupos como
alternativas para la autenticacin (a OR b), o como requisitos para la
autenticacin (a AND b). Tambin puede utilizar expresiones de grupos para
excluir a un usuario, grupo de usuarios u otra expresin de grupo (NOT c).
Las expresiones de grupos utilizan los tres operadores OR, AND y NOT. Los objetos
en la expresin a los que se refieren OR, AND y NOT pueden ser un usuario de
autenticacin, un grupo de usuarios de autenticacin o una expresin de grupos
previamente definida. La Tabla 1 enumera objetos, expresiones de grupo y
ejemplos.
NOTA: Aunque las expresiones de grupos se definen en el dispositivo de seguridad (y se
almacenan en la base de datos local), los usuarios y grupos de usuarios a los que
se hace referencia en las expresiones de grupos deben almacenarse en un
servidor RADIUS externo. Un servidor RADIUS permite a los usuarios pertenecer a
ms de un grupo. La base de datos local no lo permite.
Tabla 1: Ejemplos de expresin de grupo
Objeto Expresin Ejemplo
Usuarios OR Una directiva especifica que el usuario sea a OR b, para que el
dispositivo de seguridad autentique si el usuario coincide con
alguna condicin a OR b.
AND AND en una expresin de grupos requiere que al menos uno de los
dos objetos de la expresin sea un grupo de usuarios o una
expresin de grupos. (No es lgico exigir a un usuario que sea a la
vez el usuario a AND b.) Si el aspecto de autenticacin de una
directiva requiere que el usuario sea a AND un miembro del
grupo b, entonces el dispositivo de seguridad autentica al usuario
nicamente si se cumplen ambas condiciones.
NOT Una directiva especifica que el usuario puede ser cualquiera
excepto el usuario c ( NOT c ), entonces el dispositivo de seguridad
autenticar siempre que el usuario no sea c.
6 Expresiones de grupos
Ejemplo: Expresiones de grupos (AND)
En este ejemplo se crea la expresin de grupo s+m, que significa sales AND
marketing. Previamente habr creado los grupos de usuarios de autenticacin
sales y marketing en un servidor de autenticacin RADIUS externo llamado
radius1 y los habr alimentado con los usuarios. (Para ver un ejemplo de
configuracin de un servidor de autenticacin RADIUS externo, consulte el
Ejemplo: Servidor de autenticacin RADIUS en la pgina 34). A continuacin,
utilizar esa expresin de grupo en una directiva intrazonal cuyo componente de
autenticacin requiere que el usuario sea miembro de ambos grupos de usuarios
para poder acceder al contenido confidencial de un servidor llamado project1
(10.1.1.70).
Grupos de
usuarios
OR Una directiva especifica que el usuario pertenezca al grupo a OR b,
para que el dispositivo de seguridad autentique si el usuario
pertenece a algn grupo.
AND Una directiva requiere que el usuario pertenezca al grupo a AND b,
para que el dispositivo de seguridad autentique al usuario,
nicamente si pertenece a ambos grupos.
NOT Una directiva especifica que el usuario pertenece a cualquier grupo
que no sea el grupo c ( NOT c), de manera que el dispositivo de
seguridad autentique al usuario siempre que ste no pertenezca a
ese grupo.
Expresiones
de grupos
OR Una directiva especifica que el usuario se ajuste a la descripcin de
la expresin del grupo a OR expresin de grupo b, de manera que
el dispositivo de seguridad autentique al usuario si se aplica
cualquiera de las dos expresiones de grupo.
AND Una directiva especifica que el usuario se ajuste a la descripcin de
la expresin del grupo a AND expresin de grupo b, para que el
dispositivo de seguridad autentique nicamente si ambas
expresiones de grupo corresponden al usuario.
NOT Una directiva especifica que el usuario no se ajusta a la descripcin
de la expresin del grupo c ( NOT c ), as que el dispositivo de
grupo permite la autenticacin nicamente si el usuario no se
ajusta a esa expresin de grupo.
Tabla 1: Ejemplos de expresin de grupo (Continuacin)
Objeto Expresin Ejemplo
NOTA: Para que una directiva intrazonal funcione correctamente, las direcciones de
origen y de destino deben estar en subredes diferentes, conectadas con el
dispositivo de seguridad a travs de dos interfaces asociadas a la misma zona. No
puede haber ningn otro dispositivo de enrutamiento junto a un dispositivo de
seguridad capaz de enrutar trfico entre ambas direcciones. Para obtener ms
informacin sobre directivas intrazonales, consulte Directivas en la
pgina 2-161.
WebUI
1. Direccin
Address Name: project1
Zone: Trust
2. Expresin de grupo
Policy > Policy Elements > Group Expressions > New: Introduzca los
siguientes datos y haga clic en OK:
Group Expression: s+m
AND: (seleccione), sales AND marketing
3. Directiva
Policy > Policies > (From: Trust, To: Trust) New: Introduzca los siguientes
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), project1
Service: ANY
Action: Permit
Position at Top: (seleccione)
> Advanced: Introduzca los siguientes datos y haga clic en Return para
establecer las opciones avanzadas y regresar a la pgina de configuracin
bsica:
Authentication: (seleccione)
Auth Server: (seleccione)
Use: radius1
Group Expression: (seleccione), External Group Expression - s+m
CLI
1. Direccin
set address trust project1 10.1.1.70/32
set group-expression s+m sales and marketing
3. Directiva
set policy top from trust to trust any project1 any permit auth server radius1
group-expression s+m
save
8 Expresiones de grupos
Ejemplo: Expresiones de grupos (OR)
En este ejemplo crear una expresin de grupo a/b, que significa amy OR basil.
Previamente habr creado las cuentas de usuario de autenticacin amy y basil
en un servidor de autenticacin RADIUS externo llamado radius1. (Para ver un
ejemplo de configuracin de un servidor de autenticacin RADIUS externo,
consulte el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34). Luego
utilizar esa expresin de grupo en una directiva desde la zona Trust a DMZ. El
componente de autenticacin de la directiva requiere que el usuario sea amy o
basil para poder acceder al servidor web llamado web1 en la direccin IP
210.1.1.70.
WebUI
1. Direccin
Address Name: web1
IP Address/Domain Name
Zone: DMZ
Group Expression: a/b
OR: (seleccione), amy OR basil
3. Directiva
Policy > Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), web1
Service: ANY
Action: Permit
bsica:
Use: radius1
Group Expression: (seleccione), External Group Expression - a/b
CLI
1. Direccin
set address trust project1 210.1.1.70/32
set group-expression a/b amy or basil
3. Directiva
set policy top from trust to dmz any web1 any permit auth server radius1
group-expression a/b
save
Ejemplo: Expresiones de grupos (NOT)
En este ejemplo crear una expresin de grupo -temp, que significa NOT temp.
Previamente habr creado un grupo de usuarios de autenticacin local temp en
un servidor de autenticacin RADIUS externo llamado radius1. (Para ver un
ejemplo de configuracin de un servidor de autenticacin RADIUS externo,
consulte el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34). Luego
utilizar esa expresin de grupo en una directiva desde la zona Trust a la zona
Untrust que permita el acceso a Internet a todos los empleados fijos, pero no a los
temporales. El componente de autenticacin de la directiva requerir que cada
usuario de la zona Trust sea autenticado, salvo los usuarios de temp, a los que se
denegar el acceso a la zona Untrust.
WebUI
Group Expression: -temp
OR: (seleccione), NOT temp
2. Directiva
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes
Source Address:
Service: HTTP
Action: Permit
bsica:
Use: Local
Group Expression: (seleccione), External Group Expression - -temp
CLI
set group-expression -temp not temp
2. Directiva
set policy top from trust to untrust any any any permit auth server radius1
group-expression -temp
save
10 Personalizacin de mensajes de bienvenida
Personalizacin de mensajes de bienvenida
Un mensaje de bienvenida es un mensaje que aparece en un monitor en diferentes
lugares dependiendo del tipo de inicio de sesin:
En la parte superior de la pantalla de Telnet o de consola, cuando se conecta un
usuario administrador al dispositivo de seguridad
En la parte superior de una pantalla del explorador, despus de que un usuario
de autenticacin haya iniciado una sesin correctamente en una direccin de
WebAuth
Antes o despus de los mensajes de peticin de inicio de sesin, mensajes de
xito y mensajes de fallo Telnet, FTP o HTTP para usuarios de autenticacin
Todos los mensajes de bienvenida, salvo los de inicio de sesin de la consola, ya
disponen de mensajes predeterminados. Puede personalizar los mensajes de
bienvenida para adaptarlos al entorno de red en el que est utilizando el dispositivo
de seguridad.
Ejemplo: Personalizar un mensaje de bienvenida de WebAuth
En este ejemplo cambia el mensaje que aparece en el explorador para indicar que
un usuario de autenticacin se ha autenticado con xito despus de iniciar una
sesin con xito a travs de WebAuth. El nuevo mensaje ser Autenticacin
satisfactoria.
WebUI
Configuration > Admin > Banners > WebAuth: En el campo Success
Banner, escriba Autenticacin satisfactoria y haga clic en Apply.
CLI
set webauth banner success Autenticacin satisfactoria
save
NOTA: Puede incluir una lnea adicional de mensaje de bienvenida debajo de un mensaje
de bienvenida de Telnet o de consola. La segunda lnea del mensaje de bienvenida
sigue siendo igual tanto para el inicio de sesin de Telnet como de la consola,
aunque el mensaje de bienvenida de Telnet puede ser distinto del de la consola.
Para crear un segundo mensaje de bienvenida, escriba el siguiente comando: set
admin auth banner secondary cadena.
Mensaje de bienvenida de inicio de sesin 11
Mensaje de bienvenida de inicio de sesin
Se aument el tamao del mensaje de bienvenida de inicio de sesin a un mximo
de 4Kbytes. Esto proporciona espacio para las declaraciones de trminos del uso,
que se presentan antes de que los administradores y usuarios autenticados inicien
una sesin en el dispositivo de seguridad y en recursos protegidos detrs del
dispositivo. El mensaje de bienvenida de inicio de sesin es un archivo de texto
ASCII que se puede crear y almacenar en el dispositivo de seguridad; el archivo
debe llamarse usrterms.txt. El mensaje de bienvenida se activa reiniciando el
sistema. Si el archivo del mensaje de bienvenida tiene ms de 4Kbytes, el
dispositivo de seguridad no lo aceptar y continuar utilizando los mensajes de
bienvenida existentes que se ingresaron a travs de CLI y la WebUI.
Cuando se activa el mensaje de bienvenida de inicio de sesin, el sistema raz y
todos los sistemas virtuales (vsys) lo utilizan de forma global. No es posible
diferenciar o personalizar entre sistemas virtuales (vsys), ni tampoco dentro de los
mismos. El mensaje de bienvenida de inicio de sesin sustituye a todos los
mensajes de bienvenida de acceso administrativo y los mensajes de bienvenida de
autenticacin del cortafuegos que fueron definidos de forma individual. Despus de
introducir el nombre de usuario y la contrasea, el usuario debe hacer clic en el
botn Login. Si el usuario presiona la tecla Enter no obtendr acceso al dispositivo.
Ejemplo: Crear un mensaje de bienvenida de inicio de sesin
Utilice el programa de SCP para copiar de forma segura el archivo del mensaje de
bienvenida en el dispositivo de seguridad. Con el siguiente comando, un
administrador con nombre de usuario netscreen puede copiar el archivo del
mensaje de bienvenida mensaje_bienvenida_largo.txt a un dispositivo de
seguridad a una direccin IP 1.1.1.2. El archivo del mensaje de bienvenida debe
guardarse en el dispositivo de seguridad como usrterms.txt.
linux:~#scp mensaje_bienvenida_largo.txt netscreen@1.1.1.2:usrterms.txt
Debe reiniciar el dispositivo para activar el nuevo mensaje de bienvenida. Para
modificar el archivo del mensaje de bienvenida, puede crear un nuevo archivo y
sobrescribir el existente con el nuevo.
Para eliminar el mensaje de bienvenida, ejecute el siguiente comando en el
dispositivo de seguridad:
device-> delete file usrterms.txt
Esto inhabilita la funcin del mensaje de bienvenida despus de que reinicie el
dispositivo.
12 Mensaje de bienvenida de inicio de sesin
Tipos de servidores de autenticacin 13
Captulo 2
Servidores de autenticacin
Este captulo examina diversas clases de servidores de autenticacin (la base de
datos local incorporada en cada dispositivo de seguridad y los servidores de
autenticacin externos RADIUS, SecurID y LDAP). Este captulo incluye las
siguientes secciones:
Tipos de servidores de autenticacin en esta pgina
Base de datos local en la pgina 15
Servidores de autenticacin externos en la pgina 17
Tipos de servidores de autenticacin en la pgina 19
Servicio de autenticacin remota de usuarios de acceso telefnico en la
pgina 19
SecurID en la pgina 28
Protocolo ligero de acceso a directorios en la pgina 30
Sistema plus de control de acceso de control de acceso de terminal Plus
(TACACS+) en la pgina 32
Pioridad de la autenticacin de administrador en la pgina 33
Definicin de objetos de servidor de autenticacin en la pgina 34
Definicin de los servidores de autenticacin predeterminados en la
pgina 40
Tipos de servidores de autenticacin
Puede configurar el dispositivo de seguridad de modo que utilice la base de datos
local, o uno o ms servidores de autenticacin externos para verificar las
identidades de los siguientes tipos de usuarios:
Auth
IKE
L2TP
14 Tipos de servidores de autenticacin
XAuth
Admin
802.1x
Adems de su propia base de datos local, un dispositivo de seguridad puede
trabajar con los servidores externos RADIUS, SecurID, LDAP y TACACS+. Para
autenticar usuarios L2TP, usuarios de autenticacin, usuarios XAuth y usuarios con
permisos de administrador se puede utilizar cualquier clase de servidor de
autenticacin. ScreenOS tambin es compatible con WebAuth, un sistema de
autenticacin alternativo para usuarios de autenticacin. (Para ver un ejemplo de
WebAuth, consulte Ejemplo: WebAuth + SSL solamente (grupo de usuarios
externos) en la pgina 65). Cualquier servidor de autenticacin que contenga
cuentas del tipo usuarios de autenticacin puede convertirse en el servidor de
autenticacin predeterminado WebAuth. La Tabla 2 muestra qu tipo de servidores
y funciones de autenticacin se admiten.
Tabla 2: Tipo de servidor de autenticacin, tipos de usuarios y funciones
En la mayora de dispositivos de seguridad de Juniper Networks se pueden utilizar
simultneamente hasta 10 servidores de autenticacin principales por cada sistema
(raz o virtual) en cualquier combinacin de tipos. Este total incluye la base de datos
local y excluye los servidores de autenticacin de respaldo. Los servidores RADIUS
o LDAP admiten dos servidores de respaldo, mientras que los servidores SecurID
admiten uno. As pues, podran utilizarse, por ejemplo, la base de datos local y
nueve servidores RADIUS principales y diferentes, cada uno de ellos con dos
servidores de respaldo asignados. Consulte la Figura 3.
NOTA: Las cuentas de usuarios IKE se deben almacenar en la base de datos local. El nico
servidor externo que admite asignaciones de configuracin remota L2TP y XAuth
y asignaciones de privilegios de administrador es RADIUS.
Tipo de
servidor
Caractersticas y tipos de usuarios admitidos
Usuari
os auth
Usuario
s IKE
Usuarios L2TP Usuarios XAuth Usuarios admin
Grupos de
usuarios
Expresiones
de grupos Auth
Ajustes
remotos Auth
Ajustes
remotos Auth Privilegios
Local X X X X X X X X X
RADIUS X X X X X X X X X
SecurID X X X X
LDAP X X X X
TACACS+ X X
Base de datos local 15
Captulo 2: Servidores de autenticacin
Figura 3: Tipos de servidores de autenticacin
En las siguientes secciones se explica la base de datos local y cada servidor de
autenticacin en detalle.
Base de datos local
Todos los dispositivos de seguridad de Juniper Networks disponen de una base de
datos de usuarios integrada para la autenticacin. Cuando se define un usuario en
el dispositivo de seguridad, ste introduce el nombre y la contrasea del usuario en
su base de datos local. Consulte la Figura 4.
Figura 4: Autenticacin local
Nota: Se puede utilizar un solo servidor de
autenticacin para mltiples tipos de autenticacin
de usuario. Por ejemplo, un servidor RADIUS
puede almacenar simultneamente datos de
usuarios administradores, de autenticacin, L2TP
y XAuth.
Mltiples servidores de autenticacin
funcionando simultneamente
Usuario
IKE/XAuth
Usuario IKE
Usuario
IKE/L2TP
Servidor
RADIUS
Servidor
SecurID
Servidor LDAP
Usuario de autenticacin
Usuario administrador
Base de
datos local
Usuario IKE/XAuth > Base de datos local
Usuario IKE > Base de datos local
Usuario IKE/L2TP > Servidor SecurID
Usuario administrador > Servidor RADIUS
Usuario administrador > Servidor TACACS+
Usuario autenticado > Servidor LDAP
Servidor
TACACS+
Internet
Un usuario de autenticacin solicita
una conexin a la red protegida.
Antes de autorizar la peticin de conexin, el dispositivo de seguridad
consulta sus bases de datos internas para autenticar al usuario.
Base de
datos local
16 Base de datos local
La base de datos local admite los siguientes tipos de usuarios y funciones de
autenticacin:
Usuarios:
Auth
IKE
L2TP
XAuth
Admin
802.1x
Funciones de autenticacin:
Privilegios de administrador
WebAuth
Grupos de usuarios
Expresiones de grupos
La base de datos local es el servidor de autenticacin predeterminado (auth server)
para todos los tipos de autenticacin. Para obtener instrucciones sobre cmo
agregar usuarios y grupos de usuarios a la base de datos local mediante WebUI y
CLI, consulte Usuarios de autenticacin en la pgina 47 y Usuarios IKE, XAuth y
L2TP en la pgina 69.
Ejemplo: Tiempo de espera de la base de datos local
De forma predeterminada, el tiempo de espera de la base de datos local para
autenticaciones de administradores y usuarios de autenticacin es de 10 minutos.
En este ejemplo, cambiar a que no caduque nunca para los administradores y a
que caduque a los 30 minutos para los usuarios de autenticacin.
WebUI
Configuration > Admin > Management: Desactive la casilla de verificacin
Enable Web Management Idle Timeout y haga clic en Apply.
Configuration > Auth > Servers > Edit (para Local): Escriba 30 en el campo
Timeout y haga clic en Apply.
NOTA: Las expresiones de grupos se definen en el dispositivo de seguridad, pero los
usuarios y grupos de usuarios deben almacenarse en un servidor de autenticacin
RADIUS externo. Para obtener ms informacin sobre expresiones de grupos,
consulte Expresiones de grupos en la pgina 5.
Servidores de autenticacin externos 17
CLI
set admin auth timeout 0
set auth-server Local timeout 30
save
Servidores de autenticacin externos
Un dispositivo de seguridad se puede conectar a uno o ms servidores de
autenticacin exernos o servidores auth, en los que se almacenan cuentas de
usuarios. Cuando el dispositivo de seguridad recibe una peticin de conexin que
requiere una verificacin de autenticacin, ste solicita una comprobacin de
autenticacin al servidor de autenticacin externo especificado en la directiva, en la
configuracin del tnel L2TP o en la configuracin de la puerta de enlace IKE. El
dispositivo de seguridad acta como una retransmisin entre el usuario que solicita
la autenticacin y el servidor de autenticacin que otorga la autenticacin. La
Figura 5 muestra los pasos para lograr una verificacin de autenticacin con xito
por medio de un servidor de autenticacin externo.
Figura 5: Servidor de autenticacin externo
1. El host A enva un paquete FTP, HTTP o Telnet TCP SYN a 1.2.2.2.
2. El dispositivo de seguridad intercepta el paquete, detecta que su directiva
correspondiente requiere autenticacin por parte de authserv1, guarda el
paquete en un bfer y solicita al usuario su nombre y contrasea.
3. El usuario responde con un nombre de usuario y una contrasea.
4. El dispositivo de seguridad retransmite la informacin de inicio de sesin a
authserv1.
5. Authserv1 devuelve una notificacin de xito al dispositivo de seguridad.
6. El dispositivo de seguridad informa el usuario de autenticacin sobre el xito de
su inicio de sesin.
7. Entonces, el dispositivo de seguridad reenva el paquete de su bfer a su
destino 1.2.2.2.
Host A
Paquete a 1.2.2.2
Nombre: ??
Contrasea: ??
Nombre: **
Contrasea: **
Mensaje de xito
Requiere
autenticacin
Motor de
directivas
Bfer
Servidor auth
externo authserv1
Servidor B
1.2.2.2
18 Servidores de autenticacin externos
Propiedades del objeto servidor de autenticacin
Un dispositivo de seguridad trata cada servidor de autenticacin como un objeto al
que se puede hacer referencia en directivas, puertas de enlace IKE y tneles L2TP.
Las propiedades descritas en la Tabla 3 definen e identifican de forma inequvoca
un objeto de servidor de autenticacin.
Tabla 3: Propiedades del objeto de servidor de autenticacin
Propiedad Descripcin
Object name Una cadena de nombre, como authserv1. (El nico servidor de autenticacin
predefinido es Local).
ID number Puede establecer el nmero de identificacin o permitir que el dispositivo de
seguridad lo haga automticamente. Si establece un nmero de identificacin,
debe elegir uno que an no se est utilizando.
Type RADIUS, SecurID, LDAP, TACACS+.
Server name La direccin IP o el nombre de dominio del servidor.
Backup1 La direccin IP o el nombre de dominio de un servidor de respaldo principal.
Backup2 La direccin IP o el nombre de dominio de un servidor de respaldo secundario.
Account Type Uno o ms de los siguientes tipos de usuarios: Auth, L2TP, 802.1x, XAuth o
solamente Admin.
Timeout value El valor del tiempo de espera por inactividad, cambia dependiendo del tipo de
usuario (de autenticacin o administrador).
Usuario de
autenticacin
La cuenta atrs del tiempo de espera comienza despus de
completarse la primera sesin autenticada. Si el usuario inicia
una nueva sesin antes que la cuenta atrs alcance el umbral
de tiempo de espera, se restablecer el contador de cuenta
atrs. El valor predeterminado del tiempo de espera es de
10 minutos, y el mximo es de 255 minutos. Para desactivar la
funcin de tiempo de espera, establezca el valor de tiempo de
espera a 0. Consulte la Figura 6.
Usuario
administrador
Si el tiempo de inactividad alcanza el umbral establecido, el
dispositivo de seguridad termina la sesin del usuario
administrador. Para continuar administrando el dispositivo de
seguridad, el administrador debe volver a conectarse al
dispositivo y autenticarse de nuevo. El valor predeterminado
del tiempo de espera es de 10 minutos, y el mximo es de
1000 minutos. Para desactivar la funcin de tiempo de espera,
establezca el valor de tiempo de espera a 0. Consulte la
Figura 7.
Forced Timeout El tiempo de espera forzado, a diferencia del tiempo de espera por inactividad,
no depende de la inactividad del usuario, sino del tiempo de espera absoluto
despus de que se termina el acceso para el usuario autenticado. Se elimina la
entrada de la tabla de autenticacin para el usuario, as como todas las sesiones
asociadas para la entrada de la tabla de autenticacin. El valor predeterminado
es 0 (desactivado), el rango es de 0 a 10000 (6,9 das).
Figura 6: Propiedades del objeto servidor de autenticacin
Figura 7: Propiedad del tiempo de espera del administrador
Adems de las propiedades antedichas, aplicables a todos los objetos del servidor
de autenticacin, cada servidor tiene unas cuantas propiedades especficas. Esto se
explica en Tipos de servidores de autenticacin.
Tipos de servidores de autenticacin
Adems de las bases de datos internas, los dispositivos de seguridad admiten cuatro
tipos de servidores de autenticacin externos:
Servicio de autenticacin remota de usuarios de acceso telefnico (RADIUS)
SecurID
Protocolo ligero de acceso a directorios (LDAP)
Sistema plus de control de acceso del controlador de acceso de terminal
(TACACS+)
Servicio de autenticacin remota de usuarios de acceso telefnico
El servicio de autenticacin remota de usuarios de acceso telefnico Remote
Authentication Dial-In User Service (RADIUS) es un protocolo para servidores de
autenticacin que admite decenas de miles de usuarios.
Time
(Pasado)
inicio de la
sesin
fin de la sesin;
comienza la cuenta atrs del
tiempo de espera
El usuario puede iniciar una
nueva sesin sin
autenticarse de nuevo
sesin tiempo de espera
fin del tiempo de espera
El usuario debe
autenticarse de nuevo para
iniciar una nueva sesin
Time
(Futuro)
NOTA: El tiempo de espera para la autenticacin de usuarios no es igual que el tiempo de
espera de la sesin. Si durante un tiempo predefinido no se produce ninguna
actividad en una sesin, el dispositivo de seguridad elimina automticamente la
sesin de su tabla de sesiones.
comienza la sesin del
usuario administrador
la actividad se detiene;
comienza la cuenta atrs
del tiempo de espera
El usuario administrador puede
continuar la actividad en su sesin.
sesin del usuario administrador
el tiempo de
espera finaliza; la
sesin termina
El usuario administrador debe volver a
conectarse e iniciar una nueva sesin.
tiempo de espera
Figura 8: Uso de RADIUS como un servidor de autenticacin externa
El cliente RADIUS (es decir, el dispositivo de seguridad) autentica a usuarios
mediante una serie de comunicaciones entre el cliente y el servidor. Bsicamente,
RADIUS pide a la persona que se est conectando que introduzca su nombre de
usuario y contrasea. Entonces compara estos valores con lo que tiene
almacenados en su base de datos y, una vez que el usuario ha sido autenticado, el
cliente proporciona al usuario acceso a los correspondientes servicios de red.
Para configurar el dispositivo de seguridad para RADIUS, debe especificar la
direccin IP del servidor RADIUS y definir un secreto compartido (shared secret),
el mismo que haya definido en dicho servidor. El secreto compartido es una
contrasea que el servidor RADIUS utiliza para generar una clave con la que
encriptar el trfico entre los dispositivos de seguridad y RADIUS.
Propiedades del objeto servidor de autenticacin RADIUS
Adems de las propiedades genricas del servidor de autenticacin descritas en
Propiedades del objeto servidor de autenticacin en la pgina 18, un servidor
RADIUS tambin utiliza las propiedades descritas en Tabla 4.
Internet
Un usuario de acceso
telefnico mediante VPN
solicita una conexin a la
red protegida.
El dispositivo de seguridad utiliza
un servidor externo RADIUS
para autenticar al usuario de
acceso telefnico VPN antes de
aprobar la peticin de conexin.
Servidor
RADIUS
Tabla 4: Propiedades del objeto del servidor de autenticacin RADIUS
Shared Secret El secreto (contrasea) compartido entre el dispositivo de seguridad y el
servidor RADIUS. Los dispositivos utilizan este secreto para encriptar las
contraseas de usuarios que envan al servidor RADIUS.
RADIUS Port El nmero del puerto en el servidor RADIUS al que el dispositivo de seguridad
enva las peticiones de autenticacin. El nmero de puerto predeterminado es
1645.
RADIUS Retry
Timeout
El intervalo (en segundos) que el dispositivo de seguridad espera antes de
enviar otra peticin de autenticacin al servidor RADIUS si la peticin anterior
no obtuvo ninguna respuesta. El valor predeterminado es de tres segundos.
Un servidor RADIUS admite los siguientes tipos de usuarios y funciones de
autenticacin:
Usuarios de autenticacin
Usuarios L2TP (autenticacin y ajustes remotos)
Usuarios con permisos de administrador (autenticacin y asignacin de
privilegios)
Grupos de usuarios
Usuarios XAuth (autenticacin y ajustes remotos)
El mdulo XAuth proporciona soporte para los atributos de tiempo de espera
por inactividad y tiempo de espera de sesin recuperados del servidor RADIUS
descritos en la Tabla 5.
Tabla 5: Compatibilidad del atributo de XAuth
Atributo Descripcin
Session-timeout Si el atributo Session-timeout es un valor distinto a cero, la asociacin de
seguridad de fase 1/fase 2 (SA) y XAuth terminan cuando se llega al valor
de tiempo de espera.
Idle-timeout Si el atributo de Idle-timeout (tiempo de espera por inactividad) es un valor
distinto a cero, tiene preferencia sobre la configuracin de tiempo de
espera por inactividad de fase local 2 SA y el tiempo de retencin de SA de
miembro. Si el valor de tiempo de espera por inactividad es 0, se utiliza el
tiempo de espera de la fase local 2 SA y el tiempo de retencin de SA de
miembro.
XAuth Accounting
Start
El inicio de la cuenta XAuth se enva al servidor RADIUS externo despus
de que el usuario se autentica correctamente.
XAuth Accounting
Stop
La detencin de la cuenta XAuth se enva al servidor RADIUS externo
cuando la conexin de XAuth se interrumpe. Toda la conexin de fase
1/fase 2 SA y XAuth termina bajo las siguientes condiciones:
Se alcanza el atributo Session-timeout del servidor RADIUS.
No est configurado el atributo Session-timeout del servidor RADIUS.
En vez de eso se utiliza la duracin de sesin de XAuth.
Se alcanza el atributo Idle-timeout del servidor RADIUS en todas las
fases 2 SA.
Se detecta la desconexin del cliente por medio de la deteccin de
interlocutor muerto (DPD) o pulso.
Se alcanza el tiempo por inactividad de la fase 2 SA configurado
localmente o el tiempo de retencin de SA del miembro, ya que el
servidor RADIUS no proporciona el atributo Idle-timeout.
Un servidor RADIUS admite los mismos tipos de usuarios y funciones que la base
de datos local, excepto los usuarios IKE. Entre los cuatro tipos de servidores de
autenticacin externos, RADIUS es, por el momento, el nico con tan amplia
compatibilidad. Para que un servidor RADIUS pueda trabajar con atributos tan
especficos de ScreenOS como los privilegios de administrador, grupos de usuarios
y direcciones IP L2TP y XAuth remotas, as como con las asignaciones de
direcciones de servidores DNS y WINS, es necesario cargar un archivo de
diccionario de RADIUS que defina estos atributos en el servidor RADIUS.
Archivo de diccionario de RADIUS
Un archivo de diccionario contiene las definiciones de los atributos especficos de
cada fabricante (VSA) que se pueden cargar en un servidor RADIUS. Una vez
definidos los valores de estos VSA, ScreenOS puede consultarlos cada vez que un
usuario se conecta a un dispositivo de seguridad. Los atributos VSA de ScreenOS
son: privilegios de administrador, grupos de usuarios y direccin IP L2TP y XAuth
remota, y asignaciones de direcciones de servidores DNS y WINS. Hay dos archivos
de diccionario de RADIUS, uno para servidores RADIUS de Cisco y otro para
servidores RADIUS de Funk Software. Los servidores RADIUS de Microsoft no
requieren archivos de diccionario. Debe configurarlo como se explica en el
documento Bi-Directional Remote VPN using XAuth and Firewall Authentication with
Microsoft Internet Authentication Service (IAS), que puede descargar en
http://kb.juniper.net/kb/documents/public/kbdocs/ns10382/ns10382.pdf
Cada archivo de diccionario de RADIUS contiene la informacin especfica descrita
en Tabla 6.
NOTA: ScreenOS utiliza el atributo estndar de RADIUS para las asignaciones de
direcciones IP. Si solamente desea utilizar RADIUS para asignar direcciones IP, no
necesita cargar los atributos de ScreenOS especficos de cada fabricante
(vendor-specific attributes o VSA).
Tabla 6: Contenido del archivo de diccionario de RADIUS
Campo Descripcin
Vendor ID La identificacin de proveedor de ScreenOS (VID, tambin conocida
como nmero IETF) es 3224. VID identifica a un proveedor especfico
con respecto a un atributo determinado. Algunos tipos de servidores
RADIUS requieren introducir el nmero VID con cada entrada de atributo,
mientras que otros tipos solamente requieren introducirlo una vez y luego
lo aplican globalmente. Para obtener informacin adicional, consulte la
documentacin del servidor RADIUS.
Attribute Name Los nombres de atributos describen atributos individuales especficos de
ScreenOS, como NS-Admin-Privilege, NS-User-Group,
NS-Primary-DNS-Server, etc.
El servidor RADIUS recibe automticamente la informacin antedicha cuando se
carga el archivo de diccionario de RADIUS en el mismo. Para crear nuevas entradas
de datos, debe introducir manualmente un valor en la forma indicada por el tipo de
atributo. Por ejemplo, una entrada para un administrador de lectura-escritura
aparece como sigue:
Para descargar un archivo de diccionario, dirjase a
http://www.juniper.net/customers/csc/research/netscreen_kb/downloads
/dictionary/funk_radius.zip
o
http://www.juniper.net/customers/csc/research/netscreen_kb/downloads/dictionary
/cisco_radius.zip
Inicie sesin y guarde el archivo en una unidad local.
RADIUS Access Challenge
Ahora, los dispositivos de seguridad de Juniper Networks pueden procesar paquetes
access-challenge de servidores RADIUS externos cuando un usuario de
autenticacin intenta iniciar una sesin a travs de Telnet. Despus de aprobar un
nombre de usuario y su correspondiente contrasea, access challenge solicita una
comprobacin adicional durante el proceso de inicio de sesin. Cuando un usuario
de autenticacin responde a una peticin de inicio de sesin indicando su nombre
y contrasea correctos, el servidor RADIUS enva una seal access challenge al
dispositivo de seguridad, que lo remite al usuario. Cuando el usuario contesta, el
dispositivo de seguridad enva una nueva peticin de acceso al servidor RADIUS
con la respuesta del usuario. Si la respuesta del usuario es correcta, el proceso de
autenticacin concluye con xito. La Figura 9 enumera los pasos necesarios para un
usuario de autenticacin que desea realizar una conexin telnet con un servidor.
Attribute Number El nmero de atributo identifica un atributo individual especfico del
proveedor. Los nmeros de atributos especficos de ScreenOS se dividen
en dos rangos:
ScreenOS: 1 199
Global PRO: a partir del 200
Por ejemplo, el nmero del atributo ScreenOS para grupos de usuarios
es 3. El nmero de atributo de Global PRO para grupos de usuarios es
200.
Attribute Type El tipo de atributo identifica la forma en la que se representan los datos
del mismo (o su valor): como cadena, direccin IP o nmero entero.
VID Attribute Name
Attribute
Number Attribute Type Value
3224 NS-Admin-Privileges 1 data=int4 (es decir,
nmero entero)
2 (2 = todos los
privilegios)
Tabla 6: Contenido del archivo de diccionario de RADIUS (Continuacin)
Campo Descripcin
NOTA: Todas las nuevas instalaciones de Funk Steel Belted RADIUS tienen cargado el
archivo de diccionario del cortafuegos RADIUS en el servidor RADIUS.
Figura 9: Secuencia de RADIUS Access-Challenge
1. Un usuario de autenticacin enva un paquete SYN para iniciar una conexin
TCP de una sesin Telnet con un servidor Telnet.
2. Un dispositivo de seguridad intercepta el paquete, comprueba su lista de
directivas y determina que esta sesin requiere autenticacin de usuario. El
dispositivo de seguridad coloca el paquete SYN en su memoria cach y registra
en su proxy el establecimiento de comunicacin TCP de 3 fases (TCP 3-way
handshake) con el usuario.
3. El dispositivo de seguridad pide al usuario que inicie una sesin con su nombre
y contrasea.
4. El usuario de autenticacin introduce su nombre y contrasea y los enva al
dispositivo de seguridad. Entonces, el dispositivo de seguridad enva una
peticin de acceso (access request) con la informacin de inicio de sesin a
un servidor RADIUS.
5. Si la informacin es correcta, el servidor RADIUS enva una seal access
challenge al dispositivo de seguridad con un atributo reply-message que pide al
usuario que proporcione una respuesta a un desafo (pregunta de
comprobacin). (Opcionalmente, access challenge puede pedir al sistema de
autenticacin que proporcione de nuevo un nombre de usuario. El segundo
nombre de usuario puede ser igual o distinto del primero). El dispositivo de
seguridad enva entonces al usuario otro mensaje de peticin de inicio de
sesin con el contenido del atributo reply-message.
Usuario de autenticacin
Dispositivo de seguridad
Servidor RADIUS Servidor SecurID
(Opcional)
Cach
Proxy TCP
SYN
SYN/ACK
ACK
Nombre: ?
Contrasea: ?
Nombre: **
Contrasea: **
(Nombre: ?)
Desafo: ?
(Nombre: **)
Desafo: **
Nombre: **
Contrasea: **
(Nombre: ?)
Desafo: ?
(Nombre: **)
Desafo: **
xito xito xito
(Nombre: **)
Desafo: **
Reenvo
Servidor Telnet
6. El usuario de autenticacin introduce su respuesta al desafo (y, opcionalmente,
un nombre de usuario) y la enva al dispositivo de seguridad. El dispositivo de
seguridad enva al servidor RADIUS una segunda peticin de acceso, con la
respuesta del usuario al desafo.
Si el servidor RADIUS necesita autenticar la respuesta de desafo por medio de
otro servidor de autenticacin (por ejemplo, cuando un servidor SecurID
necesita autenticar un cdigo token) el servidor RADIUS enva la peticin de
acceso access request al otro servidor de autenticacin.
7. Si el servidor RADIUS redireccion la respuesta al desafo a otro servidor de
autenticacin y ese servidor necesita una seal access accept, o si el mismo
servidor RADIUS aprueba la respuesta, el servidor RADIUS enva un mensaje
access accept al dispositivo de seguridad. En ese momento, el dispositivo de
seguridad notifica al usuario de autenticacin si su inicio de sesin se ha
completado correctamente.
8. El dispositivo de seguridad redirecciona el paquete SYN inicial a su destino
original: el servidor Telnet.
Mejoras de RADIUS compatibles para los usuarios Auth y XAuth
ScreenOS es compatible con las mejoras de RADIUS a travs de los mdulos de
autenticacin y autenticacin extendida (XAuth) con los siguientes atributos:
Tipo de servicio de acceso NS en esta pgina
Direccin IP en trama y conjunto en trama en la pgina 26
Identificacin de sesin de cuenta en la pgina 27
Calling Station ID en la pgina 27
Called Station ID en la pgina 27
Compatibility RFC-2138 en la pgina 27
Username en la pgina 27
Separator en la pgina 27
Fail-over en la pgina 28
Tipo de servicio de acceso NS
El atributo NS-Access-Service-Type proporciona informacin sobre el tipo de
servicio. El dispositivo de seguridad agrega este atributo a cada Access-Request
indicando el tipo de servicio requerido por el usuario. Este atributo est habilitado
de forma predeterminada.
Si el mdulo RADIUS recibe la peticin de un mdulo de autenticacin Telnet, FTP o
HTTP, ste configura el valor a WEB-AUTH (2). Si el mdulo RADIUS recibe la
peticin del mdulo XAuth, ste establece el valor a VPN-IPSEC (3).
NOTA: En la presente versin, ScreenOS no admite access challenge con L2TP.
El dispositivo incluye ns-access-service-type y el valor en el mensaje Access-Request.
Si el servidor RADIUS determina que el usuario que realiza la peticin tiene
autorizacin para acceder al servicio, ste enva un mensaje de Access-Accept. Si el
tipo de servicio no aplica al usuario que realiza la peticin, el servidor RADIUS enva
un mensaje de Access-Reject.
El servidor RADIUS no incluye el atributo ns-access-service-type en el mensaje
Acceso-Respuesta.
Direccin IP en trama y conjunto en trama
El servidor RADIUS incluye el atributo framed-pool en el mensaje Access-Accept.
Cuando se incluye el atributo Framed-Pool, el dispositivo asigna una direccin IP al
usuario desde este conjunto. Sin embargo, el dispositivo no enva el atributo
Framed-Pool en los mensajes Access-Request.
La Tabla 7 muestra cmo maneja el dispositivo los atributos framed-pool y
framed-ip-address. Las mejoras de RADIUS tambin incluyen la capacidad de
manejar los conjuntos de direcciones en el nivel de sistema virtual (VSYS).
Tabla 7: Atributos compatibles
Atributos compatibles Resolucin
El atributo Framed-Pool y Framed-IP-Address
se incluyen en el mensaje Access-Accept.
El atributo Framed-Pool siempre lo ignora el
servidor RADIUS a menos que el valor de
Framed-IP-Address sea 0xFFFFFFFE
(255.255.255.254). Entonces, el dispositivo
asigna una direccin del atributo Framed-Pool
enviada por el servidor RADIUS.
El atributo Framed-Pool y el atributo
Framed-IP-Address estn ausentes del
mensaje Access-Accept.
El dispositivo no asigna una direccin IP al
usuario final.
El atributo Framed-IP-Address se incluye en el
mensaje Access-Accept y tiene un valor de
0xFFFFFFFE (255.255.255.254).
El atributo Framed-Pool est ausente.
El dispositivo asigna una direccin IP del
conjunto de direccin IP predeterminado que
est configurado para ese VSYS.
El conjunto se enva en el atributo
Framed-Pool que no est configurado o no
tiene ninguna direccin IP.
Se generan los siguientes mensajes de error y
termina la negociacin:
Falla el inicio de sesin: El conjunto de IP se
necesita pero no est configurado.
Falla el inicio de sesin: No hay ms
direcciones IP disponibles en el conjunto de
IP.
En ambos supuestos, el cliente recibe el
siguiente mensaje:
No hay ms direcciones IP disponibles en el
conjunto de IP
Identificacin de sesin de cuenta
acct-session-id identifica de manera inequvoca la sesin de contabilidad. Cada vez
que un usuario XAuth se conecta al dispositivo y el dispositivo autentica al usuario,
ste establece una "new acct-session-id", que identifica la sesin de cuenta. La
sesin de cuenta dura entre el tiempo que el dispositivo enva al servidor RADIUS
un mensaje Accounting-Start y el tiempo que enva un mensaje Accounting-Stop.
Para identificar al usuario, cada acceso de RADIUS o solicitud de mensaje puede
contener "calling-station-id" (que se describe posteriormente).
acct-session-id length nmero es la longitud de account-session-id en bytes. La
longitud predeterminada de este valor es 11 bytes. El ajuste de nmero es para
acomodar algunos servidores RADIUS, que podran tener problemas con la longitud
predeterminada. Puede establecer la longitud de "acct-session-id" de 6 bytes a
10 bytes, incluso. Para restablecer el ajuste predeterminado, ejecute el siguiente
comando:
unset auth-server cadena_nombre radius attribute acct-session-id nmero
Calling Station ID
El atributo calling-station-id identifica a la persona que realiza la llamada. Por
ejemplo, este valor podra consistir en el nmero de telfono del usuario que
origina la llamada.
Called Station ID
El atributo called-station-id identifica la persona destinataria o receptora de la
llamada. Por ejemplo, este valor podra consistir en el nmero de telfono del
usuario que origina la llamada.
Compatibility RFC-2138
El atributo compatibility rfc-2138 hace que la cuenta RADIUS cumpla con la norma
RFC 2138, en lo que respecta a la norma RFC 2865. Para las operaciones donde las
normas RFC 2865 (la ms reciente) y RFC 2138 son mutuamente exclusivas, el
comando funciona de acuerdo con la RFC 2138, en lugar de con la RFC 2865. En
los casos donde el comportamiento es aditivo, el comando es compatible tanto
conla norma RFC 2865 como con la norma RFC 2138.
Username
username especifica un nombre de dominio para un servidor de autenticacin
determinado o una parte de un nombre de usuario desde el cual desglosa
caracteres. Si especifica un nombre de dominio para el servidor de autenticacin,
debe presentarse en el nombre de usuario durante la autenticacin.
Separator
El dispositivo utiliza un carcter separador para identificar dnde ocurren los
desglosamientos. El desglosamiento elimina todos los caracteres que se encuentran
a la derecha de cada caso del carcter especificado, ms el carcter en s. El
dispositivo empieza con el carcter separador que se encuentra en el extremo
derecho. Un ejemplo de un comando separador es el siguiente:
set auth-server cadena_nombre username separator cadena number nmero
donde:
cadena_nombre es el nombre del servidor de autenticacin.
cadena es el separador de caracteres.
nmero es el nmero de los casos del separador de caracteres con el cual se
realiza el desglosamiento de caracteres.
Si el nmero especificado de caracteres separadores (nmero) excede el nmero
real de caracteres separadores en el nombre de usuario, el comando detiene el
desglosamiento en el ltimo caracter separador disponible.
Fail-over
El atributo fail-over especifica el intervalo de reversin (expresado en segundos)
que debe transcurrir despus de un intervalo de autenticacin y antes de que el
dispositivo intente la autenticacin a travs de los servidores de autenticacin de
respaldo.
Cuando una peticin de autenticacin enviada a un servidor principal falla, el
dispositivo intenta con los servidores de respaldo. Si la autenticacin por medio de
un servidor de respaldo tiene xito, el intervalo de tiempo de revert-interval ha
caducado, el dispositivo enva peticiones de autenticacin posteriores al servidor de
respaldo. De lo contrario, reanuda el envo de las peticiones al servidor principal. El
rango es de 0 segundos (deshabilitado) a 86400 segundos.
Un ejemplo del comando fail-over y revert-interval es el siguiente:
set auth-server cadena_nombre fail-over revert-interval nmero
donde:
cadena_nombre es el nombre del servidor de autenticacin.
nmero es la duracin de tiempo (expresada en segundos).
SecurID
En lugar de una contrasea fija, SecurID combina dos factores para crear una
contrasea que cambia dinmicamente. SecurID produce un dispositivo del tamao
de una tarjeta de crdito, conocido como autenticador, con una ventana LCD en la
que aparece una secuencia de nmeros generada aleatoriamente (un cdigo token)
que cambia cada minuto. El usuario tambin tiene un nmero de identificacin
personal (PIN). Cuando el usuario inicia sesin, introduce un nombre del usuario y
su PIN ms el cdigo token vigente.
NOTA: El dispositivo realiza la coincidencia de nombre del dominio antes del
desglosamiento.
NOTA: Esta caracterstica corresponde nicamente a los servidores RADIUS y LDAP.
Figura 10: Token de SecurID
El autenticador ejecuta un algoritmo conocido solamente por RSA para generar los
valores que aparecen en la ventana LCD. Cuando el usuario a autenticar introduce
su PIN y el nmero de su tarjeta, el servidor ACE, que tambin ejecuta el mismo
algoritmo, compara los valores recibidos con los de su base de datos. Si coinciden,
la autenticacin es correcta.
La relacin del dispositivo de seguridad con el servidor RSA SecurID

ACE es similar
a la de un dispositivo de seguridad con un servidor RADIUS. Es decir, el dispositivo
de seguridad acta como cliente, redireccionando las peticiones de autenticacin al
servidor externo para su aprobacin y retransmitiendo la informacin del inicio de
sesin entre el usuario y el servidor. SecurID se diferencia de RADIUS en que la
contrasea del usuario est asociada a un cdigo token que cambia
continuamente.
Propiedades del objeto servidor de autenticacin SecurID
SecurID tambin utiliza las propiedades descritas en la Tabla 8.
Tabla 8: Propiedades del objeto del servidor de autenticacin SecurID
Authentication Port El nmero del puerto en el servidor SecurID ACE al que el dispositivo de
seguridad enva las peticiones de autenticacin. El nmero de puerto
predeterminado es 5500.
Encryption Type El algoritmo (SDI o DES) utilizado para encriptar la comunicacin entre el
dispositivo de seguridad y el servidor SecurID ACE.
Client Retries El nmero de veces que el cliente SecurID (es decir, el dispositivo de
seguridad) intenta establecer comunicacin con el servidor SecurID ACE
antes de cancelar el intento.
Client Timeout El tiempo en segundos que el dispositivo de seguridad espera entre
sucesivos reintentos de autenticacin.
Use Duress Una opcin que impide o permite utilizar otro nmero PIN. Cuando esta
opcin est habilitada y un usuario introduce un nmero PIN de
emergencia previamente acordado (duress PIN), el dispositivo de
seguridad enva una seal al servidor SecurID ACE, indicando que el
usuario est realizando el inicio de sesin en contra de su voluntad, es
decir, bajo amenaza. El servidor SecurID ACE permite el acceso esa nica
vez y despus rechaza cualquier otro intento de inicio de sesin de ese
usuario hasta que se ponga en contacto con el administrador de SecurID.
El modo de amenaza solamente est disponible si el servidor SecurID ACE
admite esta opcin.
Dispositivo de
autenticacin SecurID
(autenticador)
El cdigo token cambia cada
60 segundos a otro nmero
pseudoaleatorio.
Los servidores SecurID ACE admiten los siguientes tipos de usuarios y
caractersticas de autenticacin:
Usuarios L2TP (autenticacin de usuarios; el usuario L2TP recibe los ajustes
L2TP predeterminados del dispositivo de seguridad)
Usuarios XAuth (autenticacin de usuarios; no admite asignaciones de ajustes
remotas)
Usuarios administradores (autenticacin de usuarios; el usuario administrador
recibe la asignacin de privilegios predeterminada: slo lectura)
Actualmente, un servidor SecurID ACE no puede asignar ajustes remotos L2TP o
XAuth ni privilegios de administrador de ScreenOS, aunque se puede utilizar un
servidor SecurID para almacenar cuentas de usuarios administradores, L2TP y
XAuth con fines de autenticacin. Asimismo, ScreenOS no admite grupos de
usuarios cuando se utiliza conjuntamente con SecurID.
Protocolo ligero de acceso a directorios
El protocolo ligero de acceso a directorios (Lightweight Directory Access Protocol o
LDAP) es un estndar de servidor de directorios desarrollado en la Universidad de
Michigan en 1996. El protocolo LDAP es un protocolo para la organizacin y acceso
a la informacin dentro de una estructura jerrquica similar a las ramas de un rbol.
Su finalidad es doble:
Para localizar recursos, como organizaciones, individuos y archivos en una red
Para ayudar a autenticar usuarios que intentan conectarse a redes controladas
por servidores de directorios
La estructura bsica de LDAP se ramifica desde el nivel de pases al de
organizaciones, luego unidades organizativas y, por ltimo, individuos. Tambin
puede haber otros niveles de ramificacin intermedios, como regiones y
provincias. La Figura 11 muestra un ejemplo de la estructura de organizacin de
ramificacin de LDAP.
Figura 11: Estructura jerrquica de LDAP
Pases
(c)
Organizaciones
(o)
Unidades
organizativas
(ou)
Individuos
(cn)
Nota: Los individuos
pueden ser
personas,
dispositivos,
archivos, etc.
cn = nombre comn.
RAZ
US
JN
Ing
ATT
JA
NTT
Mkt
Asist
Ventas
Mkt
Puede configurar el dispositivo de seguridad para enlazarse con un servidor de
protocolo ligero de acceso a directorios (LDAP). Este servidor utiliza la sintaxis
jerrquica de LDAP para identificar a cada usuario de forma inequvoca.
Propiedades del objeto servidor de autenticacin LDAP
LDAP tambin utiliza las propiedades descritas en la Tabla 9.
:
Un servidor LDAP admite los siguientes tipos de usuarios y caractersticas de
autenticacin:
Usuarios L2TP (autenticacin de usuarios; el usuario L2TP recibe los ajustes
L2TP predeterminados del dispositivo de seguridad)
Usuarios XAuth (autenticacin de usuarios; no admite asignaciones de ajustes
remotas)
Usuarios administradores (autenticacin de usuarios; el usuario administrador
recibe la asignacin de privilegios predeterminada: slo lectura)
Actualmente, un servidor LDAP no puede asignar ajustes remotos L2TP o XAuth ni
privilegios de administrador de ScreenOS, aunque se puede utilizar un servidor
LDAP para almacenar cuentas de usuarios administradores, L2TP y XAuth con fines
de autenticacin. Asimismo, ScreenOS admite grupos de usuarios cuando se utiliza
conjuntamente con LDAP.
NOTA: Para obtener informacin sobre LDAP, consulte la norma RFC 1777, Protocolo
ligero de acceso a directorios.
Tabla 9: Propiedades del objeto servidor de autenticacin LDAP
LDAP Server Port El nmero del puerto en el servidor LDAP al que el dispositivo de
Nota: Si cambia el nmero del puerto de LDAP en el dispositivo de
seguridad, cmbielo tambin en el servidor LDAP.
Common Name
Identifier
El identificador utilizado por el servidor LDAP para identificar al individuo
introducido en un servidor LDAP. Por ejemplo, una entrada uid significa
user ID (identificacin de usuario) y cn significa nombre comn.
Distinguished Name
(dn)
La ruta utilizada por el servidor LDAP antes de utilizar el identificador de
nombre comn para buscar una entrada especfica. (Por ejemplo,
c=us;o=juniper, donde c significa pas (country) y o significa
organizacin).
Sistema plus de control de acceso de control de acceso de terminal Plus (TACACS+)
El sistema plus de control de acceso del controlador de acceso de terminal
(TACACS+) es una aplicacin de seguridad que proporciona validacin centralizada
de usuarios. Los TACACS+ se actualizan en una base de datos en un demonio
TACACS+ que se ejecuta, generalmente, en una estacin de trabajo UNIX o
Windows NT.
Figura 12: Autenticacin a un servidor TACACS+
El cliente TACACS+ (es decir, el dispositivo de seguridad) autentica a usuarios
mediante una serie de comunicaciones entre el cliente y el servidor. Bsicamente,
TACACS+ pide a la persona que se est conectando que introduzca su nombre de
usuario y contrasea. Entonces compara estos valores con lo que tiene
almacenados en su base de datos y, una vez que el usuario ha sido autenticado, el
cliente proporciona al usuario acceso a los correspondientes servicios de red.
Para configurar el dispositivo de seguridad para TACACS+, debe especificar la
direccin IP del servidor TACACS+ y definir un secreto compartido (shared
secret), el mismo que haya definido en dicho servidor. El secreto compartido es
una contrasea que el servidor TACACS+ utiliza para generar una clave con la que
encriptar el trfico entre los dispositivos de seguridad y TACACS+.
TACACS+ proporciona utilidades de contabilidad, autorizacin y autenticacin
separada y modular. El soporte de TACACS+ en ScreenOS permite al servidor de
TACACS+ proporcionar autenticacin y autorizacin independientemente como se
muestra a continuacin:
Autenticacin y autorizacin
TACACS+ separa las funciones de autenticacin y autorizacin. La
autenticacin remota es compatible nicamente con los usuarios
administradores. Los administradores autenticados tienen asignado un sistema
virtual y nivel de privilegio. ScreenOS es compatible nicamente con la
autorizacin a nivel de usuario.
Configure hasta dos servidores TACACS+
Si el servidor TACACS+ principal no es alcanzable, entonces se solicita el
servidor TACACS+ de respaldo. Para obtener ms informacin, consulte
Pioridad de la autenticacin de administrador en la pgina 33.
Internet
Un usuario de
administracin solicita una
conexin a la red
protegida.
El dispositivo de seguridad utiliza
un servidor externo TACACS+
para autenticar al usuario de
administracin antes de aprobar
la peticin de conexin.
Servidor
TACACS+
Pioridad de la autenticacin de administrador 33
Propiedades del objeto del servidor TACACS+
TACACS+ tambin utiliza las propiedades descritas en la Tabla 10.
Pioridad de la autenticacin de administrador
ScreenOS le permite dar prioridad al proceso de autenticacin respecto a los
servicios de autenticacin local y remoto. La administracin define la secuencia en
la cual se consulta el servicio de autenticacin y la accin a tomar si falla el intento
inicial.
Asignacin de prioridades a los servicios de autenticacin
Establece la prioridad ms alta para autenticar al servicios de autorizacin
remoto sobre la base de datos local. Las administraciones de la raz privilegiada
pueden definir la secuencia del servicio de autenticacin (local y remota) en la
cual se intenta realizar el servicio de autenticacin de administracin. La
administracin raz establece uno de los servicios de autenticacin como
principal. El otro se convierte automticamente en un servicio secundario.
Definicin del comportamiento de respaldo
Si falla el servicio de autenticacin principal, puede configurar el dispositivo
para autenticar el servicio secundario (predeterminado) o ignorarlo. La accin
anterior se define de forma diferente para los administradores con privilegios
de raz y los administradores que no tienen privilegios de raz.
Aceptacin de los administradores autenticados externamente
Configura el dispositivo de seguridad para aceptar o no los administradores con
privilegios de raz por medio de un servidor de autenticacin remoto.
Tabla 10: Propiedades del objeto del servidor TACACS+
Shared Secret El secreto (contrasea) compartido entre el dispositivo de seguridad y el
servidor TACACS+. Los dispositivos utilizan este secreto para encriptar las
contraseas de usuarios que envan al servidor TACACS+.
TACACS+ Port El nmero del puerto en el servidor TACACS+ al que el dispositivo de
TACACS+ Retry
Timeout
El intervalo (en segundos) que el dispositivo de seguridad espera antes de
enviar otra peticin de autenticacin al servidor TACACS+ si la peticin
anterior no obtuvo ninguna respuesta. El valor predeterminado es de tres
segundos.
Client Retries El nmero de veces que el cliente de TACACS+ (es decir, el dispositivo de
seguridad) intenta establecer comunicacin con el servidor TACACS+ antes de
cancelar el intento.
Client Timeout El tiempo en segundos que el dispositivo de seguridad espera entre sucesivos
reintentos de autenticacin.
Encryption TACACS+ encripta la carga completa del intercambio del servidor del cliente.
34 Definicin de objetos de servidor de autenticacin
Autenticacin predeterminada
Si falla una autenticacin remota y est desactivada la autenticacin local,
entonces el dispositivo recurre a la autorizacin de administradores con
privilegios de raz para que sean autenticados localmente. Este procedimiento
de seguridad se restringe a la consola serie.
Definicin de objetos de servidor de autenticacin
Antes de poder referirse a servidores de autenticacin externos (servidores auth) en
directivas, puertas de enlace IKE y tneles L2TP, primero es necesario definir los
objetos del servidor de autenticacin. Los ejemplos siguientes ilustran cmo definir
los objetos del servidor de autenticacin para servidores RADIUS, servidores
SecurID, servidores LDAP y un servidor TACACS+.
Ejemplo: Servidor de autenticacin RADIUS
En el siguiente ejemplo definir un objeto de servidor de autenticacin para un
servidor RADIUS. Especificar sus tipos de cuentas de usuario como auth (de
autenticacin), L2TP y XAuth. Llamar al servidor RADIUS radius1 y aceptar el
nmero de identificacin que el dispositivo de seguridad le asigne
automticamente. Introducir su direccin IP, que es 10.20.1.100; y cambiar su
nmero de puerto predeterminado (1645) a 4500. Definir su secreto compartido
como A56htYY97kl. Tambin asignar a sus dos servidores de respaldo las
direcciones IP 10.20.1.110 y 10.20.1.120.
Modificar el valor del tiempo de espera predeterminado para la autenticacin
(10 minutos) a 30 minutos y el tiempo de espera entre reintentos de RADIUS de 3 a
4 segundos. Pero debido a que con este ajuste la sesin podra permanecer abierta
indefinidamente, en teora (mientras se enve una seal mediante una tecla cada
30 minutos), puede limitar el tiempo total de la sesin al establecer el tiempo de
espera forzado a 60 minutos. Con este ajuste, despus de una hora se elimina la
asociadas para la entrada de la tabla de autenticacin; es necesario que el usuario
se autentique de nuevo.
Tambin cargar el archivo de diccionario de RADIUS en el servidor RADIUS de
modo que admita consultas sobre los siguientes atributos especficos de cada
fabricante (VSA): grupos de usuarios, privilegios de administrador y ajustes remotos
L2TP y XAuth.
En Figura 13, el dispositivo de seguridad enva peticiones de autenticacin auth,
L2TP, y XAuth al servidor principal RADIUS, radius1, en 10.20.1.100. Si el
dispositivo de seguridad pierde conectividad de red con el servidor RADIUS
principal, desviar las peticiones de autenticacin a backup1 en la direccin
IP 10.20.1.110. Si el dispositivo de seguridad no puede comunicarse con backup1,
desviar las peticiones de autenticacin a backup2 en 10.20.1.120.
Definicin de objetos de servidor de autenticacin 35
Figura 13: Ejemplo de respaldo de RADIUS
WebUI
Configuration > Auth > Auth Servers > New Introduzca los siguientes datos y
haga clic en OK:
Name: radius1
IP/Domain Name: 10.20.1.100
Backup1: 10.20.1.110
Backup2: 10.20.1.120
Timeout: 30
Forced Timeout: 60
Account Type: Auth, L2TP, XAuth
RADIUS: (seleccione)
RADIUS Port: 4500
Retry Timeout: 4 (segundos)
Shared Secret: A56htYY97kl
Cargue el archivo de diccionario de RADIUS en el servidor RADIUS.
CLI
set auth-server radius1 type radius
set auth-server radius1 account-type auth l2tp xauth
set auth-server radius1 server-name 10.20.1.100
set auth-server radius1 backup1 10.20.1.110
set auth-server radius1 forced-timeout 60
set auth-server radius1 timeout 30
set auth-server radius1 radius port 4500
set auth-server radius1 radius timeout 4
set auth-server radius1 radius secret A56htYY97kl
save
Backup1
IP: 10.20.1.110
Nota: Slo se muestra el cableado hacia los
servidores RADIUS.
Servidor RADIUS
Nombre: radius1
IP: 10.20.1.100
Puerto: 4500
Tiempo de espera: 30 minutos
Secreto compartido:
A56htYY97kl
Tipos de cuentas: Auth, L2TP,
XAuth
Backup2
IP: 10.20.1.120
NOTA: Para obtener ms informacin, consulte Archivo de diccionario de RADIUS en la
pgina 22. Para obtener instrucciones sobre cmo cargar el archivo de diccionario
en un servidor RADIUS, consulte la documentacin especfica de su servidor.
Ejemplo: Servidor de autenticacin SecurID
En el ejemplo siguiente configurar un objeto de servidor de autenticacin para un
servidor SecurID ACE. Especificar su tipo de cuenta de usuario como admin.
Llamar al servidor securid1 y aceptar el nmero de identificacin que el
dispositivo de seguridad le asigne automticamente. Introducir la direccin IP del
servidor principal, que es 10.20.2.100 y la direccin IP de un servidor de respaldo:
10.20.2.110. Cambiar su nmero de puerto predeterminado (5500) a 15000. El
dispositivo de seguridad y el servidor SecurID ACE protegern la informacin de
autenticacin utilizando el algoritmo de encriptacin DES. Se admiten hasta tres
reintentos y un tiempo de espera del cliente de 10 segundos. Cambiar el tiempo de
espera por inactividad predeterminado (10 minutos) a 60 minutos. Desactivar el
ajuste Use Duress. Consulte la Figura 14.
NOTA: El orden en el que se introducen los tipos de cuentas es importante. Por ejemplo,
si introduce primero set auth-server radius1 account-type l2tp la nica opcin
siguiente posible es xauth, porque no se puede ingresar auth despus de l2tp. El
orden correcto puede recordarse fcilmente porque es alfabtico.
Al cambiar el nmero de puerto se pueden impedir ataques potenciales dirigidos
al nmero de puerto predeterminado de RADIUS (1645).
NOTA: Para obtener ms informacin, consulte Archivo de diccionario de RADIUS en la
pgina 22. Para obtener instrucciones sobre cmo cargar el archivo de diccionario
en un servidor RADIUS, consulte la documentacin especfica de su servidor.
NOTA: El tiempo de espera del cliente es el nmero de segundos que el cliente SecurID
(es decir, el dispositivo de seguridad) espera entre sucesivos reintentos de
autenticacin.
El valor del tiempo de espera por inactividad es el nmero de minutos que pueden
transcurrir antes de que el dispositivo de seguridad termine automticamente una
sesin de administrador inactiva. (Para obtener informacin comparativa entre los
tiempos de espera aplicados a usuarios administradores y los aplicados a otros
tipos de usuarios, consulte Propiedades del objeto servidor de autenticacin
en la pgina 18).
Figura 14: Ejemplo de respaldo de SecurID
WebUI
haga clic en OK:
Name: securid1
Backup1: 10.20.2.110
Timeout: 60
Account Type: Admin
SecurID: (seleccione)
Client Retries: 3
Client Timeout: 10 segundos
Authentication Port: 15000
Encryption Type: DES
User Duress: No
CLI
set auth-server securid1 type securid
set auth-server securid1 server-name 10.20.2.100
set auth-server securid1 backup1 10.20.2.110
set auth-server securid1 timeout 60
set auth-server securid1 account-type admin
set auth-server securid1 securid retries 3
set auth-server securid1 securid timeout 10
set auth-server securid1 securid auth-port 15000
set auth-server securid1 securid encr 1
set auth-server securid1 securid duress 0
save
Servidor SecurID
Nombre: securid1
IP: 10.20.2.100
Puerto: 15000
Encriptacin: DES
Reintentos del cliente: 3
Tiempo de espera del
cliente: 10 segundos
Tiempo de espera por
inactividad: 60 minutos
Tipos de cuentas: Admin
Backup1
IP: 10.20.2.110
servidores SecurID.
El dispositivo de seguridad enva peticiones de autenticacin de
administrador al servidor SecurID principal, securid1, en la direccin
IP 10.20.2.100.
Si el dispositivo de seguridad pierde conectividad de red con el servidor
SecurID principal, desviar las peticiones de autenticacin a backup1 en la
direccin IP 10.20.2.110.
Nota: ScreenOS solamente admite un servidor de respaldo para SecurID.
Ejemplo: Servidor de autenticacin LDAP
En el ejemplo siguiente configurar un objeto de servidor de autenticacin para un
servidor LDAP. Especificar su tipo de cuenta de usuario como auth. Llamar al
servidor LDAP ldap1 y aceptar el nmero de identificacin que el dispositivo de
seguridad le asigne automticamente. Introducir su direccin IP, que es
10.20.3.100 y cambiar su nmero de puerto predeterminado (389) a 19830.
Cambiar el valor del tiempo de espera por inactividad predeterminado
(10 minutos) a 40 minutos. Tambin asignar a sus dos servidores de respaldo las
direcciones IP 10.20.3.110 y 10.20.3.120. El identificador de nombre comn LDAP
ser cn, y el nombre completo c=us;o=juniper;ou=marketing. Consulte la
Figura 15.
Figura 15: Ejemplo de respaldo de LDAP
WebUI
haga clic en OK:
Name: ldap1
Backup1: 10.20.3.110
Backup2: 10.20.3.120
Timeout: 40
Account Type: Auth
LDAP: (seleccione)
LDAP Port: 4500
Common Name Identifier: cn
Distinguished Name (dn): c=us;o=juniper;ou=marketing
CLI
set auth-server ldap1 type ldap
set auth-server ldap1 account-type auth
set auth-server ldap1 server-name 10.20.3.100
set auth-server ldap1 backup1 10.20.3.110
set auth-server ldap1 backup2 10.20.3.120
set auth-server ldap1 timeout 40
set auth-server ldap1 ldap port 15000
set auth-server ldap1 ldap cn cn
set auth-server ldap1 ldap dn c=us;o=juniper;ou=marketing
save
El dispositivo de seguridad enva peticiones de autenticacin de usuarios
auth al servidor LDAP principal, ldap1, en la direccin IP 10.20.3.100.
Si el dispositivo de seguridad pierde conectividad de red con el servidor
LDAP principal, desviar las peticiones de autenticacin a backup1 en la
direccin IP 10.20.3.110.
Si el dispositivo de seguridad no puede comunicarse con backup1, desviar
las peticiones de autenticacin a backup2 en 10.20.3.120.
Backup1
IP: 10.20.3.110
servidores LDAP.
Servidor LDAP
Nombre: ldap1
IP: 10.20.3.100
Puerto: 19830
Nombre comn: cn
Nombre completo:
c=us;o=juniper;ou=marketing
Tipo de cuenta: Auth
Backup2
IP: 10.20.3.120
Ejemplo: Servidor de autenticacin TACACS+
En el siguiente ejemplo, definir un objeto de servidor de autenticacin para un
servidor TACACS+. Llamar al servidor TACACS+ tacacs1 y aceptar el nmero
de identificacin que el dispositivo de seguridad le asigne automticamente.
Introducir su direccin IP, que es 1.1.1.1. Definir su secreto compartido como
A56htYY97kl. Tambin asignar a sus dos servidores de respaldo las direcciones
IP 2.2.2.2 y 3.3.3.3.
Debe tener acceso a un servidor TACACS+ y configurarlo para que estn
disponibles las funciones de TACACS+ configuradas en el dispositivo.
Modificar el valor del tiempo de espera predeterminado para la autenticacin
(10 minutos) a 30 minutos y el tiempo de espera entre reintentos de TACACS+ de 3
a 4 segundos. Pero debido a que con este ajuste la sesin podra permanecer
abierta indefinidamente, en teora (mientras se enve una seal mediante una tecla
cada 30 minutos), puede limitar el tiempo total de la sesin estableciendo el tiempo
de espera forzado a 60 minutos. Con este ajuste, despus de una hora se elimina la
asociadas para la entrada de la tabla de autenticacin; es necesario que el usuario
se autentique de nuevo.
En la Figura 16, el dispositivo de seguridad enva peticiones de autenticacin de
administracin al servidor TACACS+ principal, tacacs1, en 1.1.1.1. Si el
dispositivo de seguridad pierde conectividad de red con el servidor TACACS+
principal, desviar las peticiones de autenticacin a backup1 en la direccin
IP 2.2.2.2. Si el dispositivo de seguridad no puede comunicarse con backup1,
desviar las peticiones de autenticacin a backup2 en 3.3.3.3.
Figura 16: Ejemplo de respaldo de TACACS+
Backup1
IP: 2.2.2.2
Nota: nicamente se muestra el cableado hacia los
servidores TACACS+.
Servidor TACACS+
Nombre: tacacs1
IP: 1.1.1.1
Puerto: 49
Secreto compartido:
A56htYY97kl
Tipo de cuenta: admin
Backup2
IP: 3.3.3.3
El dispositivo de seguridad enva peticiones de autenticacin de
administracin al servidor TACACS+ principal, tacacs1, en
1.1.1.1.
Si el dispositivo de seguridad pierde conectividad de red con el
servidor TACACS+ principal, ste desviar entonces las
peticiones de autenticacin a backup1 en la direccin IP 2.2.2.2.
Si el dispositivo de seguridad no puede comunicarse con
backup1, ste desviar entonces las peticiones de autenticacin
a backup2 en 3.3.3.3.
40 Definicin de los servidores de autenticacin predeterminados
WebUI
haga clic en OK:
Name: tacacs1
Backup1: 2.2.2.2
Backup2: 3.3.3.3
Timeout: 10
Forced Timeout: 60
Account Type: administradores
TACACS: (seleccione)
TACACS Port: 49
Retry Timeout: 4 (segundos)
CLI
set auth-server tacacs1 type tacacs
set auth-server tacacs1 account-type auth l2tp xauth
set auth-server tacacs1 server-name 1.1.1.1
set auth-server tacacs1 backup1 2.2.2.2
set auth-server tacacs1 backup2 3.3.3.3
set auth-server tacacs1 forced-timeout 60
set auth-server tacacs1 timeout 10
set auth-server tacacs1 tacacs port 49
set auth-server tacacs1 tacacs timeout 4
set auth-server tacacs1 tacacs secret A56htYY97kl
set admin auth server tacacs1
save
Definicin de los servidores de autenticacin predeterminados
De forma predeterminada, la base de datos local es el servidor de autenticacin
predeterminado para todos los tipos de usuarios. Puede especificar servidores de
autenticacin externos como servidores predeterminados para la autenticacin de
uno o ms de los siguientes tipos de usuarios:
Admin
Auth
L2TP
XAuth
802.1x
NOTA: Cambiando el nmero de puerto se pueden impedir ataques potenciales dirigidos
al nmero de puerto predeterminado de TACACS+ (49).
Definicin de los servidores de autenticacin predeterminados 41
Si posteriormente desea utilizar el servidor de autenticacin predeterminado para
un tipo de usuario determinado al configurar la autenticacin en directivas, tneles
L2TP o puertas de enlace IKE, no necesitar especificar un servidor de
autenticacin en cada configuracin. El dispositivo de seguridad establecer las
referencias apropiadas a los correspondientes servidores de autenticacin
designados previamente como predeterminados.
Ejemplo: Cambiar los servidores de autenticacin predeterminados
En este ejemplo se utilizan los objetos de servidores de autenticacin RADIUS,
SecurID y LDAP creados en los ejemplos anteriores:
radius1 (Ejemplo: Servidor de autenticacin RADIUS en la pgina 34)
securid1 (Ejemplo: Servidor de autenticacin SecurID en la pgina 36)
ldap1 (Ejemplo: Servidor de autenticacin LDAP en la pgina 38)
A continuacin asignar la base de datos local, radius1, securid1 y ldap1 como
servidores predeterminados para los siguientes tipos de usuarios:
Local: Servidor de autenticacin predeterminado para usuarios XAuth
radius1: Servidor de autenticacin predeterminado para usuarios L2TP
securid1: Servidor de autenticacin predeterminado para usuarios con
permisos de administrador
ldap1: Servidor de autenticacin predeterminado para usuarios de
autenticacin (Auth)
WebUI
VPNs > AutoKey Advanced > XAuth Settings: Seleccione Local en la lista
desplegable Default Authentication Server, luego haga clic en Apply.
VPNs > L2TP > Default Settings: Seleccione radius1 en la lista desplegable
Default Authentication Server, luego haga clic en Apply.
Configuration > Admin > Administrators: Seleccione Local/securid1 en la lista
desplegable Admin Auth Server, luego haga clic en Apply.
Configuration > Auth > Firewall: Seleccione ldap1 en la lista desplegable
Default Authentication Server, luego haga clic en Apply.
NOTA: De forma predeterminada, la base de datos local es el servidor de autenticacin
predeterminado para todos los tipos de usuarios. Por lo tanto, a menos que haya
asignado previamente un servidor de autenticacin externo como servidor
predeterminado para los usuarios XAuth, no necesita configurarlo como tal.
42 Definicin de los servidores de autenticacin predeterminados
CLI
set xauth default auth server Local
set l2tp default auth server radius1
set admin auth server securid1
set auth default auth server ldap1
save
NOTA: De forma predeterminada, la base de datos local es el servidor de autenticacin
predeterminado para todos los tipos de usuarios. Por lo tanto, a menos que haya
asignado previamente un servidor de autenticacin externo como servidor
predeterminado para los usuarios XAuth, no necesita configurarlo como tal.
Solucin de control de acceso unificado 43
Captulo 3
Autenticacin de infranet
Este captulo trata de cmo se implementa el dispositivo de seguridad en una
solucin de control de acceso unificado (UAC). La solucin de control de acceso
unificado de Juniper Networks garantiza y asegura la entrega de aplicaciones y
servicios a travs de infranet empresarial. La solucin UAC es una infraestructura
empresarial basada en IP que coordina la red, aplicacin e inteligencia de punto
final, as como proporciona el control que se requiere para dar soporte a las
aplicaciones de red, administrar el uso de la red y reducir las amenazas.
Para obtener ms informacin sobre cmo configurar e implementar la solucin de
control de acceso unificado (UAC), consulte el manual Unified Access Control
Administration Guide.
Este captulo incluye las siguientes secciones:
Solucin de control de acceso unificado en esta pgina
Funcionamiento del cortafuegos con el controlador de infranet en la
pgina 45
Configuracin de la autenticacin de infranet en la pgina 46
Solucin de control de acceso unificado
En la implementacin del control de acceso unificado, su dispositivo de seguridad
opera con el controlador de Infranet para reforzar las directivas. El dispositivo de
seguridad, tambin conocido como Infranet Enforcer, se implementa en frente de
los servidores y recursos que usted quiere proteger, tal como se muestra en
Figura 17.
Para obtener ms informacin sobre la solucin de Control de acceso unificado,
controlador de Infranet, consulte el manual Unified Access Control Administration
Guide.
44 Solucin de control de acceso unificado
Figura 17: Implementacin del dispositivo de seguridad para la autenticacin de infranet
El dispositivo de seguridad y el controlador de Infranet trabajan juntos para
proporcionar seguridad de punto final granular y servicios de cortafuegos para
permitir que slo los usuarios finales calificados tengan acceso a los recursos
protegidos.
Por ejemplo, puede configurar el controlador de infranet con los roles que definen
el nivel de acceso, tal como el acceso completo a los recursos protegidos para un ro
de empleados, y acceso limitado a un rol de empleados temporales. Tambin puede
crear directivas en el controlador de infranet que requieran puntos finales para
satisfacer ciertos requisitos de seguridad, o incluso negarles acceso a los recursos
protegidos. Por ejemplo, es posible que necesite que un punto final utilice una
versin mnima de una aplicacin de antivirus y que cuente con definiciones
actualizadas del antivirus. Si el punto final no cumple con los requisitos de
seguridad, puede mostrar una pgina que instruya al usuario sobre cmo lograr que
su punto final los cumpla.
El dispositivo de seguridad permite o rechaza el acceso a los recursos en funcin del
rol y del cumplimiento con la seguridad del punto final. El dispositivo de seguridad
se conecta con el controlador de Infranet a travs de una conexin SSH que utiliza
el protocolo de notificacin de cambio de direccin de NetScreen (NACN). Para
configurar una conexin entre dos dispositivos, consulte el manual Unified Access
Control Administration Guide.
R
CONSOLE
PWR HD TEMP
Internet/LAN
Controlador de infranet
(Infranet Enforcer)
Solicitud
de acceso
a travs de
NCP
Transporte encriptado
autenticado a travs de IPSec
Recursos
protegidos
Agente de infranet
en Windows
Directivas en SSH
Funcionamiento del cortafuegos con el controlador de infranet 45
Captulo 3: Autenticacin de infranet
Funcionamiento del cortafuegos con el controlador de infranet
Esta seccin explica cmo funcionan juntos el cortafuegos (dispositivo de seguridad
de Juniper Networks) y el controlador de Infranet para establecer comunicaciones y
aplicar las directivas de seguridad:
1. Durante el arranque, el dispositivo de seguridad se conecta al controlador de
Infranet a travs de una conexin SSL al utilizar el protocolo NACN.
Puede configurar el dispositivo de seguridad para que trabaje hasta con ocho
instancias de controlador de Infranet. El dispositivo de seguridad slo se
comunica con un controlador de Infranet a la vez; los dems se utilizan para
hacer una conmutacin por error dentro de un clster del controlador de
Infranet. Si el dispositivo de seguridad no se puede conectarse con el primer
controlador de Infranet, lo intenta con el siguiente en su lista de configuracin
hasta que se logre la conexin. Todos los controladores de infranet que estn
configurados en el dispositivo de seguridad deberan ser miembros del mismo
clster de controladores de infranet.
2. Despus de que el dispositivo de seguridad establece con xito una conexin
NACN con el controlador de Infranet, ste abre una conexin SSH con el
dispositivo de seguridad. El controlador de Infranet utiliza esta conexin SSH
para enviar la informacin de las directivas y autenticacin del usuario al
dispositivo de seguridad.
3. Cada vez que el controlador de Infranet autentica un usuario y verifica que el
equipo del usuario cumple con las directivas de seguridad de punto final, el
controlador de Infranet enva informacin de autenticacin del usuario al
dispositivo de seguridad. Esta informacin incluye una entrada de tabla de
autenticacin para cada usuario autenticado.
Una entrada de la tabla de autenticacin se compone de los roles del usuario y
la direccin IP de origen. La puerta de enlace IKE, VPN y la directiva de
autenticacin de infranet del tnel permiten que el punto final del usuario
establezca un tnel IPSec con el dispositivo de seguridad para proteger el
trfico de la red.
4. Cuando el dispositivo de seguridad detecta trfico desde un usuario que
coincide con una directiva de autenticacin de infranet, ste utiliza la entrada
de la tabla de autenticacin del usuario, junto con las directivas de acceso que
se aplican al recurso protegido, para determinar si se permite que el usuario
tenga acceso al recurso protegido.
Adems de las acciones para permitir y rechazar, la directiva del controlador de
infranet le permite asociar elementos de accin adicionales, como DI, IDP, AV,
registro, filtrado de web y antispam al controlador de infranet. Antes de
configurar el controlador de intranet para estas acciones, debe configurar una
directiva de cortafuegos para los elementos de accin asociados y configurar el
dispositivo para la autenticacin de infranet.
La directiva del controlador de infranet puede activar o desactivar funciones
especficas de la directiva de cortafuegos. Por ejemplo, si la accin de AV se
define para la directiva de acceso del controlador de Infranet (opciones
Resource policies>ScreenOS), el cortafuegos analiza el trfico de usuarios en
busca de virus, pero sin realizar DI, IDP, registro, filtrado de web o antispam.
46 Configuracin de la autenticacin de infranet
5. Conforme es necesario, el controlador de Infranet enva comandos al
dispositivo de seguridad para que elimine las directivas o las entradas de la
tabla de autenticacin, as como para que deniegue el acceso a los recursos
protegidos. Por ejemplo, esto puede suceder cuando el equipo del usuario no es
compatible con las directivas de seguridad del punto final o cuando pierde su
conexin con el controlador de Infranet, cuando usted cambia la configuracin
del papel de un usuario o, cuando desactiva todas las cuentas del usuario en el
controlador de Infranet en respuesta a un problema de seguridad, tal como un
virus en la red.
Para obtener ms detalles, consulte el manual Unified Access Control Administration
Guide.
Configuracin de la autenticacin de infranet
A continuacin se muestran las tareas que se requieren para configurar un
dispositivo de seguridad para la autenticacin en Infranet:
Establecer el dispositivo de seguridad en el modo de rutas o transparente
Asociar una interfaz a una zona de seguridad
Configurar los ajustes del servidor de autoridad de certificacin
Crear una instancia del controlador de infranet en el modo de rutas
Visualizar la configuracin de una instancia del controlador de infranet
Configurar una directiva basada en IP de origen
Configurar una directiva en el Infranet Enforcer
Configurar un portal cautivo en el dispositivo de seguridad
Debe tener acceso a la raz para poder ejecutar las tareas anteriores. Para obtener
ms detalles, consulte el manual Unified Access Control Administration Guide.
47
Captulo 4
Un usuario de autenticacin (o auth user) es un usuario de red que debe
proporcionar un nombre de usuario y la contrasea para autenticarse al iniciar una
conexin a travs del cortafuegos. Las cuentas de usuarios de autenticacin se
pueden almacenar en la base de datos local o en el servidor RADIUS, SecurID o
LDAP externo.
Puede agrupar varias cuentas de usuarios de autenticacin para crear un grupo de
usuarios auth, el cual puede guardar en la base de datos local o en un servidor
RADIUS. Una sola cuenta de usuario de autenticacin puede estar asociada a hasta
cuatro grupos de usuarios en la base de datos local o en un servidor RADIUS. Si crea
un grupo de usuarios externo en un servidor RADIUS, tambin debe crear un grupo
idntico (pero vaco) de usuarios en el dispositivo de seguridad. Por ejemplo, si
define un grupo de usuarios de autenticacin denominado au_grp1 en un
servidor RADIUS llamado rs1 y agrega 10 miembros al grupo, en el dispositivo de
seguridad deber definir un grupo de usuarios de autenticacin denominado
tambin au_grp1, identificndolo como grupo externo de usuarios, pero sin
agregarle ningn miembro. Cuando consulte el grupo de usuarios externos
au_grp1 y el servidor de autenticacin rs1 en una directiva, el dispositivo de
seguridad podr consultar correctamente al servidor RADIUS especificado cada vez
que el trfico descrito por la directiva provoque una comprobacin de
autenticacin. Este captulo consta de las siguientes secciones:
Referencias a usuarios autenticados en directivas en la pgina 48
Autenticacin en tiempo de ejecucin en la pgina 48
Autenticacin de comprobacin previa a la directiva (WebAuth) en la
pgina 49
Referencias a grupos de usuarios de autenticacin en directivas en la
pgina 50
Ejemplo: Autenticacin en tiempo de ejecucin (usuario local) en la
pgina 51
Ejemplo: Autenticacin en tiempo de ejecucin (grupo de usuarios
locales) en la pgina 53
Ejemplo: Autenticacin en tiempo de ejecucin (usuario externo) en la
pgina 54
48 Referencias a usuarios autenticados en directivas
Ejemplo: Autenticacin en tiempo de ejecucin (grupo de usuarios
externos) en la pgina 56
Ejemplo: Usuario de autenticacin local en mltiples grupos en la
pgina 58
Ejemplo: WebAuth (grupo de usuarios locales) en la pgina 61
Ejemplo: WebAuth (grupo de usuarios externos) en la pgina 62
Ejemplo: WebAuth + SSL solamente (grupo de usuarios externos) en la
pgina 65
Referencias a usuarios autenticados en directivas
Despus de haber definido un usuario de autenticacin, podr crear una directiva
que obligue al usuario a autenticarse por medio de uno de los dos esquemas de
autenticacin. El primer esquema autentica a los usuarios cuando llega al
dispositivo de seguridad trfico FTP, HTTP o Telnet que coincida con alguna
directiva que requiere autenticacin. En el segundo esquema, los usuarios se
autentican antes de enviar trfico (de cualquier clase, no slo FTP, HTTP o Telnet)
que coincida con alguna directiva que requiera autenticacin.
Autenticacin en tiempo de ejecucin
Cuando un usuario intenta iniciar una peticin de conexin HTTP, FTP o Telnet que
coincida con alguna directiva que requiera autenticacin, el dispositivo de
seguridad intercepta la peticin y pide al usuario que introduzca un nombre y una
contrasea (consulte Autenticacin de usuarios en la pgina 2-172). Antes de
conceder el permiso, el dispositivo de seguridad comprueba el nombre de usuario y
la contrasea comparndolos con los almacenados en la base de datos local o en un
servidor de autenticacin externo. Consulte la Figura 18.
Figura 18: Bsqueda de directivas para un usuario
Origen del
paquete
Bfer
Nombre: ??
Contrasea: ??
Nombre: **
Contrasea: **
Mensaje de
xito
Motor de
directivas
BD local
o Servidor de
autenticacin
externo
Destino
del paquete
1.2.2.2
Referencias a usuarios autenticados en directivas 49
Captulo 4: Usuarios de autenticacin
1. El usuario de autenticacin enva un paquete FTP, HTTP o Telnet a la direccin
1.2.2.2.
2. El dispositivo de seguridad intercepta el paquete, detecta que su directiva
requiere autenticacin en la base de datos local o en un servidor externo,
y guarda el paquete en un bfer.
3. El dispositivo de seguridad pide al usuario la informacin de inicio de sesin
mediante FTP, HTTP o Telnet.
4. El usuario responde con un nombre de usuario y una contrasea.
5. El dispositivo de seguridad comprueba si en su base de datos local existe la
cuenta de usuario de autenticacin o enva la informacin de inicio de sesin al
servidor de autenticacin externo segn lo especificado en la directiva.
6. Si encuentra alguna coincidencia (o recibe un aviso de coincidencia desde el
servidor de autenticacin externo), el dispositivo de seguridad informa al
usuario de que el inicio de sesin ha sido correcto.
7. Seguidamente, el dispositivo de seguridad redirecciona el paquete de su bfer a
su destino 1.2.2.2.
Autenticacin de comprobacin previa a la directiva (WebAuth)
Antes de enviar trfico al destino previsto, los usuarios de autenticacin inician una
sesin HTTP en la direccin IP que contiene la funcin WebAuth en el dispositivo de
seguridad y se autentican. Una vez el dispositivo de seguridad haya autenticado al
usuario, ste puede enviar trfico al destino segn lo permitido por una directiva
que requiere autenticacin va WebAuth. Consulte la Figura 19.
Figura 19: Ejemplo de WebAuth
HTTP a 10.1.1.21
WebAuth
10.1.1.21
Nombre: ??
Contrasea: ??
Nombre: **
Contrasea: **
Mensaje de xito
6. El usuario de autenticacin
inicia una conexin a 1.2.2.2.
Motor de
directivas
BD local
o
Servidor de
autenticacin
externo
1 5. El usuario de autenticacin se conecta a la direccin
IP 10.1.1.21 de WebAuth e inicia una sesin correctamente.
(El dispositivo de seguridad comprueba la cuenta del usuario
de autenticacin en la base de datos especificada: la base de
datos local o el servidor de autenticacin externo).
7. El motor de directivas detecta que la directiva aplicable a este trfico
requiere una autenticacin a travs de WebAuth. Comprueba su lista de
usuarios autenticados, descubre que el usuario est actualmente
autenticado a travs de WebAuth y enva el trfico a su destino.
1.2.2.2
50 Referencias a grupos de usuarios de autenticacin en directivas
Algunos detalles sobre WebAuth:
Puede dejar la base de datos local como servidor de autenticacin
predeterminado de WebAuth o elegir un servidor de autenticacin externo para
este papel. El requisito principal para un servidor de autenticacin de WebAuth
es que, entre sus tipos de cuentas, debe incluir usuarios de autenticacin.
La direccin de WebAuth debe estar en la misma subred que la interfaz que
desea utilizar para hospedarlo. Por ejemplo, si desea que los usuarios de
autenticacin se conecten a WebAuth a travs de ethernet3, que tiene la
direccin IP 1.1.1.1/24, puede asignar a WebAuth una direccin IP en la subred
1.1.1.0/24.
Puede poner una direccin de WebAuth en la misma subred que la direccin IP
de cualquier interfaz, subinterfaz o interfaz de seguridad virtual (VSI) fsica.
(Para obtener informacin sobre diversos tipos de interfaces, consulte
Interfaces en la pgina 2-33).
Si desea utilizar WebAuth mientras est en modo transparente, puede poner
una direccin de WebAuth en la misma subred que la direccin IP de VLAN1.
Puede poner direcciones de WebAuth en mltiples interfaces.
Si tiene varias interfaces asociadas a la misma zona de seguridad, puede poner
una direccin de WebAuth en una subred de una interfaz; seguir recibiendo el
trfico procedente de la misma zona pero a travs de otra interfaz.
Recuerde que despus de autenticar a un usuario en una determinada direccin
IP de origen, el dispositivo de seguridad permitir posteriormente el trfico de
cualquier otro usuario en esa misma direccin, segn lo especificado en la
directiva que exige autenticacin a travs de WebAuth. Este caso puede darse si
los usuarios originan trfico desde detrs de un dispositivo NAT que cambia
todas las direcciones de origen originales a una sola direccin traducida.
Puede hacer que el dispositivo acepte solamente conexiones SSL (HTTPS) para
las sesiones WebAuth.
Referencias a grupos de usuarios de autenticacin en directivas
Para administrar un determinado nmero de usuarios de autenticacin, puede
crear grupos de usuarios de autenticacin y almacenarlos en el dispositivo de
seguridad local o en un servidor RADIUS externo.
NOTA: Si almacena usuarios en grupos en un servidor RADIUS, deber crear tambin
grupos de usuarios externos vacos en el dispositivo de seguridad con nombres
que correspondan a los de los grupos de usuarios previamente creados en el
servidor RADIUS.
Referencias a grupos de usuarios de autenticacin en directivas 51
En lugar de administrar cada usuario individualmente, puede agrupar usuarios en
un grupo para que cualquier cambio realizado en ste se propague a todos sus
miembros. Un usuario de autenticacin puede ser miembro de hasta cuatro grupos
de usuarios en la base de datos local o en un servidor RADIUS. Un usuario de
autenticacin perteneciente a ms de un grupo deber indicar un nombre de
usuario y una contrasea solamente una vez antes de ser autorizado a acceder a los
recursos definidos para cada grupo de los que es miembro. Consulte la Figura 20.
Figura 20: Grupos de usuarios de autenticacin
Ejemplo: Autenticacin en tiempo de ejecucin (usuario local)
En este ejemplo definir un usuario de autenticacin local llamado louis con la
contrasea iDa84rNk y una direccin denominada host1 en la libreta de
direcciones de la zona Trust. Seguidamente, configurar dos directivas de trfico
saliente: una que rechace todo el trfico saliente y otra de host1 pidiendo a
louis que se autentique. (Louie iniciar todo el trfico saliente desde el host1). El
dispositivo de seguridad rechazar el trfico saliente de cualquier otra direccin, as
como el trfico no autenticado procedente de host1.
WebUI
1. Usuario de autenticacin y direccin locales
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
en OK:
User name: louis
Status: Enable
Authentication User: (seleccione)
User Password: iDa84rNk
Confirm Password: iDa84rNk
ID
ID
Alice
VPN Dialup User
Password: Cwb6yooN21
User Group: Western
Encryption: 3DES
Authentication: SHA-1
SPI (local): 3300
SPI (remote): 3301
Contrasea: Cwb6yooN21
Grupo de usuario: Western
Encriptacin: 3DES
Autenticacin: SHA-1
SPI (local): 3300
SPI (remoto): 3301
Vpn TELEFNICA
Directiva
Alice
Encriptacin: 3DES
Autenticacin: SHA-1
SPI (local): 1000
SPI (remoto): 1001
Vpn TELEFNICA
Directiva
Dan
Encriptacin: 3DES
Autenticacin: SHA-1
SPI (local): 4800
SPI (remoto): 4801
Vpn TELEFNICA
Directiva
Christine
1 Directiva por usuario de autenticacin 1 Directiva por grupo de usuarios de autenticacin
Directiva
Address Name: host1
Zone: Trust
2. Directivas
Source Address:
Service: ANY
Action: Rechazado
Source Address:
Address Book Entry: (seleccione), host1
Service: ANY
Action: Permit
bsica:
Use: Local
User: (seleccione), Local Auth User - louis
CLI
1. Usuario local y direccin
set user louis password iDa84rNk
set address trust host1 10.1.1.4/32
2. Directivas
set policy from trust to untrust any any any deny
set policy top from trust to untrust host1 any any permit auth user louis
save
NOTA: De forma predeterminada, todo usuario al que se asigna una contrasea entra en
la categora de usuarios de autenticacin.
Ejemplo: Autenticacin en tiempo de ejecucin (grupo de usuarios locales)
En este ejemplo definir un grupo de usuarios locales llamado auth_grp1.
Agregar los usuarios de autenticacin previamente creados louis y lara al
grupo. Despus configurar una directiva que haga referencia a auth_grp1. La
directiva otorgar los privilegios FTP-GET y FTP-PUT a authg_grp1, con el nombre
de direccin auth_grp1 (direccin IP 10.1.8.0/24) en la zona Trust para acceder a
un servidor FTP llamado ftp1 (direccin IP 1.2.2.3/32) de la zona DMZ.
WebUI
1. Grupo de usuarios locales y miembros
Objects > Users > Local Groups > New: Escriba auth_grp1 en el campo
Group Name, haga lo siguiente y luego haga clic en OK:
Seleccione louis y utilice el botn << para trasladarlo de la columna
Available Members a la columna Group Members.
Seleccione lara y utilice el botn << para trasladarla de la columna
2. Direccin
Address Name: auth_grp1
Zone: Trust
Address Name: ftp1
Zone: DMZ
NOTA: Cuando crea un grupo de usuarios en la base de datos local, su tipo de usuario
permanece sin definir hasta que se le agrega un usuario. En ese momento, el
grupo de usuarios asume el tipo o los tipos de usuarios que le agregue. Puede
crear grupos de usuarios de mltiples tipos agregando los tipos de usuarios Auth,
IKE, L2TP y XAuth. No puede combinar los usuarios administradores con ningn
otro tipo de usuarios.
3. Directiva
Policy > Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), auth_grp1
Address Book Entry: (seleccione), ftp1
Service: FTP
Action: Permit
bsica:
Use: Local
User Group: (seleccione), Local Auth Group - auth_grp1
CLI
1. Grupo de usuarios locales y miembros
set user-group auth_grp1 location local
set user-group auth_grp1 user louis
set user-group auth_grp1 user lara
2. Direccin
set address trust auth_grp1 10.1.8.0/24
set address dmz ftp1 1.2.2.3/32
3. Directiva
set policy top from trust to dmz auth_grp1 ftp1 ftp permit auth user-group
auth_grp1
save
Ejemplo: Autenticacin en tiempo de ejecucin (usuario externo)
En este ejemplo definir un servidor de autenticacin externo LDAP llamado
x_srv1 con los atributos siguientes:
Account type: auth
IP Address: 10.1.1.100
Backup1 IP address: 10.1.1.110
Backup2 IP address: 10.1.1.120
Authentication timeout: 60 minutes
LDAP port number: 14500
Common name identifier: cn
Distinguished name: c=us;o=netscreen
Asignar al usuario de autenticacin euclid la contrasea eTcS114u en el servidor
de autenticacin externo. Despus configurar una directiva saliente que requiera
autenticacin en el servidor de autenticacin x_srv1 para el usuario externo
euclid.
WebUI
1. Servidor de autenticacin
haga clic en OK:
Name: x_srv1
Backup1: 10.1.1.110
Backup2: 10.1.1.120
Timeout: 60
Account Type: Auth
LDAP: (seleccione)
LDAP Port: 14500
Common Name Identifier: cn
Distinguished Name (dn): c=us;o=netscreen
2. Usuario externo
Defina el usuario de autenticacin euclid con la contrasea eTcS114u en el
servidor de autenticacin LDAP externo x_serv1.
3. Direccin
Address Name: euc_host
Zone: Trust
4. Directiva
Source Address:
Service: ANY
Action: Permit
bsica:
Use: x_srv1
User: (seleccione), External User
External User: euclid
CLI
set auth-server x_srv1
set auth-server x_srv1 type ldap
set auth-server x_srv1 account-type auth
set auth-server x_srv1 server-name 10.1.1.100
set auth-server x_srv1 backup1 10.1.1.110
set auth-server x_srv1 backup2 10.1.1.120
set auth-server x_srv1 timeout 60
set auth-server x_srv1 ldap port 14500
set auth-server x_srv1 ldap cn cn
set auth-server x_srv1 ldap dn c=us;o=netscreen
2. Usuario externo
Defina el usuario de autenticacin euclid con la contrasea eTcS114u en el
servidor de autenticacin LDAP externo x_serv1.
3. Direccin
set address trust euc_host 10.1.1.20/32
4. Directiva
set policy top from trust to untrust euc_host any any auth server x_srv1 user euclid
save
Ejemplo: Autenticacin en tiempo de ejecucin (grupo de usuarios externos)
En este ejemplo configurar un servidor de autenticacin RADIUS externo
denominado radius1y definir un grupo de usuarios de autenticacin externo
llamado auth_grp2. Tambin definir el grupo de usuarios de autenticacin
externo auth_grp2 en dos sitios:
1. Servidor de autenticacin RADIUS externo radius1
2. Dispositivo de seguridad
Alimentar el grupo de usuarios de autenticacin auth_grp2 solamente con los
usuarios de autenticacin del servidor RADIUS, dejando el grupo vaco en el
dispositivo de seguridad. Los miembros de este grupo son contables que requieren
acceso exclusivo a un servidor en la direccin IP 10.1.1.80. Crear una entrada en
la libreta de direcciones para el servidor y llamar a la direccin midas. Luego
configurar una directiva entre zonas que slo permitir trfico autenticado de
auth_grp2 a midas, ambos en la zona Trust. (Para obtener ms informacin
sobre las directivas dentro de zonas, consulte Directivas en la pgina 2-161).
NOTA: La configuracin del servidor de autenticacin de RADIUS es casi idntica a la
descrita en el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34, salvo
que en este ejemplo solamente se especificar auth como tipo de cuenta de
usuario.
Servidor RADIUS
1. Cargue el archivo de diccionario de RADIUS en el servidor RADIUS.
2. Despus de definir las cuentas de los usuarios de autenticacin en el servidor
RADIUS, utilice la VSA del grupo de usuarios de ScreenOS para crear el grupo
de usuarios auth_grp2 y aplquelo a las cuentas de usuarios de autenticacin
que desee agregar a dicho grupo.
WebUI
haga clic en OK:
Name: radius1
Backup1: 10.20.1.110
Backup2: 10.20.1.120
Timeout: 30
Account Type: Auth
RADIUS Port: 4500
2. Grupo de usuarios externos
Objects > Users > External Groups > New: Introduzca los siguientes datos y
haga clic en OK:
Group Name: auth_grp2
Group Type: Auth
3. Direccin
Address Name: midas
Zone: Trust
NOTA: Para obtener ms informacin sobre el archivo de diccionario de RADIUS,
consulte el Archivo de diccionario de RADIUS en la pgina 22. Para obtener
instrucciones sobre cmo cargar el archivo de diccionario en un servidor RADIUS,
consulte la documentacin del servidor RADIUS.
Si est utilizando un servidor IAS RADIUS de Microsoft, no hay que cargar ningn
archivo de diccionario, sino que deber definir los atributos correctos especficos
de cada fabricante (VSAs) en el servidor.
4. Directiva
Policy > Policies > (From: Trust, To: Trust) New: Introduzca los siguientes
Source Address:
Address Book Entry: (seleccione), midas
Service: ANY
Action: Permit
bsica:
Use: radius1
User Group: (seleccione), External Auth Group - auth_grp2
CLI
set auth-server radius1 account-type auth
2. Grupo de usuarios externos
set user-group auth_grp2 location external
set user-group auth_grp2 type auth
3. Direccin
set address trust midas 10.1.1.80/32
4. Directiva
set policy top from trust to trust any midas any permit auth server radius1
user-group auth_grp2
save
Ejemplo: Usuario de autenticacin local en mltiples grupos
En este ejemplo definir un usuario de autenticacin local llamado Mary. Mary es
jefa de ventas y necesita acceso a dos servidores: el servidor A, dedicado al equipo
de agentes comerciales (grupo agentes_ventas) y el servidor B, dedicado a los
directivos (grupo jefes_ventas). Para proporcionarle acceso a ambos, agregar a
Mary a ambos grupos de usuarios. Luego crear dos directivas, una para cada
grupo.
NOTA: Este ejemplo no muestra la configuracin de los otros miembros del grupo.
WebUI
1. Local User
en OK:
User Name: mary
Status: Enable
Authentication User: (seleccione)
User Password: iFa8rBd
Confirm Password: iFa8rBd
2. Grupos de usuarios locales y miembros
Objects > Users > Local Groups > New: Escriba jefes_ventas en el campo
Seleccione mary y utilice el botn << para trasladarla de la columna
Objects > Users > Local Groups > New: Escriba agentes_ventas en el campo
Seleccione mary y utilice el botn << para trasladarla de la columna
3. Direcciones
Address Name: ventas
Zone: Trust
Address Name: server_a
Zone: Untrust
Address Name: server_b
Zone: Untrust
4. Directivas
Policy > Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes
Source Address:
Address Book Entry: (seleccione), ventas
Address Book Entry: (seleccione), server_a
Service: FTP
Action: Permit
bsica:
Use: Local
User Group: (seleccione), Local Auth Group - agentes_ventas
Policy > Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes
Source Address:
Address Book Entry: (seleccione), ventas
Address Book Entry: (seleccione), server_b
Service: FTP
Action: Permit
bsica:
Use: Local
User Group: (seleccione), Local Auth Group - jefes_ventas
CLI
1. Local User
set user mary password iFa8rBd
2. Grupos de usuarios locales y miembros
set user-group jefes_ventas location local
set user-group jefes_ventas user mary
set user-group agentes_ventas location local
set user-group agentes_ventas user mary
3. Direcciones
set address trust ventas 10.1.8.0/24
set address untrust server_a 1.1.1.5/32
set address untrust server_b 1.1.1.6/32
4. Directiva
set policy top from trust to untrust ventas server_a ftp permit auth user-group
sales_reps
set policy top from trust to untrust ventas server_b ftp permit auth user-group
jefes_ventas
save
Ejemplo: WebAuth (grupo de usuarios locales)
En este ejemplo se requiere de los usuarios una autenticacin previa utilizando el
mtodo de WebAuth antes de iniciar un trfico saliente hacia Internet. Crear un
grupo de usuarios denominado auth_grp3 en la base de datos local del dispositivo
de seguridad. Despus crear las cuentas de usuarios de autenticacin para cada
miembro en la zona Trust y las agregar a auth_grp3.
La interfaz de la zona Trust utiliza ethernet1 y tiene la direccin IP 10.1.1.1/24. Le
asignar 10.1.1.50 como direccin IP de WebAuth y seguir utilizando la base de
datos local como servidor predeterminado de WebAuth. Por lo tanto, antes de que
un usuario pueda iniciar un trfico hacia Internet, primero deber establecer una
conexin HTTP a 10.1.1.50 e iniciar una sesin con un nombre de usuario y
contrasea. Seguidamente, el dispositivo de seguridad comparar el nombre de
usuario y la contrasea introducidos con los de su base de datos y aprobar o
rechazar la peticin de autenticacin. Si aprueba la peticin, el usuario autenticado
dispondr de 30 minutos para iniciar el trfico en Internet. Despus de terminar la
sesin inicial, el usuario tendr otros 30 minutos para iniciar otra sesin antes de
que el dispositivo de seguridad le exija que se autentique de nuevo.
WebUI
1. WebAuth
Configuration > Auth > WebAuth: Seleccione Local en la lista desplegable
WebAuth Server y haga clic en Apply.
Network > Interfaces > Edit (para ethernet1): Seleccione WebAuth y, en el
campo WebAuth IP, escriba 10.1.1.50.
Configuration > Auth > Auth Servers > Edit (para Local): Escriba 30 en el
campo Timeout y haga clic en Apply.
2. Grupo de usuarios
Objects > Users > Local Groups > New: Escriba auth_grp3 en el campo
Seleccione el user name y utilice el botn << para trasladarlo de la
columna Available Members a la columna Group Members.
Repita el proceso de seleccin, agregando usuarios de autenticacin hasta
que el grupo est completo.
3. Directiva
Source Address:
Service: ANY
Action: Permit
bsica:
WebAuth: (seleccione)
User Group: (seleccione), Local Auth Group - auth_grp3
CLI
1. WebAuth
set webauth server Local
set interface ethernet1 webauth-ip 10.1.1.50
set interface ethernet1 webauth
set auth-server Local timeout 30
set user-group auth_grp3 location local
Utilice el comando siguiente para agregar usuarios de autenticacin al grupo de
usuarios recin creado:
set user-group auth_grp3 user cadena_nombre
3. Directiva
set policy top from trust to untrust any any any permit webauth user-group
auth_grp3
save
Ejemplo: WebAuth (grupo de usuarios externos)
WebAuth es un mtodo de autenticacin previa de usuarios que se ejecuta antes de
que stos puedan iniciar trfico a travs de un cortafuegos. En este ejemplo crear
una directiva que requiere autenticacin para todo el trfico saliente utilizando el
mtodo de WebAuth.
Crear el grupo de usuarios de autenticacin auth_grp4 denominado auth_grp4
tanto en el servidor RADIUS radius1 como en el dispositivo de seguridad. En el
servidor RADIUS, crear las cuentas de usuario para cada miembro en la zona Trust
y las agregar a auth_grp4.
NOTA: El dispositivo de seguridad determinar el tipo del grupo de usuarios locales segn
el tipo de miembros que le agregue. Para hacer que auth_grp3 sea un grupo de
usuarios de autenticacin, agrguele un usuario de autenticacin.
La interfaz de la zona Trust utilizar ethernet1 y tendr la direccin IP 10.1.1.1/24.
Usted asignar 10.1.1.50 como direccin IP de WebAuth y utilizar el servidor de
autenticacin RADIUS externo radius1 como servidor predeterminado de
WebAuth. Por lo tanto, antes de que un usuario pueda iniciar un trfico hacia
Internet, primero deber establecer una conexin HTTP a 10.1.1.50 e iniciar una
sesin con un nombre de usuario y contrasea. Entonces, el dispositivo de
seguridad reenviar todas las peticiones y respuestas de autenticacin de usuarios
de WebAuth entre radius1 y los usuarios que intenten iniciar una sesin.
Servidor RADIUS
2. Cree el grupo de usuarios auth_grp4 en el servidor de autenticacin radius1
y agrguele cuentas de usuarios de autenticacin.
WebUI
haga clic en OK:
Name: radius1
Backup1: 10.20.1.110
Backup2: 10.20.1.120
Timeout: 30
Account Type: Auth
RADIUS Port: 4500
Shared Secret: A56htYY97k
2. WebAuth
Configuration > Auth > WebAuth: Seleccione radius1 en la lista desplegable
Network > Interfaces > Edit (para ethernet1): Seleccione WebAuth; en el
campo WebAuth IP, escriba 10.10.1.50 y haga clic en OK.
NOTA: En este ejemplo se utilizan prcticamente los mismos ajustes del servidor RADIUS
que en el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34, salvo que
aqu slo se especifica auth como tipo de cuenta de usuario.
haga clic en OK:
Group Type: Auth
4. Directiva
Source Address:
Service: ANY
Action: Permit
bsica:
CLI
2. WebAuth
set webauth server radius1
set interface ethernet1 webauth
4. Directiva
set policy top from trust to untrust any any any permit webauth user-group
auth_grp4
save
Ejemplo: WebAuth + SSL solamente (grupo de usuarios externos)
En este ejemplo, combina WebAuth con las tecnologas de nivel de sockets seguro
(SSL) para proporcionar seguridad a los nombres de usuario y contraseas que los
usuarios transmiten cuando inician una sesin. WebAuth hace uso del mismo
certificado que asegura el trfico administrativo al dispositivo de seguridad para la
administracin por medio de WebUI. (Para obtener ms informacin sobre SSL,
consulte Secure Sockets Layer en la pgina 3-5.)
La configuracin para que utilice un servidor de autenticacin externo WebAuth con
SSL implica los pasos siguientes:
Definir un servidor de autenticacin RADIUS externo denominado radius1 y
crear un grupo de usuarios de autenticacin llamado auth_grp5 tanto en el
servidor RADIUS como en el dispositivo de seguridad. En el servidor RADIUS,
crear cuentas de usuario para todos los usuarios de autenticacin de la zona
Untrust y agregarlos a auth_grp5.
La interfaz de la zona Untrust utilizar ethernet3 y tendr la direccin
IP 1.1.1.1/24. Usted asignar 1.1.1.50 como direccin IP de WebAuth, indicar
al dispositivo que slo acepte conexiones SSL para las peticiones de
autenticacin WebAuth y utilizar el servidor de autenticacin RADIUS externo
radius1 como servidor predeterminado de WebAuth.
Especificar los siguientes ajustes de SSL:
Nmero IDX (1 en este ejemplo) de un certificado cargado previamente en
el dispositivo de seguridad
Cifrados DES_SHA-1
Puerto SSL nmero 2020
Luego configurar una directiva de trfico entrante que exija autenticacin
mediante el mtodo WebAuth + SSL para todo el trfico que pase de la zona
Untrust a la zona Trust.
Por lo tanto, para que un usuario pueda iniciar trfico hacia la red interna, primero
deber establecer una conexin HTTPS a https://1.1.1.50:2020 e iniciar una sesin
con un nombre de usuario y contrasea. Entonces, el dispositivo de seguridad
reenviar todas las peticiones y respuestas de autenticacin de usuarios de
WebAuth entre radius1 y los usuarios que intenten iniciar una sesin.
NOTA: En este ejemplo se utilizan prcticamente los mismos ajustes del servidor RADIUS
que en el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34, salvo que
aqu slo se especifica auth como tipo de cuenta de usuario.
NOTA: Para obtener ms informacin sobre cmo obtener y cargar certificados digitales
en un dispositivo de seguridad, consulte Criptografa de claves pblicas en la
pgina 5-19.
Servidor RADIUS
2. Cree el grupo de usuarios auth_grp5 en el servidor de autenticacin radius1
y agrguele cuentas de usuarios de autenticacin.
WebUI
haga clic en OK:
Name: radius1
Backup1: 10.20.1.110
Backup2: 10.20.1.120
Timeout: 30
Account Type: Auth
RADIUS Port: 4500
Shared Secret: A56htYY97k
2. WebAuth
Configuration > Auth > WebAuth: Seleccione radius1 en la lista desplegable
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
IP: 1.1.1.50
SSL Only: (seleccione)
3. SSL
Configuration > Admin > Management: Introduzca los siguientes datos y haga
clic en OK:
HTTPS (SSL) Port: 2020
Certificate: (seleccione el certificado previamente cargado)
Cipher: DES_SHA-1
haga clic en OK:
Group Type: Auth
NOTA: Para obtener ms informacin sobre el archivo de diccionario, consulte Archivo
de diccionario de RADIUS en la pgina 22. Para obtener instrucciones sobre
cmo cargar el archivo de diccionario en un servidor RADIUS, consulte la
documentacin del servidor RADIUS.
5. Directiva
Policy > Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes
Source Address:
Service: ANY
Action: Permit
bsica:
CLI
2. WebAuth
set webauth server radius1
set interface ethernet3 webauth ssl-only
3. SSL
set ssl port 2020
set ssl cert 1
set ssl encrypt des sha-1
set ssl enable
consulte Archivo de diccionario de RADIUS en la pgina 22. Para obtener
5. Directiva
set policy top from untrust to trust any any any permit webauth user-group
auth_grp5
save
Usuarios y grupos de usuarios IKE 69
Captulo 5
Usuarios IKE, XAuth y L2TP
Este captulo trata de los tres tipos de usuarios implicados en los protocolos de
encapsulamiento: usuarios de intercambio de claves de Internet (IKE), usuarios
XAuth y usuarios del protocolo de transporte de capa 2 (L2TP): Incluye las
siguientes secciones:
Usuarios y grupos de usuarios IKE en esta pgina
Usuarios y grupos de usuarios XAuth en la pgina 72
Usuarios XAuth en negociaciones IKE en la pgina 74
Cliente XAuth en la pgina 88
Usuarios y grupos de usuarios L2TP en la pgina 89
Usuarios y grupos de usuarios IKE
Un usuario IKE es un usuario de VPN remoto con una direccin IP asignada
dinmicamente. El usuario (en realidad, el dispositivo del usuario) se autentica
enviando un certificado o clave previamente compartida junto con una
identificacin IKE durante la negociacin de fase 1 con el dispositivo de seguridad.
La identificacin IKE puede ser una direccin de correo electrnico, una direccin
IP, un nombre de dominio o una cadena ASN1-DN. El dispositivo de seguridad
autenticar al usuario IKE si ste enva cualquiera de los siguientes datos:
Un certificate en el cual uno o ms de los valores que aparecen en los campos
del nombre completo (DN) o en el campo SubAltName coincida con la
identificacin del usuario IKE configurada en el dispositivo de seguridad
Una preshared key y una IKE ID con la que el dispositivo de seguridad pueda
generar correctamente una clave previamente compartida idntica a partir de
la identificacin IKE recibida y de un valor inicial de clave previamente
compartida almacenado en el dispositivo de seguridad
NOTA: Para obtener ms informacin y ejemplos para IKE y L2TP, consulte el Volumen 5:
Redes privadas virtuales.
70 Usuarios y grupos de usuarios IKE
Har referencia a un usuario o grupo de usuarios IKE en una configuracin de
puerta de enlace AutoKey IKE. Reuniendo en un grupo a los usuarios IKE que
requieran configuraciones similares de puerta de enlace y de tnel, solamente
necesitar definir una puerta de enlace que haga referencia al grupo (y a un tnel
VPN que haga referencia a esa puerta de enlace), en lugar de establecer una puerta
de enlace y un tnel para cada usuario IKE.
A menudo resulta poco prctico crear cuentas de usuario separadas para cada host.
En tales casos, puede crear un grupo de usuarios IKE que solamente tenga un
miembro, al que se har referencia como usuario del grupo con identificacin IKE.
La identificacin IKE de ese usuario contendr un conjunto de valores que deben
estar presentes en las definiciones de identificacin IKE de los usuarios IKE de
acceso telefnico. Si la identificacin IKE de un usuario remoto de acceso telefnico
coincide con la identificacin IKE del usuario del grupo con esa misma
identificacin, ScreenOS autentica a ese usuario remoto. Para obtener ms
informacin, consulte Identificacin IKE de grupo en la pgina 5-188.
Ejemplo: Definir usuarios IKE
En este ejemplo definir cuatro usuarios IKE, Amy, Basil, Clara y Desmond,
cada uno con otro tipo de identificacin IKE.
Amy: direccin de correo electrnico (nombre de dominio completo para el
usuario o U-FQDN): amy@juniper.net
Basil: direccin IP: 3.3.1.1
Clara: nombre de dominio completo (FQDN): www.juniper.net
Desmond: cadena ASN1-DN:
CN=des,OU=art,O=juniper,L=sunnyvale,ST=ca,C=us,E=des@juniper.net
WebUI
en OK:
User Name: Amy
Status: Enable
IKE User: (seleccione)
Simple Identity: (seleccione)
IKE ID Type: AUTO
IKE Identity: amy@juniper.net
NOTA: Como ejemplo de IKE ID con la versin 1 de la notacin de sintaxis abstracta,
(ASN, Abstract Syntax Notation), el formato del nombre completo (ASN1-DN) es
CN=joe,OU=it,O=juniper,L=sunnyvale,ST=ca,C=us,E=joe@juniper.net.
NOTA: Las cuentas de usuarios IKE y de grupos de usuarios IKE slo se pueden
almacenar en la base de datos local.
Usuarios y grupos de usuarios IKE 71
Captulo 5: Usuarios IKE, XAuth y L2TP
en OK:
User Name: Basil
Status: Enable
IKE ID Type: AUTO
IKE Identity: 3.3.1.1
en OK:
User Name: Clara
Status: Enable
IKE ID Type: AUTO
IKE Identity: www.juniper.net
en OK:
User Name: Desmond
Status: Enable
Use Distinguished Name for ID: (seleccione)
CN: des
OU: art
Organization: juniper
Location: sunnyvale
State: ca
Country: us
E-mail: des@juniper.net
CLI
set user Amy ike-id u-fqdn amy@juniper.net
set user Basil ike-id ip 3.3.1.1
set user Clara ike-id fqdn www.juniper.net
set user Desmond ike-id wildcard
CN=des,OU=art,O=juniper,L=sunnyvale,ST=ca,C=us,E=des@juniper.net
save
Ejemplo: Creacin de un grupo de usuarios IKE
En este ejemplo crear un grupo de usuarios denominado ike_grp1. En el
momento de agregarle el usuario IKE Amy, el grupo se convertir en un grupo de
usuarios IKE. Seguidamente, agregar los otros tres usuarios IKE que defini en
Ejemplo: Definir usuarios IKE en la pgina 70.
WebUI
Objects > Users > Local Groups > New: Escriba ike_grp1 en el campo Group
Name, haga lo siguiente, luego haga clic en OK:
Seleccione Amy y utilice el botn << para trasladarla de la columna
72 Usuarios y grupos de usuarios XAuth
Seleccione Basil y utilice el botn << para trasladarlo de la columna
Seleccione Clara y utilice el botn << para trasladarla de la columna
Seleccione Desmond y utilice el botn << para trasladarlo de la columna
CLI
set user-group ike_grp1 location local
set user-group ike_grp1 user amy
set user-group ike_grp1 user basil
set user-group ike_grp1 user clara
set user-group ike_grp1 user desmond
save
Referencias a usuarios IKE en puertas de enlace
Despus de definir un usuario IKE o un grupo de usuarios IKE, podr referirse a l
en una configuracin de puerta de enlace IKE cuando la puerta de enlace IKE
remota sea un usuario de acceso telefnico o un grupo de usuarios de acceso
telefnico.
Para ver ejemplos en los que se hace referencia a usuarios IKE en configuraciones
de puerta de enlace, consulte:
VPN de acceso telefnico basada en directivas, AutoKey IKE en la
pgina 5-165
Creacin de una identificacin IKE de grupo (certificados) en la pgina 5-193
Identificacin IKE de grupo con certificados en la pgina 5-189
Usuarios y grupos de usuarios XAuth
El protocolo XAuth consta de dos componentes: autenticacin de usuarios VPN
remotos (nombre del usuario y contrasea) y asignaciones de direcciones TCP/IP
(direccin IP, mscara de red y asignaciones de servidores DNS y servidores WINS).
ScreenOS admite la aplicacin individual o conjunta de ambos componentes.
Un usuario o grupo de usuarios XAuth es uno o varios usuarios remotos que se
autentican al conectarse al dispositivo de seguridad a travs de un tnel VPN de
AutoKey IKE y, opcionalmente, pueden recibir ajustes TCP/IP del dispositivo de
seguridad. Mientras que la autenticacin de los usuarios IKE es en realidad una
autenticacin de puertas de enlace o clientes VPN, la autenticacin de los usuarios
XAuth consiste en autenticar a los individuos en s. Los usuarios XAuth deben
introducir informacin que supuestamente slo ellos conocen, es decir, su nombre
de usuario y contrasea.
NOTA: La mscara de red asignada es siempre 255.255.255.255 y no puede ser
modificada.
Usuarios y grupos de usuarios XAuth 73
El cliente NetScreen-Remote puede utilizar los ajustes TCP/IP que recibe para crear
un adaptador virtual y enviar trfico VPN, mientras que para el trfico no VPN
utilizar los ajustes del adaptador de red TCP/IP proporcionados por el proveedor de
servicios de Internet o por el administrador de red. Al asignar direcciones IP
conocidas a los usuarios remotos, se pueden definir rutas en el dispositivo de
seguridad hacia esas direcciones a travs de interfaces de tnel especficas.
Entonces, el dispositivo de seguridad puede garantizar que el enrutamiento de
retorno llegue a la direccin IP del usuario remoto a travs del tnel VPN, no a
travs de la puerta de enlace predeterminada. Las asignaciones de direcciones
tambin permiten a un cortafuegos de bajada referirse a esas direcciones al crear
directivas. Puede controlar cunto tiempo puede permanecer una direccin IP
asociada a un determinado usuario XAuth con el ajuste XAuth lifetime.
ScreenOS es compatible con los siguientes aspectos de XAuth:
Autenticacin de usuarios XAuth locales y de usuarios XAuth externos
Autenticacin de grupos de usuarios XAuth locales y de grupos de usuarios
XAuth externos si estn almacenados en un servidor de autenticacin RADIUS
Asignaciones de las direcciones IP, de los servidores DNS y de los servidores
WINS a partir de un conjunto de direcciones IP para usuarios XAuth locales y
usuarios XAuth externos almacenado en un servidor de autenticacin RADIUS
Para configurar el dispositivo de seguridad con el fin de utilizar los ajustes
XAuth predeterminados almacenados en un servidor RADIUS externo, ejecute
cualquiera de los siguientes procedimientos:
WebUI: En la pgina VPNs > AutoKey Advanced > XAuth Settings,
seleccione Query Client Settings on Default Server.
CLI: Introduzca el comando set xauth default auth server cadena_nombre
query-config.
El dispositivo de seguridad tambin puede utilizar los ajustes XAuth especficos
de la puerta de enlace almacenados en un servidor RADIUS externo. Para
configurar una puerta de enlace IKE especfica, ejecute cualquiera de los
siguientes procedimientos:
WebUI: En la pgina VPNs > AutoKey Advanced > Gateway > New >
Advanced, seleccione el nombre del servidor RADIUS en la lista
desplegable External Authentication y seleccione Query Remote Setting.
CLI: Introduzca el comando set ike gateway cadena_nombre xauth server
cadena_nombre query-config.
NOTA: Un adaptador virtual se compone de los ajustes TCP/IP (direccin IP, direcciones
de servidores DNS, direcciones de servidores WINS) que el dispositivo de
seguridad asigna a un usuario remoto durante la permanencia de una conexin de
tnel VPN. Slo los clientes ScreenOS-Remote disponen de la funcionalidad de
adaptador virtual. Las plataformas de seguridad de Juniper Networks no disponen
de dicha funcin.
Autenticacin slo sin asignaciones de direcciones, asignaciones de direcciones
slo sin autenticacin (set ike gateway cadena_nombre xauth bypass-auth),
y tanto autenticacin como asignaciones de direcciones combinadas.
Registro de eventos para el modo IKE
Cuando un usuario remoto accede a la red a travs del intercambio de claves de
Internet (IKE), ScreenOS autentica al usuario con XAuth; ScreenOS registra los
detalles del evento en el registro de trfico. Los detalles del registro incluyen lo
siguiente:
Direccin IP de puerta de enlace
Nombre de usuario
Nmero de reintentos de la sesin
Direccin asignada de IP de cliente desde el conjunto local de IP o desde el
servidor RADIUS
Para obtener mayor informacin sobre cmo visualizar el registro de trfico,
consulte el Volumen 3: Administracin
Usuarios XAuth en negociaciones IKE
ScreenOS es compatible con XAuth, versin 6 (v6). Para confirmar que ambos
interlocutores participantes en las negociaciones de la fase 1 de IKE admiten XAuth
v6, intercambian entre s la siguiente identificacin de fabricante en los dos
primeros mensajes de dicha fase: 0x09002689DFD6B712. Este nmero de
identificacin del fabricante est especificado en el borrador de XAuth Internet,
(draft-beaulieu-ike-xauth-02.txt).
Finalizadas las negociaciones de la fase 1, el dispositivo de seguridad enva un
mensaje de peticin de inicio de sesin al usuario XAuth que se encuentra en el
sitio remoto. Si el usuario XAuth inicia una sesin con xito indicando la
combinacin correcta de nombre de usuario y contrasea, el dispositivo de
seguridad asigna al usuario una direccin IP propia, una mscara de red de 32 bits,
las direcciones de los servidores DNS y de los servidores WINS, y ambos
interlocutores continan con las negociaciones de la fase 2.
El usuario XAuth tiene 60 segundos para completar el proceso de inicio de sesin.
Si el primer intento de inicio de sesin falla, el usuario XAuth puede hacer hasta
cuatro intentos ms, disponiendo de 60 segundos para cada uno. Si el usuario falla
al cabo de cinco intentos consecutivos, el dispositivo de seguridad deja de generar
la peticin de inicio de sesin y anula la sesin.
Como mnimo, la direccin IP asignada por XAuth a un usuario sigue perteneciendo
a ste durante el tiempo especificado como perodo de vigencia de la direccin
XAuth (XAuth address lifetime). La direccin IP puede pertenecer ms tiempo al
usuario XAuth, dependiendo de cundo se vuelvan a introducir las asociaciones de
seguridad (SAs) de fase 1 y fase 2. La Figura 21 muestra la relacin entre las
operaciones para volver a introducir datos de la fase 1 y fase 2 y el perodo de
vigencia de la direccin IP deXAuth.
Figura 21: Operaciones para volver a introducir datos de la fase 1 y 2 y el perodo de vigencia de la direccin IP de
XAuth
1. La SA de fase 1 se establece con un perodo de vigencia de ocho horas y caduca
despus de las primeras 8 horas.
2. El perodo de vigencia de la SA de fase 2 se establece en 60 minutos. Debido al
retardo de 5 segundos que se produce durante las negociaciones iniciales de
IKE mientras el usuario XAuth introduce su nombre de usuario y contrasea, la
octava SA de fase 2 caduca 8 horas y 6 segundos despus de finalizar las
negociaciones de la fase 1 (5 segundos para el inicio de sesin de XAuth + 1
segundo para las negociaciones de la fase 2).
3. Dado que hay trfico VPN activo, al caducar la octava SA de la fase 2 se provoca
la nueva introduccin de datos de la SA de fase 1, que caduc 6 segundos
antes; es decir, se producen las negociaciones (o renegociaciones) de la fase 1
de IKE.
4. Una vez completadas las renegociaciones de la fase 1 de IKE, el dispositivo de
seguridad indica al usuario XAuth que vuelva a iniciar una sesin.
5. Debido a que el perodo de vigencia de la direccin XAuth (10 horas) es
superior al de la SA de fase 1, el usuario conserva la misma direccin IP, aunque
despus de la siguiente introduccin de datos de fase 1 puede que se le asigne
una direccin diferente.
Perodo de vigencia de la direccin IP de XAuth
Negociaciones de fase 1 IKE completadas.
El usuario XAuth completa el primer inicio de sesin.
Negociaciones de fase 2 IKE completadas.
Nota: Desde 1:00:06 en adelante hay un flujo
constante de trfico a travs del tnel VPN.
Vigencia de direccin IP XAuth: 10 horas
Vigencia de SA de fase 1: 8 horas
Vigencia de SA de fase 2:
60 minutos
1:00:00
1:00:05 1:00:06 9:00:00 9:00:06 9:00:07 9:00:14 9:00:15
Vence la SA de fase 1.
La SA de fase 2 caduca y desencadena
la introduccin de datos de fase 1.
El usuario XAuth completa el
segundo inicio de sesin.
Nueva introduccin de
datos de la fase 2 IKE.
SA de fase 1
SA de fase 2 60 min 60 min 60 min 60 min 60 min 60 min 60 min 60 min
Cuando se produce la segunda operacin de XAuth, el usuario sigue teniendo asegurada la misma
direccin IP porque el periodo de vigencia de la direccin IP de XAuth an no ha caducado.
NOTA: Para evitar que se repitan inicios de sesin despus del inicial, configure el tnel
VPN con cualquier tiempo de inactividad distinto de 0 utilizando el comando CLI:
set vpn nombre gateway nombre idletime nmero (en minutos). Si hay actividad de
VPN al completarse las renegociaciones de la fase 1 de IKE, el dispositivo de
seguridad no pide al usuario XAuth que vuelva a iniciar una sesin. Esta opcin
permite al usuario descargar archivos de gran tamao, enviar o recibir secuencias
multimedia (streams), as como participar en conferencias Web sin
interrupciones.
Si el perodo de vigencia de la direccin XAuth fuese inferior al de la SA de
fase 1, el dispositivo de seguridad asignara al usuario otra direccin IP, que
podra ser igual o diferente a la direccin previamente asignada.
Para cambiar el perodo de vigencia de la direccin, ejecute cualquiera de los
siguientes procedimientos:
(WebUI) VPNs > AutoKey Advanced > XAuth Settings: Introduzca un
nmero (en minutos) en el campo Reserve Private IP for XAuth User y
haga clic en Apply.
(CLI) set xauth lifetime nmero
Para desactivar la funcin de perodo de vigencia de la direccin, introduzca el
valor 1, que es el valor mnimo permitido.
Ejemplo: Autenticacin XAuth (usuario local)
En este ejemplo definir un usuario XAuth llamado x1 con la contrasea
aGgb80L0ws en la base de datos local.
Despus establecer una referencia en una configuracin de puerta de enlace IKE
remota desde este usuario hacia un interlocutor en la IP 2.2.2.2. Asignar el
nombre gw1 a la puerta de enlace remota, especificar el modo principal y la
propuesta pre-g2-3des-sha para las negociaciones de fase 1 y utilizar la clave
previamente compartida juniper1. Asignar el nombre vpn1 al tnel VPN y
especificar el conjunto de propuestas Compatible para las negociaciones de
fase 2. Elegir la interfaz ethernet3 de la zona Untrust como interfaz de salida.
WebUI
1. Usuario XAuth
en OK:
User Name: x1
Status: Enable
XAuth User: (seleccione)
User Password: iDa84rNk
Confirm Password: iDa84rNk
NOTA: Si es crucial que siempre asigne la misma direccin IP a un usuario, puede
especificarla en la configuracin del usuario. El dispositivo de seguridad le
asignar entonces esa direccin en lugar de tomar otra al azar del conjunto de
direcciones IP disponibles. Tenga en cuenta que la direccin elegida no debe
pertenecer al conjunto de direcciones IP (IP pool), ya que el sistema podra
asignarla a otro usuario, por lo que no estara disponible cuando se necesite.
2. VPN
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: gw1
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), Address/Hostname: 2.2.2.2
Preshared Key: juniper1
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic
en Return para regresar a la pgina de configuracin bsica de la puerta de
enlace:
Security Level: Custom: (seleccione)
Phase 1 Proposal: pre-g2-3des-sha
Mode (Initiator): Main (Proteccin de la identificacin)
XAuth Server: (seleccione)
Local Authentication: (seleccione)
User: (seleccione), x1
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn1
Security Level: Compatible
Remote Gateway Tunnel: gw1
CLI
1. Usuario XAuth
set user x1 password aGgb80L0ws
set user x1 type xauth
unset user x1 type auth
2. VPN
set ike gate gw1 ip 2.2.2.2 main outgoing-interface ethernet3 preshare juniper1
proposal pre-g2-3des-sha
set ike gateway gw1 xauth server Local user x1
set vpn vpn1 gateway gw1 sec-level compatible
save
NOTA: El comando CLI set user cadena_nombre password cadena_contrasea crea un
usuario de autenticacin. Para crear un usuario de slo XAuth, debe definirlo
como usuario XAuth (set user cadena_nombre type xauth) y eliminar la definicin
de usuario de autenticacin (unset user cadena_nombre type auth).
Ejemplo: Autenticacin de XAuth (grupo de usuarios local)
En este ejemplo crear un grupo de usuarios llamado xa-grp1 en la base de datos
local y le agregar el usuario XAuth x1 creado en el ejemplo anterior, Ejemplo:
Autenticacin XAuth (usuario local) en la pgina 76. Cuando agregue dicho usuario
al grupo, ste se convertir automticamente en grupo de usuarios XAuth.
Despus establecer una referencia en una configuracin de puerta de enlace IKE
remota desde este grupo hacia un interlocutor en la IP 2.2.2.2. Asignar el nombre
gw2 a la puerta de enlace remota, especificar el modo principal y la propuesta
pre-g2-3des-sha para las negociaciones de fase 1 y utilizar la clave previamente
compartida juniper2. Asignar el nombre vpn2 al tnel VPN y especificar el
conjunto de propuestas Compatible para las negociaciones de fase 2. Elegir la
interfaz ethernet3 de la zona Untrust como interfaz de salida.
WebUI
1. Grupo de usuarios XAuth
Objects > Users > Local Groups > New: Escriba xa-grp1 en el campo Group
Name, haga lo siguiente y luego haga clic en OK:
Seleccione x1 y utilice el botn << para trasladarlo de la columna
2. VPN
y haga clic en OK:
Gateway Name: gw2
enlace:
Local Authentication: (seleccione)
User Group: (seleccione), xa-grp1
VPN Name: vpn2
Remote Gateway Tunnel:
Predefined: (seleccione), gw2
CLI
1. Grupo de usuarios XAuth
set user-group xa-grp1 location local
set user-group xa-grp1 user x1
2. VPN
set ike gateway gw2 xauth server Local user-group xa-grp1
save
Ejemplo: Autenticacin XAuth (usuario externo)
En este ejemplo establecer una referencia a un usuario XAuth llamado xa-1 con
la contrasea iNWw10bd01 que habr cargado previamente en un servidor de
autenticacin SecurID externo. Este ejemplo utiliza casi la misma configuracin de
servidor de autenticacin SecurID que se define en el Ejemplo: Servidor de
autenticacin SecurID en la pgina 36, salvo que en este caso el tipo de cuenta se
definir como XAuth.
Establecer una referencia al usuario XAuth xa-1 en una configuracin de puerta
de enlace IKE remota hacia un interlocutor con la direccin IP 2.2.2.2. Asignar el
nombre gw3 a la puerta de enlace remota, especificar el modo principal y la
propuesta pre-g2-3des-sha para las negociaciones de fase 1 y utilizar la clave
previamente compartida juniper3. Asignar al tnel VPN el nombre vpn3 y
especificar la propuesta g2-esp-3des-sha para las negociaciones de la fase 2.
Elegir la interfaz ethernet3 de la zona Untrust como interfaz de salida.
WebUI
1. Servidor de autenticacin SecurID externo
haga clic en OK:
Name: securid1
Backup1: 10.20.2.110
Timeout: 60
Account Type: XAuth
Client Retries: 3
User Duress: No
2. Usuario XAuth
Defina el usuario de autenticacin xa-1 con la contrasea iNWw10bd01 en
el servidor de autenticacin SecurID externo securid1.
3. VPN
y haga clic en OK:
Gateway Name: gw3
enlace:
External Authentication: (seleccione), securid1
User: (seleccione)
Name: xa-1
VPN Name: vpn3
Remote Gateway Tunnel:
CLI
1. Servidor de autenticacin SecurID externo
set auth-server securid1 account-type xauth
2. Usuario XAuth
Defina el usuario de autenticacin xa-1 con la contrasea iNWw10bd01 en
el servidor de autenticacin SecurID externo securid1.
3. VPN
set ike gateway gw3 xauth server securid1 user xa-1
save
Ejemplo: Autenticacin XAuth (grupo de usuarios externo)
En este ejemplo configurar un servidor de autenticacin RADIUS externo llamado
radius1 y definir un grupo de usuarios de autenticacin externo llamado
xa-grp2. Definir un grupo de usuarios XAuth externo xa-grp2 en dos sitios:
1. Servidor de autenticacin RADIUS externo radius1
2. Dispositivo de seguridad
Alimentar el grupo de usuarios XAuth llamado xa-grp2 solamente con los
usuarios XAuth del servidor RADIUS, dejando el grupo vaco en el dispositivo de
seguridad. Los miembros de este grupo son distribuidores en una oficina remota
que necesitan acceso a los servidores FTP de la LAN corporativa. Agregar una
entrada en la libreta de direcciones de la zona Untrust para el sitio remoto con la
direccin IP 10.2.2.0/24 y lo llamar distribuidor1. Tambin introducir una
direccin en la libreta de direcciones de la zona Trust para el servidor FTP rsl-srv1
con la direccin IP 10.1.1.5/32.
Configurar un tnel VPN hacia 2.2.2.2 para autenticar a los usuarios XAuth del
grupo de usuarios xa-grp2. Asignar el nombre gw4 a la puerta de enlace
remota, especificar el modo principal y la propuesta pre-g2-3des-sha para las
negociaciones de fase 1 y utilizar la clave previamente compartida juniper4.
Asignar el nombre vpn4 al tnel VPN y especificar el conjunto de propuestas
Compatible para las negociaciones de fase 2. Elegir la interfaz ethernet3 de la
zona Untrust como interfaz de salida.
Finalmente, crear una directiva que permita el trfico FTP desde el usuario
distribuidor1 de la zona Untrust a travs de vpn4 hacia rsl-svr1 en la zona
Trust.
Servidor RADIUS
2. Introduzca el grupo de usuarios de autenticacin xa-grp2 en el servidor de
autenticacin externo radius1 y alimntelo con cuentas de usuarios XAuth.
NOTA: La configuracin del servidor de autenticacin de RADIUS es casi idntica a la
descrita en el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34, salvo
que en este ejemplo solamente se especificar xauth como tipo de cuenta de
usuario.
WebUI
haga clic en OK:
Name: radius1
Backup1: 10.20.1.110
Backup2: 10.20.1.120
Timeout: 30
Account Type: XAuth
RADIUS Port: 4500
2. Grupo de usuarios externo
haga clic en OK:
Group Name: xa-grp2
Group Type: XAuth
3. Direccin
Address Name: distribuidor1
Zone: Untrust
Address Name: rsl-svr1
Zone: Trust
4. VPN
y haga clic en OK:
Gateway Name: gw4
enlace:
External Authentication: (seleccione), securid1
User Group: (seleccione)
Name: xa-grp2
VPN Name: vpn4
Remote Gateway:
5. Directiva
Source Address:
Address Book Entry: (seleccione), distribuidor1
Address Book Entry: (seleccione), rsl-svr1
Servicio: FTP-Get
Action: Tunnel
Tunnel VPN: vpn4
Modify matching bidirectional VPN policy: (anule la seleccin)
CLI
set auth-server radius1 account-type xauth
2. Grupo de usuarios externo
set user-group xa-grp2 location external
set user-group xa-grp2 type xauth
3. Direccin
set address untrust distribuidor1 10.2.2.0/24
set address trust rsl-svr1 10.1.1.5/32
4. VPN
set ike gateway gw4 xauth server radius1 user-group xa-grp2
5. Directiva
set policy top from untrust to trust distribuidor1 rsl-svr1 ftp-get tunnel vpn vpn4
save
Ejemplo: Autenticacin y asignacin de direcciones
XAuth (Local User Group)
En este ejemplo, configurar tanto la autenticacin como las asignaciones de las
direcciones IP, de los servidores DNS y de los servidores WINS para un grupo de
usuarios IKE/XAuth almacenado en la base de datos local.
Cuando un usuario IKE/XAuth establece una conexin VPN de acceso telefnico al
dispositivo de seguridad, ste autentica al usuario IKE (es decir, al dispositivo
cliente) por medio de una identificacin IKE y un certificado RSA durante las
negociaciones de la fase 1. A continuacin, el dispositivo de seguridad autentica al
usuario XAuth (es decir, a la persona que est utilizando el dispositivo) con un
nombre de usuario y una contrasea y le asigna las direcciones de IP, de servidores
DNS y de los servidores WINS entre las negociaciones de la fase 1 y de la fase 2.
Crear un grupo de usuarios local ixa-grp1. Luego definir dos usuarios IKE/XAuth
llamados ixa-u1 (contrasea: ccF1m84s) e ixa-u2 (contrasea: C113g1tw) y
los agregar al grupo, definiendo de este modo el tipo de grupo como IKE/XAuth.
(La inclusin de otros usuarios IKE/XAuth al grupo no se incluye en este ejemplo.)
Crear un conjunto de direcciones IP dinmicas (DIP) llamado xa-pool1 con el
conjunto de direcciones 10.2.2.1 a 10.2.2.100. ste ser el conjunto de direcciones
de las que el dispositivo de seguridad tomar una direccin IP para asignarla a cada
usuario XAuth.
Configurar los siguientes ajustes predeterminados de XAuth:
Establezca el tiempo de espera de la direccin XAUTH en 480 minutos.
Seleccione la base de datos local como servidor de autenticacin
predeterminado.
Habilite el protocolo de autenticacin de establecimiento de conexin por
desafo (Challenge Handshake Authentication Protocol o CHAP), en el cual
el dispositivo de seguridad enva un desafo (clave de encriptacin) al cliente
remoto, que utiliza la clave para encriptar su nombre de inicio de sesin y
contrasea.
NOTA: Tambin puede utilizar un servidor de autenticacin RADIUS externo para la
autenticacin de usuarios XAuth y la asignacin de direcciones. Puede utilizar un
servidor de autenticacin SecurID o LDAP externo slo para la autenticacin
XAuth (no para la asignacin de direcciones). Para la autenticacin de usuarios IKE
solamente se puede utilizar la base de datos local.
NOTA: Para evitar problemas de enrutamiento y duplicaciones en la asignacin de
direcciones, el rango DIP debe encontrarse en un espacio de direcciones distinto
del de la zona a la que el usuario XAuth dirige el trfico.
Seleccione xa-pool1 como conjunto de DIP predeterminado.
Defina las direcciones IP de los servidores DNS principal y secundario como
10.1.1.150 y 10.1.1.151, respectivamente.
Defina las direcciones IP de los servidores WINS principal y secundario como
10.1.1.160 y 10.1.1.161, respectivamente.
Configurar una puerta de enlace IKE llamada ixa-gw1, haciendo referencia al
grupo de usuarios ixa-grp1 y utilizando los ajustes predeterminados del servidor
de autenticacin XAuth. Luego configurar un tnel VPN con el nombre ixa-tun1
y una directiva que permita el trfico desde ixa-grp1 a la zona Trust (direccin
IP 10.1.1.0/24) a travs del tnel VPN ixa-tun1.
WebUI
1. Usuarios y grupo de usuarios IKE/XAuth
en OK:
User Name: ixa-u1
Status: Enable
IKE ID Type: AUTO
IKE Identity: u1@juniper.net
User Password: ccF1m84s
Confirm Password: ccF1m84s
en OK:
User Name: ixa-u2
Status: Enable
IKE ID Type: AUTO
IKE Identity: u2@juniper.net
User Password: C113g1tw
Confirm Password: C113g1tw
Objects > Users > Local Groups > New: Escriba ixa-grp1 en el campo Group
Name, haga lo siguiente y luego haga clic en OK:
Seleccione ixa-u1 y utilice el botn << para trasladarlo de la columna
Seleccione ixa-u2 y utilice el botn << para trasladarlo de la columna
2. Conjunto de direcciones IP
Objects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK:
IP Pool Name: xa-pool1
Start IP: 10.2.2.1
End IP: 10.2.2.100
3. Servidor de autenticacin XAuth predeterminado
VPNs > AutoKey Advanced > XAuth Settings: Introduzca los siguientes datos,
luego haga clic en Apply:
Reserve Private IP for XAuth User: 480 minutos
Default Authentication Server: Local
Query Client Settings on Default Server: (anule la seleccin)
CHAP: (seleccione)
IP Pool Name: xa-pool1
DNS Primary Server IP: 10.1.1.150
DNS Secondary Server IP: 10.1.1.151
WINS Primary Server IP: 10.1.1.160
WINS Secondary Server IP: 10.1.1.161
4. Direccin
Address Name: Trust_Zone
Zone: Trust
5. VPN
y haga clic en OK:
Gateway Name: ixa-gw1
Dialup User Group: (seleccione)
Group: ixa-grp1
enlace:
Phase 1 Proposal: rsa-g2-3des-sha
Mode (Initiator): Dinmico
User Default: (seleccione)
User Group: (seleccione), ixa-grp1
VPN Name: ixa-vpn1
Remote Gateway:
Predefined: (seleccione), ixa-gw1
6. Directiva
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Address Book Entry: (seleccione), Trust_Zone
Servicio: ANY
Action: Tunnel
Tunnel VPN: ixa-vpn1
Modify matching bidirectional VPN policy: (anule la seleccin)
CLI
1. Usuarios y grupo de usuarios IKE/XAuth
set user-group ixa-grp1 location local
set user ixa-u1 type ike xauth
set user ixa-u1 ike-id u-fqdn u1@ns.com
set user ixa-u1 password ccF1m84s
unset user ixa-u1 type auth
set user ixa-u2 type ike xauth
set user ixa-u2 ike-id u-fqdn u2@juniper.net
set user ixa-u2 password C113g1tw
unset user ixa-u2 type auth
set ippool xa-pool1 10.2.2.1 10.2.2.100
3. Servidor de autenticacin XAuth predeterminado
set xauth lifetime 480
set xauth default auth server Local chap
set xauth default ippool xa-pool1
set xauth default dns1 10.1.1.150
set xauth default dns2 10.1.1.151
set xauth default wins1 10.1.1.160
set xauth default wins2 10.1.1.161
4. Direccin
set address trust Trust_zone 10.1.1.0/24
5. VPN
set ike gateway ixa-gw1 dialup ixa-grp1 aggressive outgoing-interface ethernet3
proposal rsa-g2-3des-sha
set ike gateway ixa-gw1 xauth server Local user-group ixa-grp1
set vpn ixa-vpn1 gateway ixa-gw1 sec-level compatible
6. Directiva
set policy top from untrust to trust Dial-Up VPN Trust_zone any tunnel vpn
ixa-vpn1
save
Cliente XAuth
Un cliente XAuth es un usuario o dispositivo remoto que se conecta a un servidor
XAuth a travs de un tnel VPN de AutoKey IKE. Un dispositivo de seguridad puede
actuar como cliente XAuth, respondiendo a las peticiones de autenticacin de un
servidor XAuth remoto. Finalizadas las negociaciones de la fase 1, el servidor XAuth
remoto enva un mensaje de peticin de inicio de sesin al dispositivo de seguridad.
Si el dispositivo de seguridad que acta como cliente XAuth inicia una sesin con
xito indicando el nombre de usuario y la contrasea correctos, comienzan las
negociaciones de la fase 2.
Para configurar el dispositivo de seguridad como cliente XAuth, debe especificar lo
siguiente:
Nombre de la puerta de enlace IKE
Contrasea y nombre de usuario XAuth
Puede configurar los siguientes tipos de autenticacin XAuth:
Any: Permite el protocolo de autenticacin de establecimiento de conexin por
desafo (CHAP) o el protocolo de autenticacin mediante contrasea (PAP)
CHAP: Permite solamente CHAP
Ejemplo: Dispositivo de seguridad como cliente XAuth
En este ejemplo, primero configurar una puerta de enlace IKE remota gw1 con la
direccin IP 2.2.2.2. Especificar el nivel de seguridad estndar y utilizar la clave
previamente compartida juniper1. Luego configurar un cliente XAuth para la
puerta de enlace IKE con el nombre de usuario beluga9 y la contrasea 1234567.
Tambin requerir la autenticacin CHAP para el cliente.
WebUI
y haga clic en OK:
Gateway Name: gw1
Security Level: Standard (seleccione)
Outgoing Interface: Untrust
enlace:
XAuth Client: (seleccione)
User Name: beluga9
Password: 1234567
Allowed Authentication Type: (seleccione), CHAP Only
Usuarios y grupos de usuarios L2TP 89
CLI
set ike gateway gw1 ip 2.2.2.2 Main outgoing-interface untrust preshare juniper1
sec-level standard
set ike gateway gw1 xauth client chap username beluga9 password 1234567
save
Usuarios y grupos de usuarios L2TP
El protocolo de encapsulamiento de la capa 2 (Layer 2 Tunneling Protocol o
L2TP) proporciona los medios para autenticar usuarios remotos y asignar las
direcciones IP, de los servidores DNS y de los servidores WINS. Puede configurar el
dispositivo de seguridad para que utilice la base de datos local o un servidor de
autenticacin externo para autenticar usuarios L2TP. Para realizar asignaciones de
las direcciones IP, de los servidores DNS y de los servidores WINS, puede configurar
el dispositivo de seguridad de modo que utilice la base de datos local o un servidor
RADIUS (cargado con el archivo de diccionario de RADIUS; consulte Archivo de
diccionario de RADIUS en la pgina 22). Consulte la Figura 22.
Figura 22: Usuarios de autenticacin con L2TP
Puede incluso utilizar una combinacin de servidores de autenticacin, uno
diferente por cada uno de los dos aspectos de L2TP. Por ejemplo, puede utilizar un
servidor SecurID para autenticar a un usuario L2TP, pero realizar las asignaciones
de direcciones desde la base de datos local. El ejemplo siguiente ilustra la aplicacin
de dos servidores de autenticacin para procesar ambos componentes de L2TP.
Para ver otros ejemplos, junto con un anlisis detallado de L2TP, consulte Protocolo
de encapsulamiento de la capa 2 en la pgina 5-211.
SecurID
RADIUS
LDAP
Base de
datos local
Base de
datos local
Asignacin de las direcciones
IP, de los servidores DNS y de
los servidores WINS de
usuarios L2TP
SecurID
RADIUS
LDAP
Autenticacin de usuarios L2TP
90 Usuarios y grupos de usuarios L2TP
Ejemplo: Servidores de autenticacin L2TP locales y externos
En este ejemplo configurar un servidor de autenticacin SecurID externo para
autenticar usuarios L2TP y utilizar la base de datos local para asignar a usuarios
L2TP sus direcciones IP, de los servidores DNS y de los servidores WINS.
El servidor de autenticacin SecurID externo es securid1. Es casi idntico a la
configuracin de servidor de autenticacin descrita en el Ejemplo: Servidor de
autenticacin SecurID en la pgina 36, salvo que el tipo de cuenta es L2TP. Los
parmetros del servidor de autenticacin SecurID son los siguientes:
Name: securid1
IP Address: 10.20.2.100
Backup1 IP Address: 10.20.2.110
Port: 15000
Client Retries: 3
Idle Timeout: 60 minutes
Account Type: L2TP
Encryption: DES
Los ajustes predeterminados de L2TP son los siguientes:
IP Pool: I2tp1 (172.168.1.1 172.168.1.100)
PPP Authentication: CHAP
Despus de configurar el dispositivo de seguridad con los ajustes descritos, crear
un tnel L2TP llamado l2tp-tun1 que har referencia a securid1 para la
autenticacin y utilizar los ajustes predeterminados para la asignacin de
direcciones.
Debe tambin configurar el servidor de SecurID como se muestra anteriormente y
compltelo con los usuarios L2TP. La Figura 23 muestra los ajustes de L2TP, ajustes
del servidor SecurID Auth y la configuracin de red.
Usuarios y grupos de usuarios L2TP 91
Figura 23: Servidores L2TP locales y externos
WebUI
haga clic en OK:
Name: securid1
Backup1: 10.20.2.110
Timeout: 60
Account Type: L2TP
Client Retries: 3
Use Duress: No
Objects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK:
IP Pool Name: l2tp1
Start IP: 172.168.1.1
End IP: 172.168.1.100
NOTA: Una configuracin con slo L2TP no es segura. Para agregar seguridad a un tnel
L2TP, recomendamos combinarlo con un tnel IPSec, que debe estar en modo de
transporte, segn se describe en Configuracin de L2TP sobre IPSec en la
pgina 5-224.
Ajustes de L2TP
Conjunto de direcciones IP:
l2tp1
(172.168.1.1 172.168.1.100)
DNS1: 10.20.2.50
DNS2: 10.20.2.51
WINS1: 10.20.2.60
WINS2: 10.20.2.61
Tnel L2TP: l2tp-tun1
Autenticacin
de usuarios
Ajustes
remotos Backup 1
securid1
Internet
l2tp-tun1
Usuario L2TP
Ajustes del servidor de
autenticacin SecurID
Nombre: securid1
IP: 10.20.2.100
Puerto: 15000
Backup1: 10.20.2.110
Encriptacin: DES
Reintentos del cliente: 3
Tiempo de espera del cliente: 10
segundos
Tiempo de espera por
inactividad: 60 minutos
Tipos de cuentas: L2TP
Base de
datos local
92 Usuarios y grupos de usuarios L2TP
3. Ajustes predeterminados de L2TP
VPNs > L2TP > Default Settings: Introduzca los siguientes datos, luego haga
clic en Apply:
Default Authentication Server: Local
IP Pool Name: l2tp1
PPP Authentication: CHAP
4. Tnel L2TP
VPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic
en OK:
Name: l2tp-tun1
Use Custom Settings: (seleccione)
Authentication Server: securid1
Query Remote Settings: (anule la seleccin)
Dialup User: (seleccione), Allow Any
CLI
set auth-server securid1 account-type l2tp
set ippool l2tp1 172.168.1.1 172.168.1.100
3. Ajustes predeterminados de L2TP
set l2tp default auth server Local
set l2tp default ippool l2tp1
set l2tp default ppp-auth chap
set l2tp dns1 10.20.2.50
set l2tp dns1 10.20.2.51
set l2tp wins1 10.20.2.60
set l2tp wins2 10.20.2.61
4. Tnel L2TP
set l2tp l2tp-tun1
set l2tp l2tp-tun1 auth server securid1
save
93
Captulo 6
Autenticacin extensible para
interfaces inalmbricas y Ethernet
Este captulo explica las opciones disponibles y los ejemplos sobre cmo utilizar el
protocolo de autenticacin extensible (EAP) para autenticar interfaces inalmbricas
y Ethernet. Incluye las siguientes secciones:
Vista general en la pgina 94
Tipos de EAP admitidos en la pgina 94
Habilitacin e inhabilitacin de la autenticacin 802.1X en la pgina 95
Configuracin de los ajustes de 802.1X en la pgina 96
Configuracin de las opciones del servidor de autenticacin en la pgina 100
Visualizacion de la informacin de 802.1X en la pgina 102
Ejemplos de configuracin en la pgina 104
directamente y el servidor RADIUS en la pgina 104
Configuracin de un dispositivo de seguridad con un concentrador entre
un cliente y el dispositivo de seguridad en la pgina 105
Configuracin del servidor de autenticacin con una interfaz inalmbrica
en la pgina 107
94 Vista general
Vista general
EAP es un marco de autenticacin que admite mltiples mtodos de autenticacin.
EAP se ejecuta habitualmente de forma directa sobre capas de conexin de datos,
tales como el protocolo punto a punto (PPP) o IEEE 802, sin requerir
direccionamiento a la capa 3 (Layer 3).
El protocolo IEEE 802.1X funciona para el control de acceso basado en puertos;
IKEv2 lo utiliza como una opcin de autenticacin. El protocolo EAP funciona en un
dispositivo de seguridad configurado en modo transparente o de ruta (con o sin la
traduccin de direcciones de red habilitada). El protocolo NSRP (NetScreen
Redundancy Protocol) admite EAP en las redes con alta disponibilidad. Tambin
estn disponibles los mensajes de registro y SNMP.
El protocolo 802.1X est disponible para todas las plataformas.
EAP funciona como la parte de autenticacin de PPP, que opera en la Capa 2. EAP
autentica a un solicitante o cliente, despus que el solicitante enva las credenciales
adecuadas y el servidor de autenticacin, generalmente un servidor RADIUS, define
los permisos a nivel de usuario. Cuando utiliza EAP, toda la informacin de
autenticacin pasa a travs del dispositivo de seguridad (conocido como un mtodo
de filtro de la autenticacin de EAP). Toda la informacin del usuario se almacena
en el servidor de autenticacin.
Si utiliza un servidor RADIUS para autenticacin que admite atributos especficos
de cada fabricante (VSA), puede utilizar la funcin de verificacin de zona, la cual
verifica las zonas a las que pertenece el cliente.
Tipos de EAP admitidos
Se admiten los tipos de EAP descritos en la Figura 11.
Tabla 11: Tipos de EAP
Tipo Descripcin
EAP-TLS (Seguridad
de la capa de
transporte)
El EAP derivado ms comn y lo admiten la mayora de servidores
RADIUS. EAP-TLS utiliza certificados para la autenticacin del usuario y del
servidor, as como para la generacin dinmica de claves para la sesin.
EAP-TTLS
(Seguridad de la
capa de transporte
de tnel)
Requiere solamente una certificacin del lado del servidor y un nombre de
usuario y contrasea vlidos para autenticacin. Steel-Belted RADIUS
admite TTLS.
EAP-PEAP (EAP
protegido)
Diseado para compensar la falta de funciones en EAP-TLS y para reducir
la complejidad de su manejo. Requiere solamente certificaciones del lado
del servidor y un nombre de usuario y contrasea vlidos. Permite el
intercambio de claves, reanudacin de la sesin, fragmentacin y
reensamblaje. Steel-Belted RADIUS y Microsoft IAS admiten el EAP
protegido.
EAP-MD5
(Algoritmo 5 de
resumen de
mensaje)
Algoritmo que utiliza un proceso de desafo y respuesta para verificar los
hash MD5.
Habilitacin e inhabilitacin de la autenticacin 802.1X 95
Captulo 6: Autenticacin extensible para interfaces inalmbricas y Ethernet
Habilitacin e inhabilitacin de la autenticacin 802.1X
De forma predeterminada, la autenticacin 802.X est inhabilitada. Puede habilitar
la autenticacin 802.1X para las interfaces Ethernet e inalmbricas utilizando
WebUI o CLI. Para habilitar la autenticacin 802.1X en la interfaz Ethernet,
modifique la configuracin de la interfaz. El protocolo 802.1X se habilita
automticamente en una interfaz inalmbrica despus de crear y configurar un
SSID y luego lo vincula a la interfaz inalmbrica.
Interfaces Ethernet
Utilice uno de los siguientes procedimientos para habilitar 802.1X en la interfaz
ethernet1.
WebUI
Network > Interfaces > List > Edit (ethernet1) > 802.1X: Haga clic
en Enable.
CLI
Para habilitar 802.1X en la interfaz ethernet1, introduzca el siguiente comando.
set interface ethernet1 dot1x
Para desactivar 802.1X en la interfaz ethernet1, introduzca el siguiente comando.
unset interface ethernet1 dot1x
Interfaces inalmbricas
Utilice uno de los siguientes procedimientos para habilitar 802.1X en una interfaz
inalmbrica. Los siguientes procedimientos crean un SSID llamado hr, que utiliza
WPA como el mtodo de autenticacin y TKIP como el mtodo de encriptacin. El
servidor de autenticacin es un servidor RADIUS predeterminado llamado radius1.
Despus se vincula el SSID a la interfaz inalmbrica 0/1.
WebUI
Wireless > SSID > Haga clic en New. Introduzca los siguientes datos y haga
clic en OK.
SSID Name: hr
WPA Based Authentication and Encryption Methods: Seleccione WPA, TKIP.
Auth Server: Seleccione radius1.
Wireless Interface Binding: Seleccione wireless0/1.
Dependiendo del dispositivo de seguridad, necesita activar los cambios que
configur al hacer clic en el botn Activate Changes en la parte superior de la
pgina o al seleccionar Wireless > Activate Changes.
Para desactivar 802.1X en una interfaz inalmbrica, seleccione none desde la lista
Wireless Interface Binding.
96 Configuracin de los ajustes de 802.1X
CLI
Para habilitar automticamente 802.1X en una interfaz inalmbrica, debe crear y
configurar un SSID y luego debe vincularlo a la interfaz inalmbrica.
set ssid name hr
set ssid hr authentication wpa encryption tkip auth-server radius1
set ssid hr interface wireless0/1
Para desactivar 802.1X en la interfaz inalmbrica, introduzca uno de los siguientes
comandos, el cual desvincula SSID de la interfaz.
unset ssid hr interface
Para los dispositivos de seguridad con dos transceptores, tambin puede introducir
el siguiente comando, que desvincula la interfaz de la radio:
unset interface wireless0/1 wlan
Tambin puede desactivar 802.1X en una interfaz inalmbrica cambiando el
mtodo de autenticacin por un SSID, que no requiere el uso de un servidor de
autenticacin. Al desactivar la interfaz inalmbrica con el comando set interface
interfaz_inalmbrica shutdown tambin desactiva 802.1X.
Configuracin de los ajustes de 802.1X
Para las interfaces Ethernet, tiene la opcin de configurar los ajustes de 802.1X. No
se pueden modificar estos ajustes para las interfaces inalmbricas y se utilizan los
valores predeterminados, como se muestra en la Tabla 12.
Tabla 12: Ajustes de 802.1X
Configuracin del control del puerto 802.1X
Puede configurar la manera en la que la interfaz Ethernet trabaja con los intentos
de autenticacin de 802.1X. De forma predeterminada, el estado del puerto es
auto, que permite que la autenticacin de 802.1X proceda de forma normal. Puede
configurar la interfaz Ethernet para que bloquee todo el trfico e ignore todos los
intentos de los equipos por autenticarse utilizando la opcin force-unauthorized.
Tambin puede configurar la interfaz para que autentique con xito todos los
intentos de los equipos (tambin conocido como force-authorized state)
desactivando 802.1X para la interfaz.
Opcin Valor predeterminado Valores alternativos
Control de puerto auto force-unauthorized
Modo de control virtual interface
Usuarios mximos 16 (Ethernet); 128 (wireless) 1-256
Periodo de reautenticacin 3600 0 -86400
Retransmisin enable disable
Recuento de retransmisiones 3 1-16
Periodo de retransmisin 3 1-120
Periodo inactivo 5 0-3600
Configuracin de los ajustes de 802.1X 97
En los siguientes ejemplos, se ajusta el estado del control del puerto a
force-unauthorized para la interfaz ethernet1, que especifica que la interfaz
bloquea todo el trfico e ignora los intentos de autenticacin del equipo.
WebUI
Network > Interfaces > List > Edit (para Ethernet1) > 802.1X: Introduzca los
siguientes datos y haga clic en Apply.
Port Control: Seleccione Force-unauthorized.
CLI
set interface ethernet1 dot1x port-control force-unauthorized
Configuracin del modo de control de 802.1X
Puede especificar si se ejecuta la autenticacin basada en la direccin MAC en los
dispositivos conectados a la interfaz especificando uno de los siguientes modos:
Interface: Las direcciones MAC de los dispositivos conectados a la interfaz no
estn autenticadas. Utilice esta opcin slo si un dispositivo confiable est
conectado a la interfaz.
Virtual: Las direcciones MAC de los dispositivos conectados a la interfaz estn
autenticadas. Se descartan los paquetes de los dispositivos con direcciones
MAC no autorizadas. Este modo es el predeterminado para una interfaz. Las
interfaces inalmbricas utilizan slo el modo virtual.
En los siguientes ejemplos, ajustar el modo de control a la interfaz para la interfaz
ethernet1.
WebUI
Network > Interfaces > List > Edit (Ethernet1) > 802.1X: Introduzca los
Control Mode: Interfaz
CLI
set interface ethernet1 dot1x control-mode interface
Ajuste del nmero mximo de usuarios simultneos
Cuando una interfaz est en el modo de control virtual, el dispositivo de
seguridad permite hasta el nmero configurado de usuarios simultneos. De forma
predeterminada, el dispositivo de seguridad acepta 16 usuarios simultneos para
las interfaces ethernet o 128 usuarios para las interfaces inalmbricas. El rango del
valor vlido es de 1 hasta 256. Si tiene configurado el modo de control en el modo
interface, no puede configurar el nmero mximo de usuarios simultneos.
En los siguientes ejemplos, ajustar un nmero mximo de 24 usuarios simultneos
para la interfaz ethernet1.
98 Configuracin de los ajustes de 802.1X
WebUI
Maximum User: 24
CLI
set interface ethernet1 dot1x max-user 24
Configuracin del periodo de reautenticacin
De forma predeterminada, en el dispositivo de seguridad est habilitada la
reautenticacin de los clientes de 802.1X. El dispositivo de seguridad intenta
autenticar de nuevo a los clientes despus de 3600 segundos (1 hora).
Para las interfaces Ethernet, puede configurar el periodo de reautenticacin desde 0
hasta 86400 segundos (24 horas). Para desactivar el periodo de reautenticacin,
ajuste el periodo a 0. Para las interfaces inalmbricas, no puede cambiar el periodo
de reautenticacin de su valor predeterminado. Si un servidor RADIUS proporciona
un periodo de reautenticacin diferente al valor predeterminado, el dispositivo de
seguridad puede utilizar el valor asignado por RADIUS.
En los siguientes ejemplos, puede ajustar el periodo de reautenticacin a
7200 segundos (2 horas) para la interfaz ethernet1.
WebUI
Re-Authentication Period: 7200
CLI
set interface ethernet1 dot1x reauth-period 7200
Para ajustar el periodo de reautenticacin a su valor predeterminado, utilice el
comando unset interface nombre_interfaz dot1x reauth-period.
Habilitacin de las retransmisiones EAP
Puede habilitar la retransmisin de las solicitudes de EAP a un cliente si ste no
responde. De forma predeterminada, la retransmisin est habilitada. Como una
opcin, tambin puede configurar el nmero mximo de solicitudes de EAP que se
retransmiten y el tiempo que transcurre entre retransmisiones. Si se alcanza el
nmero mximo de retransmisiones, se termina la sesin autenticada del cliente y
falla la autenticacin.
En los siguientes ejemplos, usted puede habilitar la retransmisin de solicitudes de
EAP para la interfaz ethernet1.
WebUI
Network > Interfaces > List > Edit (Ethernet1) > 802.1X: Seleccione la casilla
de verificacin 802.X Enable, luego haga clic en Apply.
Configuracin de los ajustes de 802.1X 99
CLI
set interface ethernet1 dot1x retry
Configuracin de la cuenta de retransmisiones de EAP
De forma predeterminada, el dispositivo de seguridad enva hasta tres solicitudes
de EAP. Puede configurar el nmero de solicitudes de EAP desde 1 hasta 16.
En los siguientes ejemplos, puede establecer el nmero de transmisiones de
solicitud de EAP a 8.
WebUI
Cuenta de retransmisiones: 8
CLI
Utilice el siguiente comando para configurar el nmero de paquetes de
retransmisin enviados:
set interface ethernet1 dot1x retry count 8
Configuracin del periodo de retransmisin de EAP
De forma predeterminada, el periodo entre las retransmisiones de EAP es de
3 segundos. Puede configurar un periodo desde 1 hasta 120 segundos.
En los siguientes ejemplos, puede establecer el periodo entre retransmisiones de
EAP a 5.
WebUI
Periodo de retransmisiones: 5
CLI
set interface ethernet1 dot1x retry period 5
Configuracin del periodo inactivo (sin actividad)
El periodo inactivo (silencio) es la cantidad de tiempo que el dispositivo de
seguridad permanece inactivo despus de que fall la autenticacin. Durante el
periodo inactivo, el dispositivo de seguridad no inicia o responde a ninguna
solicitud de autenticacin del cliente.
De forma predeterminada, cuando falla la autenticacin, el dispositivo de seguridad
permanece inactivo durante 5 segundos y la cuenta de reintentos se restablece a
cero (0).
El periodo inactivo tiene un valor desde 0 hasta 3600 segundos (1 hora). El estado
de autenticacin de 802.1X permanece como no autorizado despus de que el
reintento falla, si especifica que el periodo de inactividad es cero (0).
100 Configuracin de las opciones del servidor de autenticacin
En los siguientes ejemplos, puede ajustar el periodo de inactividad a 30 segundos
para la interfaz ethernet1.
WebUI
Silent Period: 30
CLI
set interface ethernet1 dot1x silent-period 30
Configuracin de las opciones del servidor de autenticacin
Si ya configur y defini los servidores de autenticacin en su red, puede
especificar uno de estos servidores como el servidor de autenticacin para una
interfaz. Tambin puede ajustar las siguientes opciones del servidor de
autenticacin:
Account type (clientes de 802.1X)
Zone verification
Especificar un servidor de autenticacin
Puede utilizar un servidor predeterminado como el servidor de autenticacin para
una interfaz especfica.
Interfaces Ethernet
Puede especificar un servidor de autenticacin para las interfaces Ethernet
modificando la configuracin de la interfaz. En los siguientes ejemplos, puede
especificar el servidor radius1 existente como el servidor de autenticacin para la
interfaz ethernet1.
WebUI
Network > Interfaces > List > Edit (Ethernet1) > 802.1X: Seleccione el
servidor de autenticacin desde la lista Server Name, despus haga clic
en Apply.
CLI
set interface ethernet1 dot1x auth-server radius1
Interfaces inalmbricas
Puede especificar un servidor de autenticacin para las interfaces inalmbricas
modificando la configuracin SSID. En los siguientes ejemplos, puede modificar el
SSID llamado hr y especificar el servidor radius1 existente como el servidor de
autenticacin para la interfaz wireless0/1.
Wireless > SSID > Edit (para hr SSID): Haga clic en New. Dependiendo del
dispositivo de seguridad, seleccione uno de los siguientes, luego haga clic
en OK.
Configuracin de las opciones del servidor de autenticacin 101
WEP Based Authentication and Encryption Methods: WEP Encryption:
Seleccione Open; WEP Encryption; y radius1 desde la lista Auth Server.
802.1X Based Authentication and Encryption Methods: Seleccione 802.1X y
despus seleccione radius1 desde la lista Auth Server.
CLI
set ssid hr authentication wpa encryption auto auth-server radius1
Para utilizar el WebUI para configurar la informacin del servidor de autenticacin,
puede navegar a la pgina Auth Servers:
Configuration > Auth > Auth Servers: Introduzca o seleccione el valor de la
opcin correspondiente, luego haga clic en Apply.
Ajuste del tipo de cuenta
Cuando defina o modifique un servidor de autenticacin, puede especificar que el
servidor de autenticacin acepte clientes de 802.1X.
WebUI
Siga el siguiente procedimiento para especificar que el servidor de autenticacin
puede aceptar clientes de 802.1X:
Configuration > Auth > Auth Servers > New (o Edit para el servidor
existente): Introduzca toda la informacin pertinente; en el rea Account Type,
seleccione la casilla de verificacin 802.1X y haga clic en Apply.
CLI
Introduzca el siguiente comando para especificar que el servidor existente llamado
radius1 acepta clientes de 802.1X:
set auth-server radius1 account_type 802.1x
Habilitacin de la verificacin de zonas
Si su servidor RADIUS admite las mejoras de atributos especficos de cada
fabricante (VSA), puede habilitar la verificacin de zona, la cual verifica las zonas en
las que el usuario es miembro y la zona configurada en el puerto. Se permite la
autenticacin slo si la zona configurada en el puerto es una zona en la que el
usuario es miembro.
En su archivo de diccionario, agregue el nombre de atributo Zone_Verification como
un tipo de atributo de cadena. La identificacin del fabricante es 3224 y el nmero
de atributo es 10.
WebUI
Siga el siguiente procedimiento para habilitar la verificacin de zona:
Configuration > Auth > Auth Servers > New (o Edit para el servidor
existente): Introduzca toda la informacin pertinente; seleccione RADIUS;
seleccione la casilla de verificacin Enabled en Zone Verification; haga clic
en Apply.
102 Visualizacion de la informacin de 802.1X
CLI
Para activar la verificacin de zona para el servidor RADIUS llamado radius1,
introduzca el siguiente comando:
set auth-server radius1 radius zone-verification
Visualizacion de la informacin de 802.1X
Puede visualizar la informacin detallada sobre la configuracin de 802.1X en el
CLI. No se puede visualizar toda la informacin de 802.1X utilizando WebUI.
Visualizacion de la informacin de configuracin global de 802.1X
Introduzca el siguiente comando para visualizar la informacin de configuracin
global de 802.1X:
get dot1x
El comando muestra la siguiente informacin para cada interfaz Ethernet e
inalmbrica:
Estado de 802.1X: habilitado o desactivado
Modo: virtual o interfaz
Nmero de usuarios (del nmero mximo de usuarios permitidos)
Nmero de segundos hasta que se requiera reautenticacin
Estado del modo de control del puerto
A continuacin se incluye un ejemplo del resultado del comando get dot1x :
----------------------------------------------------------------------------
Name IEEE802.1x Mode User re-auth Status
Ethernet1 Enabled virtual 1/64 3600s Auto
Ethernet2 Disabled virtual 0/64 3600s Auto
Ethernet3 Enabled interface -- 1200s F-U
Ethernet3.1 Enabled virtual 0/64 3600s Auto
Ethernet4 Enabled virtual 0/16 3600s Auto
----------------------------------------------------------------------------
Visualizacion de la informacin de 802.1X 103
Visualizacion de la informacin de 8021.X para una interfaz
Introduzca el siguiente comando para visualizar la configuracin de 802.1X y la
informacin del usuario para una interfaz especfica:
get interface nombre_interfaz dot1x
A continuacin se incluye un ejemplo de resultado:
IEEE 802.1x enabled
port-control: auto, mode: virtual
user 1/max 64 auth-server: test-radius
reauth enable period 1200s
silent enable period 300s
to-supplicant retry enable count 3 period 10s
-------------------------------------------------------------------
User 0003e40220b1, session id 1, authorized
Total 1 user shown
-----------------------------------------------------------------
Visualizacion de estadsticas de 802.1X
Utilice WebUI o CLI para obtener las estadsticas de 802.1X para una interfaz
especfica.
WebUI
Network > 802.1X > Statistic: Seleccione la interfaz desde la lista en la parte
superior de la pgina.
CLI
Introduzca el siguiente comando para visualizar las estadsticas de 802.1X para la
interfaz ethernet0/2:
get interface ethernet0/2 dot1x statistics
Interface Ethernet0/2:
------------------------------------------------------------------------------
Interface ethernet1 802.1x statistics:
in eapol 0 | out eapol 0 | in start 0
in logoff 0 | in resp/id 0 | in resp 0
out req/id 0 | out req 0 | in invalid 0
in len error 0 |
Interface ethernet1 802.1x diagnostics:
while connecting:
enters 0 | eap logoffs 0 |
while authenticating:
enters 0 | auth success 0 | auth timeouts 0
auth fail 0 | auth reauth 0 | auth start 0
auth logoff 0 |
104 Ejemplos de configuracin
Visualizacion de estadsticas de la sesin de 802.1X
Introduzca el siguiente comando para visualizar las estadsticas de la sesin de
802.1X:
get dot1x session
Alloc 2/max 1024, alloc failed 0
Id 1/ vsys 0, flag 00000000, re-auth 3105s, ethernet1, 0003e40220c2, authorized
Id 2/ vsys 0, flag 00000000, re-auth 430s, ethernet3.1, 0003e40220b1,
fail-silent
Total 2 session shown
Visualizacion de detalles de la sesin de 802.1X
Introduzca el siguiente comando para visualizar informacin detallada para una
sesin de 802.1X especfica:
get dot1x session id id_sesin
Id 1, flag 00000000, vsys id 0(Root)
Interface ethernet1(vsd 0), supp-mac 0003e40220c2, status authorized
Re-auth timeout 3105s, type eap-md5
As radius_test, zone-verification on
Retry 0, as retry 0
----------------------------------------------------------------------
statistics:
in octets 0 | out octets 0 | in frames 0
out frames 0
------------------------------------------------------------------------
Ejemplos de configuracin
Esta seccin contiene los siguientes tres ejemplos:
directamente y el servidor RADIUS en la pgina 104
Configuracin de un dispositivo de seguridad con un concentrador entre un
cliente y el dispositivo de seguridad en la pgina 105
Configuracin del servidor de autenticacin con una interfaz inalmbrica en
la pgina 107
Configuracin del dispositivo de seguridad con un cliente conectado directamente y el
servidor RADIUS
En este ejemplo, como se muestra en la Figura 24, la red tiene dos clientes
conectados directamente al dispositivo de seguridad con los siguientes parmetros:
Cliente conectado directamente a la interfaz Ethernet1
Cliente conectado directamente a la interfaz Ethernet2
Ejemplos de configuracin 105
Interfaz Ethernet3 vinculada a la zona Trust con una direccin IP 10.1.40.3/24
Servidor RADIUS llamado radius1 (10.1.1.200) conectado a la interfaz
Ethernet3 para autenticar usuarios con 802.1X, utilizando el puerto 1812 como
el puerto de autenticacin y la opcin secret of mysecret
Debido a que dos clientes que estn conectados de forma directa son los nicos
dispositivos conectados a las interfaces Ethernet1 y Ethernet2, el modo de control
est configurado a interface.
Figura 24: Dispositivo de seguridad con un cliente conectado directamente y el servidor
RADIUS
set interface ethernet3 zone trust
set interface ethernet3 ip 10.1.1.10/24
set auth-server radius1 account-type 802.1x
set auth-server radius1 radius secret mysecret
Configuracin de un dispositivo de seguridad con un concentrador entre un cliente y el
dispositivo de seguridad
El siguiente ejemplo, como se muestra en la Figura 25, utilizar un concentrador
con los clientes conectados al dispositivo de seguridad y un cliente conectado
directamente al dispositivo de seguridad.
Servidor RADIUS
Ethernet2
Ethernet1
Ethernet3
NOTA: No se admite la funcionalidad de 802.1X para un conmutador entre el dispositivo
de seguridad y los clientes. Si tiene un conmutador conectado al dispositivo de
seguridad, le recomendamos que desactive el 802.1X en la interfaz a la que est
conectado el conmutador.
Este ejemplo utiliza los siguientes parmetros:
Concentrador conectado a la interfaz Ethernet2 (modo de control virtual)
Concentrador conectado a la interfaz Ethernet1 (modo de control interface)
Figura 25: Dispositivo de seguridad con un concentrador entre un cliente y el dispositivo
de seguridad
set interface ethernet2 dot1x control-mode virtual
Servidor RADIUS
Ethernet2
Ethernet1
Ethernet3
Concentrador
Ejemplos de configuracin 107
Configuracin del servidor de autenticacin con una interfaz inalmbrica
El siguiente ejemplo, como se muestra en la Figura 26, tiene un dispositivo de
seguridad con una interfaz inalmbrica que sirve a los clientes inalmbricos y a un
cliente conectado directamente al dispositivo de seguridad con los siguientes
parmetros:
Clientes inalmbricos conectados a la interfaz inalmbrica
Concentrador conectado a la interfaz Ethernet1 (modo de control interface)
SSID llamado ingenieros, utiliza autenticacin WPA, con encriptacin AES o
TKIP, especificando a radius1 como el servidor de autenticacin y vinculado a
la interfaz inalmbrica 1
Figura 26: Configuracin de un servidor de autenticacin con una interfaz inalmbrica
set ssid name ingenieros
set ssid ingenieros authentication wpa encryption auto auth-server radius1
set ssid ingenieros interface wireless0/1
Wireless1
Wireless1
Ethernet1
Ethernet3
Servidor RADIUS
ndice IX-I
ndice
A
adaptadores virtuales ....................................................73
asignacin de prioridades ............................................33
atributos especficos de cada fabricante.....................22
autenticacin
dar prioridad............................................................33
Autenticacin en infranet .............................................46
autenticacin en tiempo de ejecucin ........................48
autenticacin, servidores de
vase servidores de autenticacin
autenticacin, usuarios de
vase usuarios de autenticacin
B
base de datos local
tiempo de espera ....................................................16
tipos de usuarios admitidos ...................................16
usuarios IKE.............................................................70
bypass-auth ....................................................................74
C
CHAP...............................................................................84
claves manuales.............................................................14
clientes SecurID
reintentos .................................................................29
tiempo de espera ....................................................29
cdigos token.................................................................28
configuracin de modos ...............................................74
Controlador de infranet
acciones....................................................................45
directivas de recursos.............................................45
introduccin.............................................................44
D
direcciones
asignaciones L2TP...................................................89
Perodo de vigencia de la direccin IP para los
usuarios XAuth......................................................74
direcciones XAuth
asignaciones ............................................................73
autenticacin, y.......................................................84
perodo de vigencia de la direccin IP.......... 74 a 76
tiempo de espera ....................................................74
directiva de conexin para Intranet Enforcer.............44
E
encriptacin, SecurID....................................................29
entrada de la tabla de autenticacin ...........................45
expresiones de grupos .............................................. 5 a 9
operadores .................................................................5
servidores admitidos...............................................14
usuarios ......................................................................5
I
ID de fabricante, VSA.....................................................22
inactividad en sesin, tiempo de espera ....................19
Infranet Enforcer
directiva, configuracin..........................................44
introduccin.............................................................44
L
L2TP
asignaciones de direcciones...................................89
autenticacin de usuarios.......................................89
base de datos local ..................................................90
servidor de autenticacin externo.........................90
LDAP........................................................................ 30 a 31
estructura .................................................................30
identificadores de nombre comn........................31
nombres completos ................................................31
puertos del servidor ................................................31
tipos de usuarios admitidos ...................................31
locales, bases de datos.......................................... 15 a 17
M
mensajes de bienvenida ...............................................10
N
nombres completos.......................................................31
nombres comunes.........................................................31
P
protocolo ligero de acceso a directorios
vase LDAP
protocolos, CHAP...........................................................84
R
RADIUS ................................................................... 19 a 23
archivo de diccionario ..............................................3
IX-II ndice
archivos de diccionario .......................................... 22
objetos de servidor auth......................................... 34
propiedades del objeto........................................... 20
puertos ..................................................................... 20
secreto compartido................................................. 20
tiempo de espera entre reintentos........................ 20
RADIUS, archivo de diccionario de ............................... 3
RFC 1777, Protocolo ligero de acceso a directorios.... 31
S
ScreenOS
ID de fabricante de RADIUS .................................. 22
SecurID........................................................................... 28
autenticador............................................................. 28
cdigos token .......................................................... 28
objeto servidor de autenticacin........................... 36
opcin Use Duress .................................................. 29
puerto de autenticacin ......................................... 29
servidores ACE ........................................................ 29
tipos de encriptacin.............................................. 29
usuarios, tipos admitidos ....................................... 30
seguridad
asignacin de prioridades...................................... 33
Servicio de autenticacin remota de usuarios de acceso
telefnico
vase RADIUS
servidores de autenticacin ................................. 13 a 42
consultas de XAuth................................................. 73
definicin......................................................... 34 a 42
direcciones............................................................... 18
enrutador ................................................................. 17
LDAP................................................................. 30 a 31
nmero de identificacin....................................... 18
nmero mximo ..................................................... 14
predeterminadas............................................... 40, 41
proceso de autenticacin....................................... 17
respaldo.................................................................... 18
SecurID..................................................................... 28
SecurID, definicin ................................................. 36
tiempo de espera por inactividad ......................... 18
tipos.......................................................................... 18
vase servidores de autenticacin
servidores de autenticacin, objetos de
nombres................................................................... 18
propiedades ............................................................. 18
servidores de autenticacin, RADIUS ................. 19 a 23
definicin................................................................. 34
usuarios, tipos admitidos ....................................... 21
servidores de autenticacin, TACACS+
definicin................................................................. 39
servidores, SecurID ACE ............................................... 29
solucin de control de acceso unificado
vista general de ................................................. vii, 43
SSL, con WebAuth ......................................................... 65
T
TACACS+
objetos servidor de autenticacin ......................... 39
propiedades del objeto........................................... 33
puertos...................................................................... 33
reintentos de clienteS............................................. 33
secreto compartido................................................. 33
tiempo de espera de clientes................................. 33
tiempo de espera entre reintentos........................ 33
tiempo de espera
usuarios administradores....................................... 18
usuarios de autenticacin ...................................... 18
tiempo de espera por sesin inactiva ......................... 19
tiempo de inactividad de VPN..................................... 75
Tipos de atributos VSA.................................................. 23
U
usuarios
administrador, tiempo de espera.......................... 18
administradores ........................................................ 2
de mltiples tipos...................................................... 4
grupos, servidores admitidos ................................ 14
IKE
vase usuarios IKE
L2TP.................................................................. 89 a 92
WebAuth .................................................................. 14
XAuth................................................................ 72 a 87
usuarios administradores ............................................... 2
dar prioridad a la autenticacin ............................ 33
privilegios desde RADIUS......................................... 3
servidores admitidos .............................................. 14
tiempo de espera .................................................... 18
usuarios autorizados, autenticacin de
previa a la directiva................................................. 49
punto de..................................................................... 1
servidores de autenticacin, con........................... 14
usuarios de autenticacin..................................... 47 a 68
administradores ........................................................ 2
base de datos local.......................................... 15 a 17
clave manual............................................................ 14
de mltiples tipos...................................................... 4
en directivas ............................................................ 48
grupos................................................................. 47, 50
IKE ......................................................................14, 69
inicio de sesin, con diferentes nombres .............. 5
L2TP.......................................................................... 89
servidores admitidos .............................................. 14
tiempo de espera .................................................... 18
tipos de usuarios ..................................................... 13
tipos y aplicaciones............................................. 1 a 5
vase usuarios de autenticacin
WebAuth .................................................................. 14
XAuth........................................................................ 72
ndice IX-III
ndice
usuarios de autenticacin, tiempo de ejecucin
autenticacin ...........................................................48
externos, usuarios...................................................54
grupo de usuarios, externos ..................................56
grupos de usuarios locales .....................................53
locales, usuarios ......................................................51
proceso de autenticacin .......................................49
usuarios de autenticacin, WebAuth...........................49
con SSL (externos, grupos de usuarios)................65
grupo de usuarios, externos ..................................62
usuarios IKE ..................................................... 14, 69 a 72
con otros tipos de usuario........................................4
definicin .................................................................70
grupos.......................................................................70
grupos, definir .........................................................71
grupos, y...................................................................69
identificacin IKE..............................................69, 84
servidores admitidos ..............................................14
usuarios L2TP.................................................................89
con XAuth ..................................................................4
usuarios XAuth....................................................... 72 a 87
autenticacin ...........................................................72
autenticacin de grupo local ..................................78
autenticacin local ..................................................76
con L2TP ....................................................................4
usuarios, IKE
vase usuarios IKE
V
VSA ..................................................................................22
W
WebAuth ...................................................................14, 49
con SSL (externos, grupos de usuarios) ................65
grupos de usuarios externos ..................................62
proceso de autenticacin previo a directivas.......49
X
XAuth
adaptadores virtuales..............................................73
asignaciones TCP/IP................................................74
autenticacin del cliente.........................................88
bypass-auth..............................................................74
consultar ajustes remotos.......................................73
definicin..................................................................72
ScreenOS como cliente...........................................88
tiempo de inactividad de VPN...............................75
XAuth, direcciones
asignaciones.............................................................73
autenticacin, y .......................................................84
tiempo de espera.....................................................74
XAuth, externo
autenticacin de grupo de usuarios ......................81
autenticacin de usuarios.......................................79
consultas al servidor de autenticacin..................73
IX-IV ndice

Volumen 9: Autenticación de Usuariosn: Conceptos Y Ejemplos Manual de Referencia de Screenos

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Volumen 9: Autenticación de Usuariosn: Conceptos Y Ejemplos Manual de Referencia de Screenos

Uploaded by

Copyright:

Available Formats

Juniper Networks, Inc.

1194 North Mathilda Avenue

You might also like