Volumen 9: Autenticación de Usuariosn: Conceptos Y Ejemplos Manual de Referencia de Screenos

Conceptos y ejemplos Manual de referencia de ScreenOS
Volumen 9: Autenticacin de usuariosn
Versin 6.0.0, Rev. 02
Juniper Networks, Inc.

1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000
www.juniper.net
Nmero de pieza: 530-017775-01-SP, Revisin 02
Copyright Notice
Copyright 2007 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures:
Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este manual vii Convenciones del documento ....................................................................... viii Convenciones de la interfaz de usuario web ........................................... viii Convenciones de interfaz de lnea de comandos .................................... viii Convenciones de nomenclatura y conjuntos de caracteres ....................... ix Convenciones para las ilustraciones .......................................................... x Asistencia y documentacin tcnica................................................................ xi Captulo 1 Autenticacin 1
Tipos de autenticaciones de usuarios ............................................................... 1 Usuarios con permisos de administrador ......................................................... 2 Usuarios de mltiples tipos .............................................................................. 4 Expresiones de grupos ..................................................................................... 5 Ejemplo: Expresiones de grupos (AND) ..................................................... 6 Ejemplo: Expresiones de grupos (OR)........................................................ 8 Ejemplo: Expresiones de grupos (NOT)......................................................9 Personalizacin de mensajes de bienvenida .................................................. 10 Ejemplo: Personalizar un mensaje de bienvenida de WebAuth................ 10 Mensaje de bienvenida de inicio de sesin..................................................... 11 Ejemplo: Crear un mensaje de bienvenida de inicio de sesin................. 11 Captulo 2 Servidores de autenticacin 13
Tipos de servidores de autenticacin ............................................................. 13 Base de datos local......................................................................................... 15 Ejemplo: Tiempo de espera de la base de datos local .............................. 16 Servidores de autenticacin externos............................................................. 17 Propiedades del objeto servidor de autenticacin................................. 18 Tipos de servidores de autenticacin ............................................................. 19 Servicio de autenticacin remota de usuarios de acceso telefnico.......... 19 Propiedades del objeto servidor de autenticacin RADIUS ................ 20 Caractersticas y tipos de usuarios admitidos .................................... 21 Archivo de diccionario de RADIUS ....................................................22 Mejoras de RADIUS compatibles para los usuarios Auth y XAuth ...... 25 SecurID.................................................................................................... 28 Propiedades del objeto servidor de autenticacin SecurID ................ 29 Caractersticas y tipos de usuarios admitidos .................................... 30 Protocolo ligero de acceso a directorios................................................... 30 Propiedades del objeto servidor de autenticacin LDAP.................... 31 Caractersticas y tipos de usuarios admitidos .................................... 31 Sistema plus de control de acceso de control de acceso de terminal Plus (TACACS+) ............................................................................................. 32 Propiedades del objeto del servidor TACACS+ ................................. 33 Pioridad de la autenticacin de administrador ............................................... 33
Contenido
iii
Manual de referencia de ScreenOS: Conceptos y ejemplos
Definicin de objetos de servidor de autenticacin ........................................ 34 Ejemplo: Servidor de autenticacin RADIUS ............................................ 34 Ejemplo: Servidor de autenticacin SecurID ............................................ 36 Ejemplo: Servidor de autenticacin LDAP................................................ 38 Ejemplo: Servidor de autenticacin TACACS+ ........................................ 39 Definicin de los servidores de autenticacin predeterminados..................... 40 Ejemplo: Cambiar los servidores de autenticacin predeterminados ....... 41 Captulo 3 Autenticacin de infranet 43
Solucin de control de acceso unificado......................................................... 43 Funcionamiento del cortafuegos con el controlador de infranet..................... 45 Configuracin de la autenticacin de infranet ................................................ 46 Captulo 4 Usuarios de autenticacin 47
Referencias a usuarios autenticados en directivas .......................................... 48 Autenticacin en tiempo de ejecucin ..................................................... 48 Autenticacin de comprobacin previa a la directiva (WebAuth) ............. 49 Referencias a grupos de usuarios de autenticacin en directivas.................... 50 Ejemplo: Autenticacin en tiempo de ejecucin (usuario local)................ 51 Ejemplo: Autenticacin en tiempo de ejecucin (grupo de usuarios locales) ...................................................................... 53 Ejemplo: Autenticacin en tiempo de ejecucin (usuario externo) ........... 54 Ejemplo: Autenticacin en tiempo de ejecucin (grupo de usuarios externos) ................................................................... 56 Ejemplo: Usuario de autenticacin local en mltiples grupos................... 58 Ejemplo: WebAuth (grupo de usuarios locales) ........................................ 61 Ejemplo: WebAuth (grupo de usuarios externos) ..................................... 62 Ejemplo: WebAuth + SSL solamente (grupo de usuarios externos) ......... 65 Captulo 5 Usuarios IKE, XAuth y L2TP 69
Usuarios y grupos de usuarios IKE .................................................................69 Ejemplo: Definir usuarios IKE .................................................................. 70 Ejemplo: Creacin de un grupo de usuarios IKE ...................................... 71 Referencias a usuarios IKE en puertas de enlace ..................................... 72 Usuarios y grupos de usuarios XAuth ............................................................. 72 Registro de eventos para el modo IKE ..................................................... 74 Usuarios XAuth en negociaciones IKE ..................................................... 74 Ejemplo: Autenticacin XAuth (usuario local) .................................... 76 Ejemplo: Autenticacin XAuth (usuario externo) ............................... 79 Cliente XAuth .......................................................................................... 88 Ejemplo: Dispositivo de seguridad como cliente XAuth..................... 88 Usuarios y grupos de usuarios L2TP ............................................................... 89 Ejemplo: Servidores de autenticacin L2TP locales y externos ................ 90 Captulo 6 Autenticacin extensible para interfaces inalmbricas y Ethernet 93
Vista general .................................................................................................. 94 Tipos de EAP admitidos ................................................................................. 94 Habilitacin e inhabilitacin de la autenticacin 802.1X ................................ 95 Interfaces Ethernet .................................................................................. 95 Interfaces inalmbricas............................................................................ 95 Configuracin de los ajustes de 802.1X.......................................................... 96 Configuracin del control del puerto 802.1X ........................................... 96
iv
Contenido
Contenido
Configuracin del modo de control de 802.1X ........................................ 97 Ajuste del nmero mximo de usuarios simultneos ............................... 97 Configuracin del periodo de reautenticacin.......................................... 98 Habilitacin de las retransmisiones EAP .................................................. 98 Configuracin de la cuenta de retransmisiones de EAP ........................... 99 Configuracin del periodo de retransmisin de EAP ................................ 99 Configuracin del periodo inactivo (sin actividad) ................................... 99 Configuracin de las opciones del servidor de autenticacin........................100 Especificar un servidor de autenticacin................................................100 Interfaces Ethernet..........................................................................100 Ajuste del tipo de cuenta .......................................................................101 Habilitacin de la verificacin de zonas .................................................101 Visualizacion de la informacin de 802.1X ..................................................102 Visualizacion de la informacin de configuracin global de 802.1X.......102 Visualizacion de la informacin de 8021.X para una interfaz ................103 Visualizacion de estadsticas de 802.1X.................................................103 Visualizacion de estadsticas de la sesin de 802.1X..............................104 Visualizacion de detalles de la sesin de 802.1X....................................104 Ejemplos de configuracin ...........................................................................104 Configuracin del dispositivo de seguridad con un cliente conectado directamente y el servidor RADIUS........................................................104 Configuracin de un dispositivo de seguridad con un concentrador entre un cliente y el dispositivo de seguridad ........................................105 Configuracin del servidor de autenticacin con una interfaz inalmbrica ...........................................................................................107 ndice ........................................................................................................................IX-I
Contenido
vi
Contenido
Acerca de este manual

Volumen 9: Autenticacin de usuariosn: en este volumen se describen los mtodos de ScreenOS para autenticar diferentes tipos de usuarios. Contiene una introduccin a la autenticacin de usuarios, presenta las dos ubicaciones en las que se puede almacenar la base de datos de perfiles de usuarios (la base de datos interna y un servidor de autenticacin externo), y luego proporciona numerosos ejemplos para configurar la autenticacin, usuarios y grupos de usuarios IKE, XAuth y L2TP. Tambin se tratan algunos otros aspectos de la autenticacin de usuarios, como cambiar los mensajes de bienvenida de inicio de sesin, crear usuarios de varios tipos (por ejemplo, un usuario IKE/XAuth) y utilizar expresiones de grupos en las directivas que aplican la autenticacin. Este volumen contiene los siguientes captulos:
El Captulo 1, Autenticacin, detalla los distintos usos y mtodo de autenticacin que admite ScreenOS. El Captulo 2, Servidores de autenticacin, presenta las opciones de utilizacin de cada uno de los cuatro tipos de servidor posibles de autenticacin externa, RADIUS, SecurID, TACACS+ o LDAP, o la base de datos interna y muestra cmo configurar el dispositivo de seguridad para trabajar con cada tipo. El Captulo 3, Autenticacin de infranet, describe cmo se implementa el dispositivo de seguridad en una solucin de control de acceso unificado (UAC). La solucin de Juniper Networks (UAC) asegura y garantiza la entrega de aplicaciones y servicios a travs de la infranet empresarial. El Captulo 4, Usuarios de autenticacin, explica cmo definir los perfiles para los usuarios de autenticacin y cmo agregarlos a los grupos de usuarios almacenados localmente o en un servidor de autenticacin RADIUS externo. El Captulo 5, Usuarios IKE, XAuth y L2TP, explica cmo definir usuarios IKE, XAuth y L2TP. Aunque la seccin XAuth se centra sobre todo en el uso del dispositivo de seguridad como servidor de XAuth, tambin incluye una subseccin sobre la configuracin de determinados dispositivos de seguridad actuando como clientes XAuth. El Captulo 6, Autenticacin extensible para interfaces inalmbricas y Ethernet, explica las opciones disponibles del protocolo de autenticacin extensible para autenticar interfaces inalmbricas y Ethernet.
vii
Convenciones del documento

Este documento utiliza las convenciones descritas en las secciones siguientes:

Convenciones de la interfaz de usuario web en esta pgina Convenciones de interfaz de lnea de comandos en esta pgina Convenciones de nomenclatura y conjuntos de caracteres en la pgina ix Convenciones para las ilustraciones en la pgina x
Convenciones de la interfaz de usuario web

En la interfaz de usuario web (WebUI), el conjunto de instrucciones de cada tarea se divide en ruta de navegacin y establecimientos de configuracin. Para abrir una pgina de WebUI e introducir parmetros de configuracin, navegue hacia la pgina en cuestin haciendo clic en un elemento del men en el rbol de navegacin en el lado izquierdo de la pantalla, luego en los elementos subsiguientes. A medida que avanza, su ruta de navegacin aparece en la parte superior de la pantalla, cada pgina separada por signos de mayor y menor. Lo siguiente muestra los parmetros y ruta de WebUI para la definicin de una direccin: Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: dir_1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust
Para abrir la ayuda en lnea para los ajustes de configuracin, haga clic en el signo de interrogacin (?) en la parte superior izquierda de la pantalla. El rbol de navegacin tambin proporciona una pgina de configuracin de Help > Config Guide configuracin para ayudarle a configurar las directivas de seguridad y la Seguridad de protocolo de Internet (IPSec). Seleccione una opcin del men desplegable y siga las instrucciones en la pgina. Haga clic en el carcter ? en la parte superior izquierda para la Ayuda en lnea en la Gua de configuracin.
Convenciones de interfaz de lnea de comandos

Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos de interfaz de lnea de comandos (CLI) en ejemplos y en texto. En ejemplos:

Los elementos entre corchetes [ ] son opcionales. Los elementos entre llaves { } son obligatorios.
viii
Si existen dos o ms opciones alternativas, aparecern separadas entre s por barras verticales ( | ). Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage
Las variables aparecen en cursiva:

set admin user nombre1 contrasea xyz
En el texto, los comandos estn en negrita y las variables en cursiva.
NOTA:
Para introducir palabras clave, basta con introducir los primeros caracteres para identificar la palabra de forma inequvoca. Al escribir set adm u whee j12fmt54 se ingresar el comando set admin user wheezer j12fmt54. Sin embargo, todos los comandos documentados aqu se encuentran presentes en su totalidad.
Convenciones de nomenclatura y conjuntos de caracteres

ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones, usuarios administradores, servidores de autenticacin, puertas de enlace IKE, sistemas virtuales, tneles de VPN y zonas) definidos en las configuraciones de ScreenOS:
Si una cadena de nombre tiene uno o ms espacios, la cadena completa deber estar entre comillas dobles; por ejemplo:
set address trust local LAN 10.1.1.0/24
Cualquier espacio al comienzo o al final de una cadena entrecomillada se elimina; por ejemplo, local LAN se transformar en local LAN. Los espacios consecutivos mltiples se tratan como uno solo. En las cadenas de nombres se distingue entre maysculas y minsculas; por el contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente. Por ejemplo, local LAN es distinto de local lan.
ScreenOS admite los siguientes conjuntos de caracteres:
Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los conjuntos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
NOTA:
Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador.
ix
Convenciones para las ilustraciones

La siguiente figura muestra el conjunto bsico de imgenes utilizado en las ilustraciones de este volumen:
Figura 1: Imgenes de las ilustraciones
Sistema autnomo o bien dominio de enrutamiento virtual Red de rea local (LAN) con una nica subred o bien zona de seguridad
Internet
Rango dinmico de IP (DIP)
Interfaces de zonas de seguridad: Blanco = Interfaz de zona protegida (ejemplo = zona Trust) Negro = Interfaz de zona externa (ejemplo = zona Untrust)
Motor de directivas
Dispositivo de red genrico
Interfaz de tnel Servidor Tnel VPN
Enrutador Dispositivos de seguridad Juniper Networks
Conmutador
Concentrador
Asistencia y documentacin tcnica

Para obtener documentacin tcnica sobre cualquier producto de Juniper Networks, visite www.juniper.net/techpubs/. Para obtener soporte tcnico, abra un expediente de soporte utilizando el vnculo Case Manager en la pgina web http://www.juniper.net/customers/support/ o llame al telfono 1-888-314-JTAC (si llama desde los EE.UU.) o al +1-408-745-9500 (si llama desde fuera de los EE.UU.). Si encuentra algn error u omisin en este documento, pngase en contacto con Juniper Networks al techpubs-comments@juniper.net.
xi
xii
Captulo 1
Autenticacin
Despus de una introduccin general a los diferentes tipos de autenticacin disponibles para los diferentes tipos de usuarios de la red, este captulo dedica una breve seccin a la autenticacin del usuario administrador (admin). A continuacin, proporciona informacin sobre la combinacin de diferentes tipos de usuarios, la utilizacin de expresiones de grupos y cmo personalizar los mensajes de bienvenida que aparecen al iniciar una sesin HTTP, FTP, L2TP, Telnet y XAuth. La seccin final describe cmo crear un mensaje de bienvenida de mayor tamao (4 Kbytes), que precede a todos los mensajes de bienvenida de autenticacin de cortafuegos y el acceso administrativo, los cuales se definieron individualmente. Este captulo consta de las siguientes secciones:

Tipos de autenticaciones de usuarios en esta pgina Usuarios con permisos de administrador en la pgina 2 Usuarios de mltiples tipos en la pgina 4 Expresiones de grupos en la pgina 5 Personalizacin de mensajes de bienvenida en la pgina 10 Mensaje de bienvenida de inicio de sesin en la pgina 11
Tipos de autenticaciones de usuarios

En los siguientes captulos se describen los diferentes tipos de usuarios y grupos de usuarios que se pueden crear y cmo utilizarlos al configurar directivas, puertas de enlace IKE y tneles L2TP:

Usuarios de autenticacin en la pgina 47 Usuarios y grupos de usuarios IKE en la pgina 69 Usuarios y grupos de usuarios XAuth en la pgina 72 Usuarios y grupos de usuarios L2TP en la pgina 89
El dispositivo de seguridad autentica los diferentes tipos de usuarios en diversas etapas durante el proceso de conexin. Las tcnicas de autenticacin de usuario IKE, XAuth, L2TP y auth ocurren en diferentes momentos durante la creacin del tnel VPN L2TP a travs de IPSec. Consulte la Figura 1 en la pgina 2.
Tipos de autenticaciones de usuarios
Figura 1: Autenticacin durante el tnel VPN L2TP a travs de IPSec

Las fases en las que se produce la autenticacin de usuarios IKE, XAuth, L2TP y auth ocurren durante la configuracin y uso de un tnel L2TP sobre IPSec identificacin IKE L2TP Durante la fase 1 XAuth Una vez establecido el tnel Modo principal: Mens. 5 y 6 Entre las fases 1 y 2 IPSec, durante la Modo dinmico: Mens. 1 y 2 negociacin del tnel L2TP Usuario Auth/IKE/L2TP/XAuth
Auth Cuando el trfico enviado a travs del tnel alcanza el cortafuegos de Juniper Networks
Fase 1 Tnel IPSec Tnel L2TP Trfico
Fase 2
Nota: Dado que tanto XAuth como L2TP proporcionan autenticacin de usuarios y asignaciones de direcciones, rara vez se utilizan juntos. Se muestran juntos aqu solamente para ilustrar cundo se produce cada tipo de autenticacin durante la creacin de un tnel VPN.
Usuarios con permisos de administrador

Los usuarios con permisos de administrador son los administradores de un dispositivo de seguridad. Hay cinco clases de usuarios con permisos de administrador:

Administrador raz (root admin) Administrador de lectura/escritura de nivel raz (root-level read/write admin) Administrador de slo lectura de nivel raz (root-level read-only admin) Administrador Vsys (Vsys admin) Administrador Vsys de slo lectura (Vsys read-only admin)
NOTA:
Para obtener informacin sobre los privilegios de cada tipo de usuario administrador y ver ejemplos de creacin, modificacin y eliminacin de usuarios administradores, consulte Administracin en la pgina 3-1. Aunque el perfil del usuario raz de un dispositivo de seguridad debe almacenarse en la base de datos local, puede almacenar usuarios vsys y usuarios administradores de nivel raz con privilegios de lectura/escritura y privilegios de slo lectura en la base de datos local o en un servidor de autenticacin externo.
Captulo 1: Autenticacin
Si almacena cuentas de usuarios en un servidor de autenticacin RADIUS externo y carga el archivo de diccionario RADIUS en el servidor de autenticacin, puede optar por consultar los privilegios de administrador definidos en el servidor. Opcionalmente, puede especificar un nivel de privilegios que se aplicar globalmente a todos los usuarios con permisos de administrador almacenados en ese servidor de autenticacin. Puede especificar privilegios de lectura/escritura o de slo lectura. Si almacena usuarios con permisos de administrador en un servidor de autenticacin SecurID o LDAP externo, o en un servidor RADIUS sin el archivo de diccionario RADIUS, no podr definir sus atributos de privilegios en el servidor de autenticacin. Por lo tanto, debe asignarles un nivel de privilegios en el dispositivo de seguridad.
Si se establecen en el dispositivo de seguridad:
Obtener privilegios del servidor RADIUS Asignar privilegios de lectura/escritura al admin externo
Y el servidor RADIUS tiene cargado el archivo de diccionario de RADIUS:

Asignar los privilegios apropiados Asignar privilegios de lectura/escritura de nivel raz o vsys
Y un servidor SecurID, LDAP o RADIUS sin el archivo de diccionario de RADIUS:

Fallo de inicio de sesin del admin de nivel raz o vsys Asignar privilegios de lectura/escritura de nivel raz Fallo de inicio de sesin del admin vsys Asignar privilegios de slo lectura de nivel raz Fallo de inicio de sesin del admin vsys
Asignar privilegios de slo lectura al admin externo
Asignar privilegios de slo lectura de nivel raz o vsys
La Figura 2 muestra el proceso de autenticacin de admin.

Figura 2: Proceso de autenticacin de admin
Usuario administrador 1. El usuario administrador inicia una sesin HTTP o Telnet. 4, 5. El dispositivo de seguridad comprueba una cuenta de usuario administrador primero en la base de datos local y luego, si no ha encontrado ninguna coincidencia, revisa en un servidor de autenticacin externo. BD local
Nombre: ?? Contrasea: ?? Nombre: ** Contrasea: **
servidor de autenticacin WebUI o CLI
2, 3. ScreenOS enva una peticin de inicio de sesin a travs de HTTP o Telnet al origen.
6. Despus de autenticar con xito a un usuario con permisos de administrador, el dispositivo abre una sesin de WebUI o de CLI.
Usuarios de mltiples tipos

Puede combinar usuarios de autenticacin, IKE, L2TP o XAuth para crear las siguientes combinaciones y almacenarlas en la base de datos local:

Usuario Auth/IKE Usuario Auth/IKE/XAuth Usuario Auth/L2TP Usuario IKE/XAuth Usuario Auth/IKE/L2TP Usuario L2TP/XAuth Usuarios IKE/L2TP Usuario IKE/L2TP/XAuth Usuario Auth/XAuth Usuario Auth/IKE/L2TP/XAuth
Aunque puede crear todas las combinaciones indicadas al definir cuentas de usuarios de mltiples tipos en la base de datos local, tenga en cuenta los puntos siguientes antes de crearlos:
Combinar un usuario del tipo IKE con cualquier otro tipo de usuario limita el potencial de ampliacin. Las cuentas de usuario IKE deben almacenarse en la base de datos local. Si crea cuentas de usuario auth/IKE, IKE/L2TP o IKE/XAuth y el nmero de usuarios crece ms all de la capacidad de la base de datos local, no podr trasladar estas cuentas a un servidor de autenticacin externo. Si mantiene las cuentas de usuario IKE separadas de otros tipos de cuentas, tiene la posibilidad de mover las cuentas de usuario que no sean IKE a un servidor de autenticacin externo en caso de necesidad. L2TP y XAuth proporcionan los mismos servicios: autenticacin de usuarios remotos y asignacin de las direcciones IP propia, de los servidores DNS y de los servidores WINS. No se recomienda utilizar L2TP y XAuth juntos para un tnel L2TP-por-IPSec. Ambos protocolos no slo cumplen los mismos objetivos; adems, las asignaciones de direcciones L2TP sobreescriben las asignaciones de direcciones XAuth una vez finalizadas las negociaciones IKE de la fase 2 e iniciadas las negociaciones de L2TP. Si crea una cuenta de usuario de mltiples tipos en la base de datos local combinando auth/L2TP o auth/XAuth, se deber utilizar el mismo nombre de usuario y contrasea para ambos inicios de sesin.
Usuarios de mltiples tipos
Aunque resulta ms cmodo crear una sola cuenta de usuario de mltiples tipos, separar los tipos de usuario en dos cuentas independientes permite aumentar la seguridad. Por ejemplo, puede almacenar una cuenta de usuario de autenticacin en un servidor de autenticacin externo y una cuenta de usuario XAuth en la base de datos local. Puede entonces asignar diferentes nombres de usuario de inicio de sesin y contraseas a cada cuenta, y hacer referencia al usuario XAuth en la configuracin de la puerta de enlace IKE y al usuario de autenticacin en la configuracin de la directiva. El usuario VPN de acceso telefnico deber autenticarse dos veces, posiblemente con dos nombres de usuario y contraseas totalmente diferentes.
Expresiones de grupos
Una expresin de grupo es una instruccin que se puede utilizar en directivas para condicionar los requisitos de autenticacin. Las expresiones de grupos permiten combinar usuarios, grupos de usuarios u otras expresiones de grupos como alternativas para la autenticacin (a OR b), o como requisitos para la autenticacin (a AND b). Tambin puede utilizar expresiones de grupos para excluir a un usuario, grupo de usuarios u otra expresin de grupo (NOT c).
NOTA:
Aunque las expresiones de grupos se definen en el dispositivo de seguridad (y se almacenan en la base de datos local), los usuarios y grupos de usuarios a los que se hace referencia en las expresiones de grupos deben almacenarse en un servidor RADIUS externo. Un servidor RADIUS permite a los usuarios pertenecer a ms de un grupo. La base de datos local no lo permite. Las expresiones de grupos utilizan los tres operadores OR, AND y NOT. Los objetos en la expresin a los que se refieren OR, AND y NOT pueden ser un usuario de autenticacin, un grupo de usuarios de autenticacin o una expresin de grupos previamente definida. La Tabla 1 enumera objetos, expresiones de grupo y ejemplos.
Tabla 1: Ejemplos de expresin de grupo Objeto
Usuarios
Expresin
OR
Ejemplo
Una directiva especifica que el usuario sea a OR b, para que el dispositivo de seguridad autentique si el usuario coincide con alguna condicin a OR b. AND en una expresin de grupos requiere que al menos uno de los dos objetos de la expresin sea un grupo de usuarios o una expresin de grupos. (No es lgico exigir a un usuario que sea a la vez el usuario a AND b.) Si el aspecto de autenticacin de una directiva requiere que el usuario sea a AND un miembro del grupo b, entonces el dispositivo de seguridad autentica al usuario nicamente si se cumplen ambas condiciones. Una directiva especifica que el usuario puede ser cualquiera excepto el usuario c ( NOT c ), entonces el dispositivo de seguridad autenticar siempre que el usuario no sea c.
AND
NOT
Tabla 1: Ejemplos de expresin de grupo (Continuacin) Objeto

Grupos de usuarios
Expresin
OR
Ejemplo
Una directiva especifica que el usuario pertenezca al grupo a OR b, para que el dispositivo de seguridad autentique si el usuario pertenece a algn grupo. Una directiva requiere que el usuario pertenezca al grupo a AND b, para que el dispositivo de seguridad autentique al usuario, nicamente si pertenece a ambos grupos. Una directiva especifica que el usuario pertenece a cualquier grupo que no sea el grupo c ( NOT c), de manera que el dispositivo de seguridad autentique al usuario siempre que ste no pertenezca a ese grupo. Una directiva especifica que el usuario se ajuste a la descripcin de la expresin del grupo a OR expresin de grupo b, de manera que el dispositivo de seguridad autentique al usuario si se aplica cualquiera de las dos expresiones de grupo. Una directiva especifica que el usuario se ajuste a la descripcin de la expresin del grupo a AND expresin de grupo b, para que el dispositivo de seguridad autentique nicamente si ambas expresiones de grupo corresponden al usuario. Una directiva especifica que el usuario no se ajusta a la descripcin de la expresin del grupo c ( NOT c ), as que el dispositivo de grupo permite la autenticacin nicamente si el usuario no se ajusta a esa expresin de grupo.
AND
NOT
OR
AND
NOT
Ejemplo: Expresiones de grupos (AND)

En este ejemplo se crea la expresin de grupo s+m, que significa sales AND marketing. Previamente habr creado los grupos de usuarios de autenticacin sales y marketing en un servidor de autenticacin RADIUS externo llamado radius1 y los habr alimentado con los usuarios. (Para ver un ejemplo de configuracin de un servidor de autenticacin RADIUS externo, consulte el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34). A continuacin, utilizar esa expresin de grupo en una directiva intrazonal cuyo componente de autenticacin requiere que el usuario sea miembro de ambos grupos de usuarios para poder acceder al contenido confidencial de un servidor llamado project1 (10.1.1.70).
NOTA:
Para que una directiva intrazonal funcione correctamente, las direcciones de origen y de destino deben estar en subredes diferentes, conectadas con el dispositivo de seguridad a travs de dos interfaces asociadas a la misma zona. No puede haber ningn otro dispositivo de enrutamiento junto a un dispositivo de seguridad capaz de enrutar trfico entre ambas direcciones. Para obtener ms informacin sobre directivas intrazonales, consulte Directivas en la pgina 2-161.
WebUI
1. Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: project1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.70/32 Zone: Trust
2. Expresin de grupo
Policy > Policy Elements > Group Expressions > New: Introduzca los siguientes datos y haga clic en OK:
Group Expression: s+m AND: (seleccione), sales AND marketing
3. Directiva
Policy > Policies > (From: Trust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), project1 Service: ANY Action: Permit Position at Top: (seleccione)
> Advanced: Introduzca los siguientes datos y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
Authentication: (seleccione) Auth Server: (seleccione) Use: radius1 Group Expression: (seleccione), External Group Expression - s+m
CLI
1. Direccin
set address trust project1 10.1.1.70/32

set group-expression s+m sales and marketing

3. Directiva
set policy top from trust to trust any project1 any permit auth server radius1 group-expression s+m save
Ejemplo: Expresiones de grupos (OR)

En este ejemplo crear una expresin de grupo a/b, que significa amy OR basil. Previamente habr creado las cuentas de usuario de autenticacin amy y basil en un servidor de autenticacin RADIUS externo llamado radius1. (Para ver un ejemplo de configuracin de un servidor de autenticacin RADIUS externo, consulte el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34). Luego utilizar esa expresin de grupo en una directiva desde la zona Trust a DMZ. El componente de autenticacin de la directiva requiere que el usuario sea amy o basil para poder acceder al servidor web llamado web1 en la direccin IP 210.1.1.70. WebUI
1. Direccin
Address Name: web1 IP Address/Domain Name IP/Netmask: (seleccione), 210.1.1.70/32 Zone: DMZ
Group Expression: a/b OR: (seleccione), amy OR basil
3. Directiva
Policy > Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), web1 Service: ANY Action: Permit Position at Top: (seleccione)
Authentication: (seleccione) Auth Server: (seleccione) Use: radius1 Group Expression: (seleccione), External Group Expression - a/b
CLI
1. Direccin
set address trust project1 210.1.1.70/32

set group-expression a/b amy or basil 8
3.
Directiva
set policy top from trust to dmz any web1 any permit auth server radius1 group-expression a/b save
Ejemplo: Expresiones de grupos (NOT)

En este ejemplo crear una expresin de grupo -temp, que significa NOT temp. Previamente habr creado un grupo de usuarios de autenticacin local temp en un servidor de autenticacin RADIUS externo llamado radius1. (Para ver un ejemplo de configuracin de un servidor de autenticacin RADIUS externo, consulte el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34). Luego utilizar esa expresin de grupo en una directiva desde la zona Trust a la zona Untrust que permita el acceso a Internet a todos los empleados fijos, pero no a los temporales. El componente de autenticacin de la directiva requerir que cada usuario de la zona Trust sea autenticado, salvo los usuarios de temp, a los que se denegar el acceso a la zona Untrust. WebUI
Group Expression: -temp OR: (seleccione), NOT temp
2. Directiva
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: HTTP Action: Permit Position at Top: (seleccione)
Authentication: (seleccione) Auth Server: (seleccione) Use: Local Group Expression: (seleccione), External Group Expression - -temp
CLI
set group-expression -temp not temp

2. Directiva
set policy top from trust to untrust any any any permit auth server radius1 group-expression -temp save
Personalizacin de mensajes de bienvenida

Un mensaje de bienvenida es un mensaje que aparece en un monitor en diferentes lugares dependiendo del tipo de inicio de sesin:
En la parte superior de la pantalla de Telnet o de consola, cuando se conecta un usuario administrador al dispositivo de seguridad
NOTA:
Puede incluir una lnea adicional de mensaje de bienvenida debajo de un mensaje de bienvenida de Telnet o de consola. La segunda lnea del mensaje de bienvenida sigue siendo igual tanto para el inicio de sesin de Telnet como de la consola, aunque el mensaje de bienvenida de Telnet puede ser distinto del de la consola. Para crear un segundo mensaje de bienvenida, escriba el siguiente comando: set admin auth banner secondary cadena.
En la parte superior de una pantalla del explorador, despus de que un usuario de autenticacin haya iniciado una sesin correctamente en una direccin de WebAuth Antes o despus de los mensajes de peticin de inicio de sesin, mensajes de xito y mensajes de fallo Telnet, FTP o HTTP para usuarios de autenticacin
Todos los mensajes de bienvenida, salvo los de inicio de sesin de la consola, ya disponen de mensajes predeterminados. Puede personalizar los mensajes de bienvenida para adaptarlos al entorno de red en el que est utilizando el dispositivo de seguridad.
Ejemplo: Personalizar un mensaje de bienvenida de WebAuth

En este ejemplo cambia el mensaje que aparece en el explorador para indicar que un usuario de autenticacin se ha autenticado con xito despus de iniciar una sesin con xito a travs de WebAuth. El nuevo mensaje ser Autenticacin satisfactoria. WebUI Configuration > Admin > Banners > WebAuth: En el campo Success Banner, escriba Autenticacin satisfactoria y haga clic en Apply. CLI
set webauth banner success Autenticacin satisfactoria save
10
Personalizacin de mensajes de bienvenida
Mensaje de bienvenida de inicio de sesin

Se aument el tamao del mensaje de bienvenida de inicio de sesin a un mximo de 4Kbytes. Esto proporciona espacio para las declaraciones de trminos del uso, que se presentan antes de que los administradores y usuarios autenticados inicien una sesin en el dispositivo de seguridad y en recursos protegidos detrs del dispositivo. El mensaje de bienvenida de inicio de sesin es un archivo de texto ASCII que se puede crear y almacenar en el dispositivo de seguridad; el archivo debe llamarse usrterms.txt. El mensaje de bienvenida se activa reiniciando el sistema. Si el archivo del mensaje de bienvenida tiene ms de 4Kbytes, el dispositivo de seguridad no lo aceptar y continuar utilizando los mensajes de bienvenida existentes que se ingresaron a travs de CLI y la WebUI. Cuando se activa el mensaje de bienvenida de inicio de sesin, el sistema raz y todos los sistemas virtuales (vsys) lo utilizan de forma global. No es posible diferenciar o personalizar entre sistemas virtuales (vsys), ni tampoco dentro de los mismos. El mensaje de bienvenida de inicio de sesin sustituye a todos los mensajes de bienvenida de acceso administrativo y los mensajes de bienvenida de autenticacin del cortafuegos que fueron definidos de forma individual. Despus de introducir el nombre de usuario y la contrasea, el usuario debe hacer clic en el botn Login. Si el usuario presiona la tecla Enter no obtendr acceso al dispositivo.
Ejemplo: Crear un mensaje de bienvenida de inicio de sesin

Utilice el programa de SCP para copiar de forma segura el archivo del mensaje de bienvenida en el dispositivo de seguridad. Con el siguiente comando, un administrador con nombre de usuario netscreen puede copiar el archivo del mensaje de bienvenida mensaje_bienvenida_largo.txt a un dispositivo de seguridad a una direccin IP 1.1.1.2. El archivo del mensaje de bienvenida debe guardarse en el dispositivo de seguridad como usrterms.txt.
linux:~#scp mensaje_bienvenida_largo.txt netscreen@1.1.1.2:usrterms.txt
Debe reiniciar el dispositivo para activar el nuevo mensaje de bienvenida. Para modificar el archivo del mensaje de bienvenida, puede crear un nuevo archivo y sobrescribir el existente con el nuevo. Para eliminar el mensaje de bienvenida, ejecute el siguiente comando en el dispositivo de seguridad:
device-> delete file usrterms.txt
Esto inhabilita la funcin del mensaje de bienvenida despus de que reinicie el dispositivo.
11
12
Captulo 2
Servidores de autenticacin
Este captulo examina diversas clases de servidores de autenticacin (la base de datos local incorporada en cada dispositivo de seguridad y los servidores de autenticacin externos RADIUS, SecurID y LDAP). Este captulo incluye las siguientes secciones:

Tipos de servidores de autenticacin en esta pgina Base de datos local en la pgina 15 Servidores de autenticacin externos en la pgina 17 Tipos de servidores de autenticacin en la pgina 19
Servicio de autenticacin remota de usuarios de acceso telefnico en la pgina 19 SecurID en la pgina 28 Protocolo ligero de acceso a directorios en la pgina 30 Sistema plus de control de acceso de control de acceso de terminal Plus (TACACS+) en la pgina 32
Pioridad de la autenticacin de administrador en la pgina 33 Definicin de objetos de servidor de autenticacin en la pgina 34 Definicin de los servidores de autenticacin predeterminados en la pgina 40
Tipos de servidores de autenticacin

Puede configurar el dispositivo de seguridad de modo que utilice la base de datos local, o uno o ms servidores de autenticacin externos para verificar las identidades de los siguientes tipos de usuarios:

Auth IKE L2TP
13
XAuth Admin 802.1x
NOTA:
Las cuentas de usuarios IKE se deben almacenar en la base de datos local. El nico servidor externo que admite asignaciones de configuracin remota L2TP y XAuth y asignaciones de privilegios de administrador es RADIUS. Adems de su propia base de datos local, un dispositivo de seguridad puede trabajar con los servidores externos RADIUS, SecurID, LDAP y TACACS+. Para autenticar usuarios L2TP, usuarios de autenticacin, usuarios XAuth y usuarios con permisos de administrador se puede utilizar cualquier clase de servidor de autenticacin. ScreenOS tambin es compatible con WebAuth, un sistema de autenticacin alternativo para usuarios de autenticacin. (Para ver un ejemplo de WebAuth, consulte Ejemplo: WebAuth + SSL solamente (grupo de usuarios externos) en la pgina 65). Cualquier servidor de autenticacin que contenga cuentas del tipo usuarios de autenticacin puede convertirse en el servidor de autenticacin predeterminado WebAuth. La Tabla 2 muestra qu tipo de servidores y funciones de autenticacin se admiten.
Tabla 2: Tipo de servidor de autenticacin, tipos de usuarios y funciones Caractersticas y tipos de usuarios admitidos Usuarios L2TP Tipo de servidor
Local RADIUS SecurID LDAP TACACS+
Usuarios XAuth Auth

X X X X
Usuarios admin Auth

X X X X X X
Usuari Usuario os auth s IKE Auth

X X X X X X X X X
Ajustes remotos
X X
Ajustes remotos
X X
Privilegios
X X
Grupos de Expresiones usuarios de grupos

X X X
En la mayora de dispositivos de seguridad de Juniper Networks se pueden utilizar simultneamente hasta 10 servidores de autenticacin principales por cada sistema (raz o virtual) en cualquier combinacin de tipos. Este total incluye la base de datos local y excluye los servidores de autenticacin de respaldo. Los servidores RADIUS o LDAP admiten dos servidores de respaldo, mientras que los servidores SecurID admiten uno. As pues, podran utilizarse, por ejemplo, la base de datos local y nueve servidores RADIUS principales y diferentes, cada uno de ellos con dos servidores de respaldo asignados. Consulte la Figura 3.
14
Captulo 2: Servidores de autenticacin
Figura 3: Tipos de servidores de autenticacin

Usuario IKE/XAuth Usuario IKE Usuario IKE/L2TP Servidor RADIUS
Mltiples servidores de autenticacin funcionando simultneamente Usuario IKE/XAuth > Base de datos local Usuario IKE > Base de datos local Usuario IKE/L2TP > Servidor SecurID Usuario administrador > Servidor RADIUS Usuario administrador > Servidor TACACS+ Usuario autenticado > Servidor LDAP
Servidor SecurID
Base de datos local
Nota: Se puede utilizar un solo servidor de autenticacin para mltiples tipos de autenticacin de usuario. Por ejemplo, un servidor RADIUS puede almacenar simultneamente datos de usuarios administradores, de autenticacin, L2TP y XAuth.
Usuario administrador
Servidor TACACS+ Usuario de autenticacin Servidor LDAP
En las siguientes secciones se explica la base de datos local y cada servidor de autenticacin en detalle.
Base de datos local

Todos los dispositivos de seguridad de Juniper Networks disponen de una base de datos de usuarios integrada para la autenticacin. Cuando se define un usuario en el dispositivo de seguridad, ste introduce el nombre y la contrasea del usuario en su base de datos local. Consulte la Figura 4.
Figura 4: Autenticacin local
Base de datos local Internet
Un usuario de autenticacin solicita una conexin a la red protegida.
Antes de autorizar la peticin de conexin, el dispositivo de seguridad consulta sus bases de datos internas para autenticar al usuario.
Base de datos local
15
La base de datos local admite los siguientes tipos de usuarios y funciones de autenticacin:
Usuarios:

Auth IKE L2TP XAuth Admin 802.1x
Funciones de autenticacin:

Privilegios de administrador WebAuth Grupos de usuarios Expresiones de grupos
NOTA:
Las expresiones de grupos se definen en el dispositivo de seguridad, pero los usuarios y grupos de usuarios deben almacenarse en un servidor de autenticacin RADIUS externo. Para obtener ms informacin sobre expresiones de grupos, consulte Expresiones de grupos en la pgina 5. La base de datos local es el servidor de autenticacin predeterminado (auth server) para todos los tipos de autenticacin. Para obtener instrucciones sobre cmo agregar usuarios y grupos de usuarios a la base de datos local mediante WebUI y CLI, consulte Usuarios de autenticacin en la pgina 47 y Usuarios IKE, XAuth y L2TP en la pgina 69.
Ejemplo: Tiempo de espera de la base de datos local

De forma predeterminada, el tiempo de espera de la base de datos local para autenticaciones de administradores y usuarios de autenticacin es de 10 minutos. En este ejemplo, cambiar a que no caduque nunca para los administradores y a que caduque a los 30 minutos para los usuarios de autenticacin. WebUI Configuration > Admin > Management: Desactive la casilla de verificacin Enable Web Management Idle Timeout y haga clic en Apply. Configuration > Auth > Servers > Edit (para Local): Escriba 30 en el campo Timeout y haga clic en Apply.
16
Base de datos local
CLI
set admin auth timeout 0 set auth-server Local timeout 30 save
Servidores de autenticacin externos

Un dispositivo de seguridad se puede conectar a uno o ms servidores de autenticacin exernos o servidores auth, en los que se almacenan cuentas de usuarios. Cuando el dispositivo de seguridad recibe una peticin de conexin que requiere una verificacin de autenticacin, ste solicita una comprobacin de autenticacin al servidor de autenticacin externo especificado en la directiva, en la configuracin del tnel L2TP o en la configuracin de la puerta de enlace IKE. El dispositivo de seguridad acta como una retransmisin entre el usuario que solicita la autenticacin y el servidor de autenticacin que otorga la autenticacin. La Figura 5 muestra los pasos para lograr una verificacin de autenticacin con xito por medio de un servidor de autenticacin externo.
Figura 5: Servidor de autenticacin externo
Servidor auth externo authserv1 Host A Paquete a 1.2.2.2 Nombre: ?? Contrasea: ?? Nombre: ** Contrasea: ** Bfer Motor de directivas Requiere autenticacin Servidor B 1.2.2.2
Mensaje de xito
1. El host A enva un paquete FTP, HTTP o Telnet TCP SYN a 1.2.2.2. 2. El dispositivo de seguridad intercepta el paquete, detecta que su directiva correspondiente requiere autenticacin por parte de authserv1, guarda el paquete en un bfer y solicita al usuario su nombre y contrasea. 3. El usuario responde con un nombre de usuario y una contrasea. 4. El dispositivo de seguridad retransmite la informacin de inicio de sesin a authserv1. 5. Authserv1 devuelve una notificacin de xito al dispositivo de seguridad. 6. El dispositivo de seguridad informa el usuario de autenticacin sobre el xito de su inicio de sesin. 7. Entonces, el dispositivo de seguridad reenva el paquete de su bfer a su destino 1.2.2.2.
17
Propiedades del objeto servidor de autenticacin

Un dispositivo de seguridad trata cada servidor de autenticacin como un objeto al que se puede hacer referencia en directivas, puertas de enlace IKE y tneles L2TP. Las propiedades descritas en la Tabla 3 definen e identifican de forma inequvoca un objeto de servidor de autenticacin.
Tabla 3: Propiedades del objeto de servidor de autenticacin Propiedad
Object name ID number
Descripcin
Una cadena de nombre, como authserv1. (El nico servidor de autenticacin predefinido es Local). Puede establecer el nmero de identificacin o permitir que el dispositivo de seguridad lo haga automticamente. Si establece un nmero de identificacin, debe elegir uno que an no se est utilizando. RADIUS, SecurID, LDAP, TACACS+. La direccin IP o el nombre de dominio del servidor. La direccin IP o el nombre de dominio de un servidor de respaldo principal. La direccin IP o el nombre de dominio de un servidor de respaldo secundario. Uno o ms de los siguientes tipos de usuarios: Auth, L2TP, 802.1x, XAuth o solamente Admin. El valor del tiempo de espera por inactividad, cambia dependiendo del tipo de usuario (de autenticacin o administrador). Usuario de autenticacin La cuenta atrs del tiempo de espera comienza despus de completarse la primera sesin autenticada. Si el usuario inicia una nueva sesin antes que la cuenta atrs alcance el umbral de tiempo de espera, se restablecer el contador de cuenta atrs. El valor predeterminado del tiempo de espera es de 10 minutos, y el mximo es de 255 minutos. Para desactivar la funcin de tiempo de espera, establezca el valor de tiempo de espera a 0. Consulte la Figura 6.
Type Server name Backup1 Backup2 Account Type Timeout value
Usuario Si el tiempo de inactividad alcanza el umbral establecido, el administrador dispositivo de seguridad termina la sesin del usuario administrador. Para continuar administrando el dispositivo de seguridad, el administrador debe volver a conectarse al dispositivo y autenticarse de nuevo. El valor predeterminado del tiempo de espera es de 10 minutos, y el mximo es de 1000 minutos. Para desactivar la funcin de tiempo de espera, establezca el valor de tiempo de espera a 0. Consulte la Figura 7. Forced Timeout El tiempo de espera forzado, a diferencia del tiempo de espera por inactividad, no depende de la inactividad del usuario, sino del tiempo de espera absoluto despus de que se termina el acceso para el usuario autenticado. Se elimina la entrada de la tabla de autenticacin para el usuario, as como todas las sesiones asociadas para la entrada de la tabla de autenticacin. El valor predeterminado es 0 (desactivado), el rango es de 0 a 10000 (6,9 das).
18
Figura 6: Propiedades del objeto servidor de autenticacin

El usuario puede iniciar una nueva sesin sin autenticarse de nuevo Time (Pasado) inicio de la sesin sesin tiempo de espera fin de la sesin; comienza la cuenta atrs del tiempo de espera fin del tiempo de espera El usuario debe autenticarse de nuevo para iniciar una nueva sesin Time (Futuro)
NOTA:
El tiempo de espera para la autenticacin de usuarios no es igual que el tiempo de espera de la sesin. Si durante un tiempo predefinido no se produce ninguna actividad en una sesin, el dispositivo de seguridad elimina automticamente la sesin de su tabla de sesiones.
Figura 7: Propiedad del tiempo de espera del administrador

El usuario administrador puede continuar la actividad en su sesin. sesin del usuario administrador comienza la sesin del usuario administrador la actividad se detiene; comienza la cuenta atrs del tiempo de espera tiempo de espera el tiempo de espera finaliza; la sesin termina El usuario administrador debe volver a conectarse e iniciar una nueva sesin.
Adems de las propiedades antedichas, aplicables a todos los objetos del servidor de autenticacin, cada servidor tiene unas cuantas propiedades especficas. Esto se explica en Tipos de servidores de autenticacin.

Adems de las bases de datos internas, los dispositivos de seguridad admiten cuatro tipos de servidores de autenticacin externos:

Servicio de autenticacin remota de usuarios de acceso telefnico (RADIUS) SecurID Protocolo ligero de acceso a directorios (LDAP) Sistema plus de control de acceso del controlador de acceso de terminal (TACACS+)
Servicio de autenticacin remota de usuarios de acceso telefnico

El servicio de autenticacin remota de usuarios de acceso telefnico Remote Authentication Dial-In User Service (RADIUS) es un protocolo para servidores de autenticacin que admite decenas de miles de usuarios.
19
Figura 8: Uso de RADIUS como un servidor de autenticacin externa
Internet
Un usuario de acceso telefnico mediante VPN solicita una conexin a la red protegida.
El dispositivo de seguridad utiliza un servidor externo RADIUS para autenticar al usuario de acceso telefnico VPN antes de aprobar la peticin de conexin.
Servidor RADIUS
El cliente RADIUS (es decir, el dispositivo de seguridad) autentica a usuarios mediante una serie de comunicaciones entre el cliente y el servidor. Bsicamente, RADIUS pide a la persona que se est conectando que introduzca su nombre de usuario y contrasea. Entonces compara estos valores con lo que tiene almacenados en su base de datos y, una vez que el usuario ha sido autenticado, el cliente proporciona al usuario acceso a los correspondientes servicios de red. Para configurar el dispositivo de seguridad para RADIUS, debe especificar la direccin IP del servidor RADIUS y definir un secreto compartido (shared secret), el mismo que haya definido en dicho servidor. El secreto compartido es una contrasea que el servidor RADIUS utiliza para generar una clave con la que encriptar el trfico entre los dispositivos de seguridad y RADIUS.
Propiedades del objeto servidor de autenticacin RADIUS

Adems de las propiedades genricas del servidor de autenticacin descritas en Propiedades del objeto servidor de autenticacin en la pgina 18, un servidor RADIUS tambin utiliza las propiedades descritas en Tabla 4.
Tabla 4: Propiedades del objeto del servidor de autenticacin RADIUS Propiedad
Shared Secret
Descripcin
El secreto (contrasea) compartido entre el dispositivo de seguridad y el servidor RADIUS. Los dispositivos utilizan este secreto para encriptar las contraseas de usuarios que envan al servidor RADIUS. El nmero del puerto en el servidor RADIUS al que el dispositivo de seguridad enva las peticiones de autenticacin. El nmero de puerto predeterminado es 1645. El intervalo (en segundos) que el dispositivo de seguridad espera antes de enviar otra peticin de autenticacin al servidor RADIUS si la peticin anterior no obtuvo ninguna respuesta. El valor predeterminado es de tres segundos.
RADIUS Port
RADIUS Retry Timeout
20
Caractersticas y tipos de usuarios admitidos

Un servidor RADIUS admite los siguientes tipos de usuarios y funciones de autenticacin:

Usuarios de autenticacin Usuarios L2TP (autenticacin y ajustes remotos) Usuarios con permisos de administrador (autenticacin y asignacin de privilegios) Grupos de usuarios Usuarios XAuth (autenticacin y ajustes remotos) El mdulo XAuth proporciona soporte para los atributos de tiempo de espera por inactividad y tiempo de espera de sesin recuperados del servidor RADIUS descritos en la Tabla 5.
Tabla 5: Compatibilidad del atributo de XAuth Atributo

Session-timeout
Descripcin
Si el atributo Session-timeout es un valor distinto a cero, la asociacin de seguridad de fase 1/fase 2 (SA) y XAuth terminan cuando se llega al valor de tiempo de espera. Si el atributo de Idle-timeout (tiempo de espera por inactividad) es un valor distinto a cero, tiene preferencia sobre la configuracin de tiempo de espera por inactividad de fase local 2 SA y el tiempo de retencin de SA de miembro. Si el valor de tiempo de espera por inactividad es 0, se utiliza el tiempo de espera de la fase local 2 SA y el tiempo de retencin de SA de miembro. El inicio de la cuenta XAuth se enva al servidor RADIUS externo despus de que el usuario se autentica correctamente. La detencin de la cuenta XAuth se enva al servidor RADIUS externo cuando la conexin de XAuth se interrumpe. Toda la conexin de fase 1/fase 2 SA y XAuth termina bajo las siguientes condiciones:
Se alcanza el atributo Session-timeout del servidor RADIUS. No est configurado el atributo Session-timeout del servidor RADIUS.
Idle-timeout
XAuth Accounting Start XAuth Accounting Stop
En vez de eso se utiliza la duracin de sesin de XAuth.

Se alcanza el atributo Idle-timeout del servidor RADIUS en todas las
fases 2 SA.
Se detecta la desconexin del cliente por medio de la deteccin de
interlocutor muerto (DPD) o pulso.

Se alcanza el tiempo por inactividad de la fase 2 SA configurado
localmente o el tiempo de retencin de SA del miembro, ya que el servidor RADIUS no proporciona el atributo Idle-timeout.
21
Un servidor RADIUS admite los mismos tipos de usuarios y funciones que la base de datos local, excepto los usuarios IKE. Entre los cuatro tipos de servidores de autenticacin externos, RADIUS es, por el momento, el nico con tan amplia compatibilidad. Para que un servidor RADIUS pueda trabajar con atributos tan especficos de ScreenOS como los privilegios de administrador, grupos de usuarios y direcciones IP L2TP y XAuth remotas, as como con las asignaciones de direcciones de servidores DNS y WINS, es necesario cargar un archivo de diccionario de RADIUS que defina estos atributos en el servidor RADIUS.
NOTA:
ScreenOS utiliza el atributo estndar de RADIUS para las asignaciones de direcciones IP. Si solamente desea utilizar RADIUS para asignar direcciones IP, no necesita cargar los atributos de ScreenOS especficos de cada fabricante (vendor-specific attributes o VSA).
Archivo de diccionario de RADIUS

Un archivo de diccionario contiene las definiciones de los atributos especficos de cada fabricante (VSA) que se pueden cargar en un servidor RADIUS. Una vez definidos los valores de estos VSA, ScreenOS puede consultarlos cada vez que un usuario se conecta a un dispositivo de seguridad. Los atributos VSA de ScreenOS son: privilegios de administrador, grupos de usuarios y direccin IP L2TP y XAuth remota, y asignaciones de direcciones de servidores DNS y WINS. Hay dos archivos de diccionario de RADIUS, uno para servidores RADIUS de Cisco y otro para servidores RADIUS de Funk Software. Los servidores RADIUS de Microsoft no requieren archivos de diccionario. Debe configurarlo como se explica en el documento Bi-Directional Remote VPN using XAuth and Firewall Authentication with Microsoft Internet Authentication Service (IAS), que puede descargar en http://kb.juniper.net/kb/documents/public/kbdocs/ns10382/ns10382.pdf Cada archivo de diccionario de RADIUS contiene la informacin especfica descrita en Tabla 6.
Tabla 6: Contenido del archivo de diccionario de RADIUS Campo
Vendor ID
Descripcin
La identificacin de proveedor de ScreenOS (VID, tambin conocida como nmero IETF) es 3224. VID identifica a un proveedor especfico con respecto a un atributo determinado. Algunos tipos de servidores RADIUS requieren introducir el nmero VID con cada entrada de atributo, mientras que otros tipos solamente requieren introducirlo una vez y luego lo aplican globalmente. Para obtener informacin adicional, consulte la documentacin del servidor RADIUS. Los nombres de atributos describen atributos individuales especficos de ScreenOS, como NS-Admin-Privilege, NS-User-Group, NS-Primary-DNS-Server, etc.
Attribute Name
22
Tabla 6: Contenido del archivo de diccionario de RADIUS (Continuacin) Campo

Attribute Number
Descripcin
El nmero de atributo identifica un atributo individual especfico del proveedor. Los nmeros de atributos especficos de ScreenOS se dividen en dos rangos:
ScreenOS: 1 199 Global PRO: a partir del 200
Por ejemplo, el nmero del atributo ScreenOS para grupos de usuarios es 3. El nmero de atributo de Global PRO para grupos de usuarios es 200. Attribute Type El tipo de atributo identifica la forma en la que se representan los datos del mismo (o su valor): como cadena, direccin IP o nmero entero.
El servidor RADIUS recibe automticamente la informacin antedicha cuando se carga el archivo de diccionario de RADIUS en el mismo. Para crear nuevas entradas de datos, debe introducir manualmente un valor en la forma indicada por el tipo de atributo. Por ejemplo, una entrada para un administrador de lectura-escritura aparece como sigue:
Attribute Number Attribute Type
1 data=int4 (es decir, nmero entero)
VID
3224
Attribute Name
NS-Admin-Privileges
Value
2 (2 = todos los privilegios)
Para descargar un archivo de diccionario, dirjase a http://www.juniper.net/customers/csc/research/netscreen_kb/downloads /dictionary/funk_radius.zip o http://www.juniper.net/customers/csc/research/netscreen_kb/downloads/dictionary /cisco_radius.zip Inicie sesin y guarde el archivo en una unidad local.
NOTA:
Todas las nuevas instalaciones de Funk Steel Belted RADIUS tienen cargado el archivo de diccionario del cortafuegos RADIUS en el servidor RADIUS.
RADIUS Access Challenge

Ahora, los dispositivos de seguridad de Juniper Networks pueden procesar paquetes access-challenge de servidores RADIUS externos cuando un usuario de autenticacin intenta iniciar una sesin a travs de Telnet. Despus de aprobar un nombre de usuario y su correspondiente contrasea, access challenge solicita una comprobacin adicional durante el proceso de inicio de sesin. Cuando un usuario de autenticacin responde a una peticin de inicio de sesin indicando su nombre y contrasea correctos, el servidor RADIUS enva una seal access challenge al dispositivo de seguridad, que lo remite al usuario. Cuando el usuario contesta, el dispositivo de seguridad enva una nueva peticin de acceso al servidor RADIUS con la respuesta del usuario. Si la respuesta del usuario es correcta, el proceso de autenticacin concluye con xito. La Figura 9 enumera los pasos necesarios para un usuario de autenticacin que desea realizar una conexin telnet con un servidor.
23
Figura 9: Secuencia de RADIUS Access-Challenge

Usuario de autenticacin Dispositivo de seguridad Servidor RADIUS Servidor SecurID (Opcional)
SYN SYN/ACK ACK Nombre: ? Contrasea: ? Nombre: ** Contrasea: ** (Nombre: ?) Desafo: ? (Nombre: **) Desafo: ** xito
Cach Proxy TCP
Nombre: ** Contrasea: ** (Nombre: ?) Desafo: ? (Nombre: **) Desafo: ** xito Reenvo (Nombre: **) Desafo: ** xito
Servidor Telnet
1. Un usuario de autenticacin enva un paquete SYN para iniciar una conexin TCP de una sesin Telnet con un servidor Telnet. 2. Un dispositivo de seguridad intercepta el paquete, comprueba su lista de directivas y determina que esta sesin requiere autenticacin de usuario. El dispositivo de seguridad coloca el paquete SYN en su memoria cach y registra en su proxy el establecimiento de comunicacin TCP de 3 fases (TCP 3-way handshake) con el usuario. 3. El dispositivo de seguridad pide al usuario que inicie una sesin con su nombre y contrasea. 4. El usuario de autenticacin introduce su nombre y contrasea y los enva al dispositivo de seguridad. Entonces, el dispositivo de seguridad enva una peticin de acceso (access request) con la informacin de inicio de sesin a un servidor RADIUS. 5. Si la informacin es correcta, el servidor RADIUS enva una seal access challenge al dispositivo de seguridad con un atributo reply-message que pide al usuario que proporcione una respuesta a un desafo (pregunta de comprobacin). (Opcionalmente, access challenge puede pedir al sistema de autenticacin que proporcione de nuevo un nombre de usuario. El segundo nombre de usuario puede ser igual o distinto del primero). El dispositivo de seguridad enva entonces al usuario otro mensaje de peticin de inicio de sesin con el contenido del atributo reply-message.
24
6. El usuario de autenticacin introduce su respuesta al desafo (y, opcionalmente, un nombre de usuario) y la enva al dispositivo de seguridad. El dispositivo de seguridad enva al servidor RADIUS una segunda peticin de acceso, con la respuesta del usuario al desafo. Si el servidor RADIUS necesita autenticar la respuesta de desafo por medio de otro servidor de autenticacin (por ejemplo, cuando un servidor SecurID necesita autenticar un cdigo token) el servidor RADIUS enva la peticin de acceso access request al otro servidor de autenticacin. 7. Si el servidor RADIUS redireccion la respuesta al desafo a otro servidor de autenticacin y ese servidor necesita una seal access accept, o si el mismo servidor RADIUS aprueba la respuesta, el servidor RADIUS enva un mensaje access accept al dispositivo de seguridad. En ese momento, el dispositivo de seguridad notifica al usuario de autenticacin si su inicio de sesin se ha completado correctamente. 8. El dispositivo de seguridad redirecciona el paquete SYN inicial a su destino original: el servidor Telnet.
NOTA:
En la presente versin, ScreenOS no admite access challenge con L2TP.
Mejoras de RADIUS compatibles para los usuarios Auth y XAuth

ScreenOS es compatible con las mejoras de RADIUS a travs de los mdulos de autenticacin y autenticacin extendida (XAuth) con los siguientes atributos:

Tipo de servicio de acceso NS en esta pgina Direccin IP en trama y conjunto en trama en la pgina 26 Identificacin de sesin de cuenta en la pgina 27 Calling Station ID en la pgina 27 Called Station ID en la pgina 27 Compatibility RFC-2138 en la pgina 27 Username en la pgina 27 Separator en la pgina 27 Fail-over en la pgina 28
Tipo de servicio de acceso NS El atributo NS-Access-Service-Type proporciona informacin sobre el tipo de servicio. El dispositivo de seguridad agrega este atributo a cada Access-Request indicando el tipo de servicio requerido por el usuario. Este atributo est habilitado de forma predeterminada. Si el mdulo RADIUS recibe la peticin de un mdulo de autenticacin Telnet, FTP o HTTP, ste configura el valor a WEB-AUTH (2). Si el mdulo RADIUS recibe la peticin del mdulo XAuth, ste establece el valor a VPN-IPSEC (3).
25
El dispositivo incluye ns-access-service-type y el valor en el mensaje Access-Request. Si el servidor RADIUS determina que el usuario que realiza la peticin tiene autorizacin para acceder al servicio, ste enva un mensaje de Access-Accept. Si el tipo de servicio no aplica al usuario que realiza la peticin, el servidor RADIUS enva un mensaje de Access-Reject. El servidor RADIUS no incluye el atributo ns-access-service-type en el mensaje Acceso-Respuesta. Direccin IP en trama y conjunto en trama El servidor RADIUS incluye el atributo framed-pool en el mensaje Access-Accept. Cuando se incluye el atributo Framed-Pool, el dispositivo asigna una direccin IP al usuario desde este conjunto. Sin embargo, el dispositivo no enva el atributo Framed-Pool en los mensajes Access-Request. La Tabla 7 muestra cmo maneja el dispositivo los atributos framed-pool y framed-ip-address. Las mejoras de RADIUS tambin incluyen la capacidad de manejar los conjuntos de direcciones en el nivel de sistema virtual (VSYS).
Tabla 7: Atributos compatibles Atributos compatibles
El atributo Framed-Pool y Framed-IP-Address se incluyen en el mensaje Access-Accept.
Resolucin
El atributo Framed-Pool siempre lo ignora el servidor RADIUS a menos que el valor de Framed-IP-Address sea 0xFFFFFFFE (255.255.255.254). Entonces, el dispositivo asigna una direccin del atributo Framed-Pool enviada por el servidor RADIUS. El dispositivo no asigna una direccin IP al usuario final.
El atributo Framed-Pool y el atributo Framed-IP-Address estn ausentes del mensaje Access-Accept.
El atributo Framed-IP-Address se incluye en el El dispositivo asigna una direccin IP del mensaje Access-Accept y tiene un valor de conjunto de direccin IP predeterminado que 0xFFFFFFFE (255.255.255.254). est configurado para ese VSYS. El atributo Framed-Pool est ausente. El conjunto se enva en el atributo Framed-Pool que no est configurado o no tiene ninguna direccin IP. Se generan los siguientes mensajes de error y termina la negociacin:
Falla el inicio de sesin: El conjunto de IP se
necesita pero no est configurado.

Falla el inicio de sesin: No hay ms
direcciones IP disponibles en el conjunto de IP. En ambos supuestos, el cliente recibe el siguiente mensaje: No hay ms direcciones IP disponibles en el conjunto de IP
26
Identificacin de sesin de cuenta

acct-session-id identifica de manera inequvoca la sesin de contabilidad. Cada vez que un usuario XAuth se conecta al dispositivo y el dispositivo autentica al usuario, ste establece una "new acct-session-id", que identifica la sesin de cuenta. La sesin de cuenta dura entre el tiempo que el dispositivo enva al servidor RADIUS un mensaje Accounting-Start y el tiempo que enva un mensaje Accounting-Stop. Para identificar al usuario, cada acceso de RADIUS o solicitud de mensaje puede contener "calling-station-id" (que se describe posteriormente).
acct-session-id length nmero es la longitud de account-session-id en bytes. La longitud predeterminada de este valor es 11 bytes. El ajuste de nmero es para acomodar algunos servidores RADIUS, que podran tener problemas con la longitud predeterminada. Puede establecer la longitud de "acct-session-id" de 6 bytes a 10 bytes, incluso. Para restablecer el ajuste predeterminado, ejecute el siguiente comando: unset auth-server cadena_nombre radius attribute acct-session-id nmero Calling Station ID El atributo calling-station-id identifica a la persona que realiza la llamada. Por ejemplo, este valor podra consistir en el nmero de telfono del usuario que origina la llamada. Called Station ID El atributo called-station-id identifica la persona destinataria o receptora de la llamada. Por ejemplo, este valor podra consistir en el nmero de telfono del usuario que origina la llamada. Compatibility RFC-2138 El atributo compatibility rfc-2138 hace que la cuenta RADIUS cumpla con la norma RFC 2138, en lo que respecta a la norma RFC 2865. Para las operaciones donde las normas RFC 2865 (la ms reciente) y RFC 2138 son mutuamente exclusivas, el comando funciona de acuerdo con la RFC 2138, en lugar de con la RFC 2865. En los casos donde el comportamiento es aditivo, el comando es compatible tanto conla norma RFC 2865 como con la norma RFC 2138. Username username especifica un nombre de dominio para un servidor de autenticacin determinado o una parte de un nombre de usuario desde el cual desglosa caracteres. Si especifica un nombre de dominio para el servidor de autenticacin, debe presentarse en el nombre de usuario durante la autenticacin. Separator El dispositivo utiliza un carcter separador para identificar dnde ocurren los desglosamientos. El desglosamiento elimina todos los caracteres que se encuentran a la derecha de cada caso del carcter especificado, ms el carcter en s. El dispositivo empieza con el carcter separador que se encuentra en el extremo derecho. Un ejemplo de un comando separador es el siguiente: set auth-server cadena_nombre username separator cadena number nmero
27
donde:

cadena_nombre es el nombre del servidor de autenticacin. cadena es el separador de caracteres. nmero es el nmero de los casos del separador de caracteres con el cual se realiza el desglosamiento de caracteres.
Si el nmero especificado de caracteres separadores (nmero) excede el nmero real de caracteres separadores en el nombre de usuario, el comando detiene el desglosamiento en el ltimo caracter separador disponible.
NOTA:
El dispositivo realiza la coincidencia de nombre del dominio antes del desglosamiento. Fail-over El atributo fail-over especifica el intervalo de reversin (expresado en segundos) que debe transcurrir despus de un intervalo de autenticacin y antes de que el dispositivo intente la autenticacin a travs de los servidores de autenticacin de respaldo. Cuando una peticin de autenticacin enviada a un servidor principal falla, el dispositivo intenta con los servidores de respaldo. Si la autenticacin por medio de un servidor de respaldo tiene xito, el intervalo de tiempo de revert-interval ha caducado, el dispositivo enva peticiones de autenticacin posteriores al servidor de respaldo. De lo contrario, reanuda el envo de las peticiones al servidor principal. El rango es de 0 segundos (deshabilitado) a 86400 segundos. Un ejemplo del comando fail-over y revert-interval es el siguiente: set auth-server cadena_nombre fail-over revert-interval nmero donde:

cadena_nombre es el nombre del servidor de autenticacin. nmero es la duracin de tiempo (expresada en segundos).
NOTA:
Esta caracterstica corresponde nicamente a los servidores RADIUS y LDAP.
SecurID
En lugar de una contrasea fija, SecurID combina dos factores para crear una contrasea que cambia dinmicamente. SecurID produce un dispositivo del tamao de una tarjeta de crdito, conocido como autenticador, con una ventana LCD en la que aparece una secuencia de nmeros generada aleatoriamente (un cdigo token) que cambia cada minuto. El usuario tambin tiene un nmero de identificacin personal (PIN). Cuando el usuario inicia sesin, introduce un nombre del usuario y su PIN ms el cdigo token vigente.
28
Figura 10: Token de SecurID

Dispositivo de autenticacin SecurID (autenticador) El cdigo token cambia cada 60 segundos a otro nmero pseudoaleatorio.
El autenticador ejecuta un algoritmo conocido solamente por RSA para generar los valores que aparecen en la ventana LCD. Cuando el usuario a autenticar introduce su PIN y el nmero de su tarjeta, el servidor ACE, que tambin ejecuta el mismo algoritmo, compara los valores recibidos con los de su base de datos. Si coinciden, la autenticacin es correcta. La relacin del dispositivo de seguridad con el servidor RSA SecurID ACE es similar a la de un dispositivo de seguridad con un servidor RADIUS. Es decir, el dispositivo de seguridad acta como cliente, redireccionando las peticiones de autenticacin al servidor externo para su aprobacin y retransmitiendo la informacin del inicio de sesin entre el usuario y el servidor. SecurID se diferencia de RADIUS en que la contrasea del usuario est asociada a un cdigo token que cambia continuamente.
Propiedades del objeto servidor de autenticacin SecurID

Adems de las propiedades genricas del servidor de autenticacin descritas en Propiedades del objeto servidor de autenticacin en la pgina 18, un servidor SecurID tambin utiliza las propiedades descritas en la Tabla 8.
Tabla 8: Propiedades del objeto del servidor de autenticacin SecurID Propiedad
Authentication Port
Descripcin
El nmero del puerto en el servidor SecurID ACE al que el dispositivo de seguridad enva las peticiones de autenticacin. El nmero de puerto predeterminado es 5500. El algoritmo (SDI o DES) utilizado para encriptar la comunicacin entre el dispositivo de seguridad y el servidor SecurID ACE. El nmero de veces que el cliente SecurID (es decir, el dispositivo de seguridad) intenta establecer comunicacin con el servidor SecurID ACE antes de cancelar el intento. El tiempo en segundos que el dispositivo de seguridad espera entre sucesivos reintentos de autenticacin. Una opcin que impide o permite utilizar otro nmero PIN. Cuando esta opcin est habilitada y un usuario introduce un nmero PIN de emergencia previamente acordado (duress PIN), el dispositivo de seguridad enva una seal al servidor SecurID ACE, indicando que el usuario est realizando el inicio de sesin en contra de su voluntad, es decir, bajo amenaza. El servidor SecurID ACE permite el acceso esa nica vez y despus rechaza cualquier otro intento de inicio de sesin de ese usuario hasta que se ponga en contacto con el administrador de SecurID. El modo de amenaza solamente est disponible si el servidor SecurID ACE admite esta opcin.
Encryption Type Client Retries
Client Timeout Use Duress
29

Los servidores SecurID ACE admiten los siguientes tipos de usuarios y caractersticas de autenticacin:

Usuarios de autenticacin Usuarios L2TP (autenticacin de usuarios; el usuario L2TP recibe los ajustes L2TP predeterminados del dispositivo de seguridad) Usuarios XAuth (autenticacin de usuarios; no admite asignaciones de ajustes remotas) Usuarios administradores (autenticacin de usuarios; el usuario administrador recibe la asignacin de privilegios predeterminada: slo lectura)
Actualmente, un servidor SecurID ACE no puede asignar ajustes remotos L2TP o XAuth ni privilegios de administrador de ScreenOS, aunque se puede utilizar un servidor SecurID para almacenar cuentas de usuarios administradores, L2TP y XAuth con fines de autenticacin. Asimismo, ScreenOS no admite grupos de usuarios cuando se utiliza conjuntamente con SecurID.
Protocolo ligero de acceso a directorios

El protocolo ligero de acceso a directorios (Lightweight Directory Access Protocol o LDAP) es un estndar de servidor de directorios desarrollado en la Universidad de Michigan en 1996. El protocolo LDAP es un protocolo para la organizacin y acceso a la informacin dentro de una estructura jerrquica similar a las ramas de un rbol. Su finalidad es doble:

Para localizar recursos, como organizaciones, individuos y archivos en una red Para ayudar a autenticar usuarios que intentan conectarse a redes controladas por servidores de directorios
La estructura bsica de LDAP se ramifica desde el nivel de pases al de organizaciones, luego unidades organizativas y, por ltimo, individuos. Tambin puede haber otros niveles de ramificacin intermedios, como regiones y provincias. La Figura 11 muestra un ejemplo de la estructura de organizacin de ramificacin de LDAP.
Figura 11: Estructura jerrquica de LDAP
Pases (c) Organizaciones (o) Unidades organizativas (ou) Ing JN US RAZ JA NTT Mkt ATT Mkt Asist Nota: Los individuos pueden ser personas, dispositivos, archivos, etc. cn = nombre comn. Ventas Individuos (cn)
30
NOTA:
Para obtener informacin sobre LDAP, consulte la norma RFC 1777, Protocolo ligero de acceso a directorios. Puede configurar el dispositivo de seguridad para enlazarse con un servidor de protocolo ligero de acceso a directorios (LDAP). Este servidor utiliza la sintaxis jerrquica de LDAP para identificar a cada usuario de forma inequvoca.
Propiedades del objeto servidor de autenticacin LDAP

Adems de las propiedades genricas del servidor de autenticacin descritas en Propiedades del objeto servidor de autenticacin en la pgina 18, un servidor LDAP tambin utiliza las propiedades descritas en la Tabla 9.
:
Tabla 9: Propiedades del objeto servidor de autenticacin LDAP Propiedad

LDAP Server Port
Descripcin
El nmero del puerto en el servidor LDAP al que el dispositivo de seguridad enva las peticiones de autenticacin. El nmero de puerto predeterminado es 389. Nota: Si cambia el nmero del puerto de LDAP en el dispositivo de seguridad, cmbielo tambin en el servidor LDAP.
Common Name Identifier
El identificador utilizado por el servidor LDAP para identificar al individuo introducido en un servidor LDAP. Por ejemplo, una entrada uid significa user ID (identificacin de usuario) y cn significa nombre comn.
Distinguished Name La ruta utilizada por el servidor LDAP antes de utilizar el identificador de (dn) nombre comn para buscar una entrada especfica. (Por ejemplo, c=us;o=juniper, donde c significa pas (country) y o significa organizacin).

Un servidor LDAP admite los siguientes tipos de usuarios y caractersticas de autenticacin:

Usuarios de autenticacin Usuarios L2TP (autenticacin de usuarios; el usuario L2TP recibe los ajustes L2TP predeterminados del dispositivo de seguridad) Usuarios XAuth (autenticacin de usuarios; no admite asignaciones de ajustes remotas) Usuarios administradores (autenticacin de usuarios; el usuario administrador recibe la asignacin de privilegios predeterminada: slo lectura)
Actualmente, un servidor LDAP no puede asignar ajustes remotos L2TP o XAuth ni privilegios de administrador de ScreenOS, aunque se puede utilizar un servidor LDAP para almacenar cuentas de usuarios administradores, L2TP y XAuth con fines de autenticacin. Asimismo, ScreenOS admite grupos de usuarios cuando se utiliza conjuntamente con LDAP.
31
Sistema plus de control de acceso de control de acceso de terminal Plus (TACACS+)

El sistema plus de control de acceso del controlador de acceso de terminal (TACACS+) es una aplicacin de seguridad que proporciona validacin centralizada de usuarios. Los TACACS+ se actualizan en una base de datos en un demonio TACACS+ que se ejecuta, generalmente, en una estacin de trabajo UNIX o Windows NT.
Figura 12: Autenticacin a un servidor TACACS+
Internet Un usuario de administracin solicita una conexin a la red protegida. El dispositivo de seguridad utiliza un servidor externo TACACS+ para autenticar al usuario de administracin antes de aprobar la peticin de conexin.
Servidor TACACS+
El cliente TACACS+ (es decir, el dispositivo de seguridad) autentica a usuarios mediante una serie de comunicaciones entre el cliente y el servidor. Bsicamente, TACACS+ pide a la persona que se est conectando que introduzca su nombre de usuario y contrasea. Entonces compara estos valores con lo que tiene almacenados en su base de datos y, una vez que el usuario ha sido autenticado, el cliente proporciona al usuario acceso a los correspondientes servicios de red. Para configurar el dispositivo de seguridad para TACACS+, debe especificar la direccin IP del servidor TACACS+ y definir un secreto compartido (shared secret), el mismo que haya definido en dicho servidor. El secreto compartido es una contrasea que el servidor TACACS+ utiliza para generar una clave con la que encriptar el trfico entre los dispositivos de seguridad y TACACS+. TACACS+ proporciona utilidades de contabilidad, autorizacin y autenticacin separada y modular. El soporte de TACACS+ en ScreenOS permite al servidor de TACACS+ proporcionar autenticacin y autorizacin independientemente como se muestra a continuacin:
Autenticacin y autorizacin TACACS+ separa las funciones de autenticacin y autorizacin. La autenticacin remota es compatible nicamente con los usuarios administradores. Los administradores autenticados tienen asignado un sistema virtual y nivel de privilegio. ScreenOS es compatible nicamente con la autorizacin a nivel de usuario.
Configure hasta dos servidores TACACS+ Si el servidor TACACS+ principal no es alcanzable, entonces se solicita el servidor TACACS+ de respaldo. Para obtener ms informacin, consulte Pioridad de la autenticacin de administrador en la pgina 33.
32
Propiedades del objeto del servidor TACACS+

Adems de las propiedades genricas del servidor de autenticacin descritas en Propiedades del objeto servidor de autenticacin en la pgina 18, un servidor TACACS+ tambin utiliza las propiedades descritas en la Tabla 10.
Tabla 10: Propiedades del objeto del servidor TACACS+ Propiedad
Shared Secret
Descripcin
El secreto (contrasea) compartido entre el dispositivo de seguridad y el servidor TACACS+. Los dispositivos utilizan este secreto para encriptar las contraseas de usuarios que envan al servidor TACACS+. El nmero del puerto en el servidor TACACS+ al que el dispositivo de seguridad enva las peticiones de autenticacin. El nmero de puerto predeterminado es 49. El intervalo (en segundos) que el dispositivo de seguridad espera antes de enviar otra peticin de autenticacin al servidor TACACS+ si la peticin anterior no obtuvo ninguna respuesta. El valor predeterminado es de tres segundos. El nmero de veces que el cliente de TACACS+ (es decir, el dispositivo de seguridad) intenta establecer comunicacin con el servidor TACACS+ antes de cancelar el intento. El tiempo en segundos que el dispositivo de seguridad espera entre sucesivos reintentos de autenticacin. TACACS+ encripta la carga completa del intercambio del servidor del cliente.
TACACS+ Port
TACACS+ Retry Timeout
Client Retries
Client Timeout Encryption
Pioridad de la autenticacin de administrador

ScreenOS le permite dar prioridad al proceso de autenticacin respecto a los servicios de autenticacin local y remoto. La administracin define la secuencia en la cual se consulta el servicio de autenticacin y la accin a tomar si falla el intento inicial.
Asignacin de prioridades a los servicios de autenticacin Establece la prioridad ms alta para autenticar al servicios de autorizacin remoto sobre la base de datos local. Las administraciones de la raz privilegiada pueden definir la secuencia del servicio de autenticacin (local y remota) en la cual se intenta realizar el servicio de autenticacin de administracin. La administracin raz establece uno de los servicios de autenticacin como principal. El otro se convierte automticamente en un servicio secundario.
Definicin del comportamiento de respaldo Si falla el servicio de autenticacin principal, puede configurar el dispositivo para autenticar el servicio secundario (predeterminado) o ignorarlo. La accin anterior se define de forma diferente para los administradores con privilegios de raz y los administradores que no tienen privilegios de raz.
Aceptacin de los administradores autenticados externamente Configura el dispositivo de seguridad para aceptar o no los administradores con privilegios de raz por medio de un servidor de autenticacin remoto.
Pioridad de la autenticacin de administrador
33
Autenticacin predeterminada Si falla una autenticacin remota y est desactivada la autenticacin local, entonces el dispositivo recurre a la autorizacin de administradores con privilegios de raz para que sean autenticados localmente. Este procedimiento de seguridad se restringe a la consola serie.
Definicin de objetos de servidor de autenticacin

Antes de poder referirse a servidores de autenticacin externos (servidores auth) en directivas, puertas de enlace IKE y tneles L2TP, primero es necesario definir los objetos del servidor de autenticacin. Los ejemplos siguientes ilustran cmo definir los objetos del servidor de autenticacin para servidores RADIUS, servidores SecurID, servidores LDAP y un servidor TACACS+.
Ejemplo: Servidor de autenticacin RADIUS

En el siguiente ejemplo definir un objeto de servidor de autenticacin para un servidor RADIUS. Especificar sus tipos de cuentas de usuario como auth (de autenticacin), L2TP y XAuth. Llamar al servidor RADIUS radius1 y aceptar el nmero de identificacin que el dispositivo de seguridad le asigne automticamente. Introducir su direccin IP, que es 10.20.1.100; y cambiar su nmero de puerto predeterminado (1645) a 4500. Definir su secreto compartido como A56htYY97kl. Tambin asignar a sus dos servidores de respaldo las direcciones IP 10.20.1.110 y 10.20.1.120. Modificar el valor del tiempo de espera predeterminado para la autenticacin (10 minutos) a 30 minutos y el tiempo de espera entre reintentos de RADIUS de 3 a 4 segundos. Pero debido a que con este ajuste la sesin podra permanecer abierta indefinidamente, en teora (mientras se enve una seal mediante una tecla cada 30 minutos), puede limitar el tiempo total de la sesin al establecer el tiempo de espera forzado a 60 minutos. Con este ajuste, despus de una hora se elimina la entrada de la tabla de autenticacin para el usuario, as como todas las sesiones asociadas para la entrada de la tabla de autenticacin; es necesario que el usuario se autentique de nuevo. Tambin cargar el archivo de diccionario de RADIUS en el servidor RADIUS de modo que admita consultas sobre los siguientes atributos especficos de cada fabricante (VSA): grupos de usuarios, privilegios de administrador y ajustes remotos L2TP y XAuth. En Figura 13, el dispositivo de seguridad enva peticiones de autenticacin auth, L2TP, y XAuth al servidor principal RADIUS, radius1, en 10.20.1.100. Si el dispositivo de seguridad pierde conectividad de red con el servidor RADIUS principal, desviar las peticiones de autenticacin a backup1 en la direccin IP 10.20.1.110. Si el dispositivo de seguridad no puede comunicarse con backup1, desviar las peticiones de autenticacin a backup2 en 10.20.1.120.
34
Figura 13: Ejemplo de respaldo de RADIUS

Backup2 IP: 10.20.1.120
Backup1 IP: 10.20.1.110
Nota: Slo se muestra el cableado hacia los servidores RADIUS.
Servidor RADIUS Nombre: radius1 IP: 10.20.1.100 Puerto: 4500 Tiempo de espera: 30 minutos Secreto compartido: A56htYY97kl Tipos de cuentas: Auth, L2TP, XAuth
WebUI Configuration > Auth > Auth Servers > New Introduzca los siguientes datos y haga clic en OK:
Name: radius1 IP/Domain Name: 10.20.1.100 Backup1: 10.20.1.110 Backup2: 10.20.1.120 Timeout: 30 Forced Timeout: 60 Account Type: Auth, L2TP , XAuth RADIUS: (seleccione) RADIUS Port: 4500 Retry Timeout: 4 (segundos) Shared Secret: A56htYY97kl
Cargue el archivo de diccionario de RADIUS en el servidor RADIUS.
NOTA:
Para obtener ms informacin, consulte Archivo de diccionario de RADIUS en la pgina 22. Para obtener instrucciones sobre cmo cargar el archivo de diccionario en un servidor RADIUS, consulte la documentacin especfica de su servidor. CLI
set auth-server radius1 type radius set auth-server radius1 account-type auth l2tp xauth set auth-server radius1 server-name 10.20.1.100 set auth-server radius1 backup1 10.20.1.110 set auth-server radius1 backup2 10.20.1.120 set auth-server radius1 forced-timeout 60 set auth-server radius1 timeout 30 set auth-server radius1 radius port 4500 set auth-server radius1 radius timeout 4 set auth-server radius1 radius secret A56htYY97kl save
35
NOTA:
El orden en el que se introducen los tipos de cuentas es importante. Por ejemplo, si introduce primero set auth-server radius1 account-type l2tp la nica opcin siguiente posible es xauth, porque no se puede ingresar auth despus de l2tp . El orden correcto puede recordarse fcilmente porque es alfabtico. Al cambiar el nmero de puerto se pueden impedir ataques potenciales dirigidos al nmero de puerto predeterminado de RADIUS (1645). Cargue el archivo de diccionario de RADIUS en el servidor RADIUS.
NOTA:
Para obtener ms informacin, consulte Archivo de diccionario de RADIUS en la pgina 22. Para obtener instrucciones sobre cmo cargar el archivo de diccionario en un servidor RADIUS, consulte la documentacin especfica de su servidor.
Ejemplo: Servidor de autenticacin SecurID

En el ejemplo siguiente configurar un objeto de servidor de autenticacin para un servidor SecurID ACE. Especificar su tipo de cuenta de usuario como admin. Llamar al servidor securid1 y aceptar el nmero de identificacin que el dispositivo de seguridad le asigne automticamente. Introducir la direccin IP del servidor principal, que es 10.20.2.100 y la direccin IP de un servidor de respaldo: 10.20.2.110. Cambiar su nmero de puerto predeterminado (5500) a 15000. El dispositivo de seguridad y el servidor SecurID ACE protegern la informacin de autenticacin utilizando el algoritmo de encriptacin DES. Se admiten hasta tres reintentos y un tiempo de espera del cliente de 10 segundos. Cambiar el tiempo de espera por inactividad predeterminado (10 minutos) a 60 minutos. Desactivar el ajuste Use Duress. Consulte la Figura 14.
NOTA:
El tiempo de espera del cliente es el nmero de segundos que el cliente SecurID (es decir, el dispositivo de seguridad) espera entre sucesivos reintentos de autenticacin. El valor del tiempo de espera por inactividad es el nmero de minutos que pueden transcurrir antes de que el dispositivo de seguridad termine automticamente una sesin de administrador inactiva. (Para obtener informacin comparativa entre los tiempos de espera aplicados a usuarios administradores y los aplicados a otros tipos de usuarios, consulte Propiedades del objeto servidor de autenticacin en la pgina 18).
36
Figura 14: Ejemplo de respaldo de SecurID

El dispositivo de seguridad enva peticiones de autenticacin de administrador al servidor SecurID principal, securid1, en la direccin IP 10.20.2.100. Si el dispositivo de seguridad pierde conectividad de red con el servidor SecurID principal, desviar las peticiones de autenticacin a backup1 en la direccin IP 10.20.2.110. Nota: ScreenOS solamente admite un servidor de respaldo para SecurID. Servidor SecurID Nombre: securid1 IP: 10.20.2.100 Puerto: 15000 Encriptacin: DES Reintentos del cliente: 3 Tiempo de espera del cliente: 10 segundos Tiempo de espera por inactividad: 60 minutos Tipos de cuentas: Admin
Backup1 IP: 10.20.2.110
Nota: Slo se muestra el cableado hacia los servidores SecurID.
Name: securid1 IP/Domain Name: 10.20.2.100 Backup1: 10.20.2.110 Timeout: 60 Account Type: Admin SecurID: (seleccione) Client Retries: 3 Client Timeout: 10 segundos Authentication Port: 15000 Encryption Type: DES User Duress: No
CLI
set auth-server securid1 type securid set auth-server securid1 server-name 10.20.2.100 set auth-server securid1 backup1 10.20.2.110 set auth-server securid1 timeout 60 set auth-server securid1 account-type admin set auth-server securid1 securid retries 3 set auth-server securid1 securid timeout 10 set auth-server securid1 securid auth-port 15000 set auth-server securid1 securid encr 1 set auth-server securid1 securid duress 0 save
37
Ejemplo: Servidor de autenticacin LDAP

En el ejemplo siguiente configurar un objeto de servidor de autenticacin para un servidor LDAP. Especificar su tipo de cuenta de usuario como auth. Llamar al servidor LDAP ldap1 y aceptar el nmero de identificacin que el dispositivo de seguridad le asigne automticamente. Introducir su direccin IP, que es 10.20.3.100 y cambiar su nmero de puerto predeterminado (389) a 19830. Cambiar el valor del tiempo de espera por inactividad predeterminado (10 minutos) a 40 minutos. Tambin asignar a sus dos servidores de respaldo las direcciones IP 10.20.3.110 y 10.20.3.120. El identificador de nombre comn LDAP ser cn, y el nombre completo c=us;o=juniper;ou=marketing. Consulte la Figura 15.
Figura 15: Ejemplo de respaldo de LDAP
El dispositivo de seguridad enva peticiones de autenticacin de usuarios auth al servidor LDAP principal, ldap1, en la direccin IP 10.20.3.100. Si el dispositivo de seguridad pierde conectividad de red con el servidor LDAP principal, desviar las peticiones de autenticacin a backup1 en la direccin IP 10.20.3.110. Si el dispositivo de seguridad no puede comunicarse con backup1, desviar las peticiones de autenticacin a backup2 en 10.20.3.120. Servidor LDAP Nombre: ldap1 IP: 10.20.3.100 Puerto: 19830 Tiempo de espera: 40 minutos Nombre comn: cn Nombre completo: c=us;o=juniper;ou=marketing Tipo de cuenta: Auth Backup1 IP: 10.20.3.110 Backup2 IP: 10.20.3.120
Nota: Slo se muestra el cableado hacia los servidores LDAP.
Name: ldap1 IP/Domain Name: 10.20.3.100 Backup1: 10.20.3.110 Backup2: 10.20.3.120 Timeout: 40 Account Type: Auth LDAP: (seleccione) LDAP Port: 4500 Common Name Identifier: cn Distinguished Name (dn): c=us;o=juniper;ou=marketing
CLI
set auth-server ldap1 type ldap set auth-server ldap1 account-type auth set auth-server ldap1 server-name 10.20.3.100 set auth-server ldap1 backup1 10.20.3.110 set auth-server ldap1 backup2 10.20.3.120 set auth-server ldap1 timeout 40 set auth-server ldap1 ldap port 15000 set auth-server ldap1 ldap cn cn set auth-server ldap1 ldap dn c=us;o=juniper;ou=marketing save
38
Ejemplo: Servidor de autenticacin TACACS+

En el siguiente ejemplo, definir un objeto de servidor de autenticacin para un servidor TACACS+. Llamar al servidor TACACS+ tacacs1 y aceptar el nmero de identificacin que el dispositivo de seguridad le asigne automticamente. Introducir su direccin IP, que es 1.1.1.1. Definir su secreto compartido como A56htYY97kl. Tambin asignar a sus dos servidores de respaldo las direcciones IP 2.2.2.2 y 3.3.3.3. Debe tener acceso a un servidor TACACS+ y configurarlo para que estn disponibles las funciones de TACACS+ configuradas en el dispositivo. Modificar el valor del tiempo de espera predeterminado para la autenticacin (10 minutos) a 30 minutos y el tiempo de espera entre reintentos de TACACS+ de 3 a 4 segundos. Pero debido a que con este ajuste la sesin podra permanecer abierta indefinidamente, en teora (mientras se enve una seal mediante una tecla cada 30 minutos), puede limitar el tiempo total de la sesin estableciendo el tiempo de espera forzado a 60 minutos. Con este ajuste, despus de una hora se elimina la entrada de la tabla de autenticacin para el usuario, as como todas las sesiones asociadas para la entrada de la tabla de autenticacin; es necesario que el usuario se autentique de nuevo. En la Figura 16, el dispositivo de seguridad enva peticiones de autenticacin de administracin al servidor TACACS+ principal, tacacs1, en 1.1.1.1. Si el dispositivo de seguridad pierde conectividad de red con el servidor TACACS+ principal, desviar las peticiones de autenticacin a backup1 en la direccin IP 2.2.2.2. Si el dispositivo de seguridad no puede comunicarse con backup1, desviar las peticiones de autenticacin a backup2 en 3.3.3.3.
Figura 16: Ejemplo de respaldo de TACACS+
El dispositivo de seguridad enva peticiones de autenticacin de administracin al servidor TACACS+ principal, tacacs1, en Backup1 1.1.1.1. Si el dispositivo de seguridad pierde conectividad de red con el IP: 2.2.2.2 servidor TACACS+ principal, ste desviar entonces las peticiones de autenticacin a backup1 en la direccin IP 2.2.2.2. Si el dispositivo de seguridad no puede comunicarse con backup1, ste desviar entonces las peticiones de autenticacin a backup2 en 3.3.3.3. Backup2 IP: 3.3.3.3
Nota: nicamente se muestra el cableado hacia los servidores TACACS+.
Servidor TACACS+ Nombre: tacacs1 IP: 1.1.1.1 Puerto: 49 Tiempo de espera: 10 minutos Secreto compartido: A56htYY97kl Tipo de cuenta: admin
39
Name: tacacs1 IP/Domain Name: 1.1.1.1 Backup1: 2.2.2.2 Backup2: 3.3.3.3 Timeout: 10 Forced Timeout: 60 Account Type: administradores TACACS: (seleccione) TACACS Port: 49 Retry Timeout: 4 (segundos) Shared Secret: A56htYY97kl
CLI
set auth-server tacacs1 type tacacs set auth-server tacacs1 account-type auth l2tp xauth set auth-server tacacs1 server-name 1.1.1.1 set auth-server tacacs1 backup1 2.2.2.2 set auth-server tacacs1 backup2 3.3.3.3 set auth-server tacacs1 forced-timeout 60 set auth-server tacacs1 timeout 10 set auth-server tacacs1 tacacs port 49 set auth-server tacacs1 tacacs timeout 4 set auth-server tacacs1 tacacs secret A56htYY97kl set admin auth server tacacs1 save NOTA:
Cambiando el nmero de puerto se pueden impedir ataques potenciales dirigidos al nmero de puerto predeterminado de TACACS+ (49).
Definicin de los servidores de autenticacin predeterminados

De forma predeterminada, la base de datos local es el servidor de autenticacin predeterminado para todos los tipos de usuarios. Puede especificar servidores de autenticacin externos como servidores predeterminados para la autenticacin de uno o ms de los siguientes tipos de usuarios:

Admin Auth L2TP XAuth 802.1x
40
Si posteriormente desea utilizar el servidor de autenticacin predeterminado para un tipo de usuario determinado al configurar la autenticacin en directivas, tneles L2TP o puertas de enlace IKE, no necesitar especificar un servidor de autenticacin en cada configuracin. El dispositivo de seguridad establecer las referencias apropiadas a los correspondientes servidores de autenticacin designados previamente como predeterminados.
Ejemplo: Cambiar los servidores de autenticacin predeterminados

En este ejemplo se utilizan los objetos de servidores de autenticacin RADIUS, SecurID y LDAP creados en los ejemplos anteriores:

radius1 (Ejemplo: Servidor de autenticacin RADIUS en la pgina 34) securid1 (Ejemplo: Servidor de autenticacin SecurID en la pgina 36) ldap1 (Ejemplo: Servidor de autenticacin LDAP en la pgina 38)
A continuacin asignar la base de datos local, radius1, securid1 y ldap1 como servidores predeterminados para los siguientes tipos de usuarios:

Local: Servidor de autenticacin predeterminado para usuarios XAuth radius1: Servidor de autenticacin predeterminado para usuarios L2TP securid1: Servidor de autenticacin predeterminado para usuarios con permisos de administrador ldap1: Servidor de autenticacin predeterminado para usuarios de autenticacin (Auth)
NOTA:
De forma predeterminada, la base de datos local es el servidor de autenticacin predeterminado para todos los tipos de usuarios. Por lo tanto, a menos que haya asignado previamente un servidor de autenticacin externo como servidor predeterminado para los usuarios XAuth, no necesita configurarlo como tal. WebUI VPNs > AutoKey Advanced > XAuth Settings: Seleccione Local en la lista desplegable Default Authentication Server, luego haga clic en Apply. VPNs > L2TP > Default Settings: Seleccione radius1 en la lista desplegable Default Authentication Server, luego haga clic en Apply. Configuration > Admin > Administrators: Seleccione Local/securid1 en la lista desplegable Admin Auth Server, luego haga clic en Apply. Configuration > Auth > Firewall: Seleccione ldap1 en la lista desplegable Default Authentication Server, luego haga clic en Apply.
41
CLI
set xauth default auth server Local set l2tp default auth server radius1 set admin auth server securid1 set auth default auth server ldap1 save NOTA:
De forma predeterminada, la base de datos local es el servidor de autenticacin predeterminado para todos los tipos de usuarios. Por lo tanto, a menos que haya asignado previamente un servidor de autenticacin externo como servidor predeterminado para los usuarios XAuth, no necesita configurarlo como tal.
42
Captulo 3
Autenticacin de infranet
Este captulo trata de cmo se implementa el dispositivo de seguridad en una solucin de control de acceso unificado (UAC). La solucin de control de acceso unificado de Juniper Networks garantiza y asegura la entrega de aplicaciones y servicios a travs de infranet empresarial. La solucin UAC es una infraestructura empresarial basada en IP que coordina la red, aplicacin e inteligencia de punto final, as como proporciona el control que se requiere para dar soporte a las aplicaciones de red, administrar el uso de la red y reducir las amenazas. Para obtener ms informacin sobre cmo configurar e implementar la solucin de control de acceso unificado (UAC), consulte el manual Unified Access Control Administration Guide. Este captulo incluye las siguientes secciones:

Solucin de control de acceso unificado en esta pgina Funcionamiento del cortafuegos con el controlador de infranet en la pgina 45 Configuracin de la autenticacin de infranet en la pgina 46
Solucin de control de acceso unificado

En la implementacin del control de acceso unificado, su dispositivo de seguridad opera con el controlador de Infranet para reforzar las directivas. El dispositivo de seguridad, tambin conocido como Infranet Enforcer, se implementa en frente de los servidores y recursos que usted quiere proteger, tal como se muestra en Figura 17. Para obtener ms informacin sobre la solucin de Control de acceso unificado, controlador de Infranet, consulte el manual Unified Access Control Administration Guide.
43
Figura 17: Implementacin del dispositivo de seguridad para la autenticacin de infranet

Recursos protegidos
Controlador de infranet
R
Directivas en SSH
Dispositivo de seguridad (Infranet Enforcer)
CONSOLE PWR HD TEMP
Internet/LAN
Solicitud de acceso a travs de NCP
Transporte encriptado autenticado a travs de IPSec
Agente de infranet en Windows
El dispositivo de seguridad y el controlador de Infranet trabajan juntos para proporcionar seguridad de punto final granular y servicios de cortafuegos para permitir que slo los usuarios finales calificados tengan acceso a los recursos protegidos. Por ejemplo, puede configurar el controlador de infranet con los roles que definen el nivel de acceso, tal como el acceso completo a los recursos protegidos para un ro de empleados, y acceso limitado a un rol de empleados temporales. Tambin puede crear directivas en el controlador de infranet que requieran puntos finales para satisfacer ciertos requisitos de seguridad, o incluso negarles acceso a los recursos protegidos. Por ejemplo, es posible que necesite que un punto final utilice una versin mnima de una aplicacin de antivirus y que cuente con definiciones actualizadas del antivirus. Si el punto final no cumple con los requisitos de seguridad, puede mostrar una pgina que instruya al usuario sobre cmo lograr que su punto final los cumpla. El dispositivo de seguridad permite o rechaza el acceso a los recursos en funcin del rol y del cumplimiento con la seguridad del punto final. El dispositivo de seguridad se conecta con el controlador de Infranet a travs de una conexin SSH que utiliza el protocolo de notificacin de cambio de direccin de NetScreen (NACN). Para configurar una conexin entre dos dispositivos, consulte el manual Unified Access Control Administration Guide.
44
Captulo 3: Autenticacin de infranet
Funcionamiento del cortafuegos con el controlador de infranet

Esta seccin explica cmo funcionan juntos el cortafuegos (dispositivo de seguridad de Juniper Networks) y el controlador de Infranet para establecer comunicaciones y aplicar las directivas de seguridad: 1. Durante el arranque, el dispositivo de seguridad se conecta al controlador de Infranet a travs de una conexin SSL al utilizar el protocolo NACN. Puede configurar el dispositivo de seguridad para que trabaje hasta con ocho instancias de controlador de Infranet. El dispositivo de seguridad slo se comunica con un controlador de Infranet a la vez; los dems se utilizan para hacer una conmutacin por error dentro de un clster del controlador de Infranet. Si el dispositivo de seguridad no se puede conectarse con el primer controlador de Infranet, lo intenta con el siguiente en su lista de configuracin hasta que se logre la conexin. Todos los controladores de infranet que estn configurados en el dispositivo de seguridad deberan ser miembros del mismo clster de controladores de infranet. 2. Despus de que el dispositivo de seguridad establece con xito una conexin NACN con el controlador de Infranet, ste abre una conexin SSH con el dispositivo de seguridad. El controlador de Infranet utiliza esta conexin SSH para enviar la informacin de las directivas y autenticacin del usuario al dispositivo de seguridad. 3. Cada vez que el controlador de Infranet autentica un usuario y verifica que el equipo del usuario cumple con las directivas de seguridad de punto final, el controlador de Infranet enva informacin de autenticacin del usuario al dispositivo de seguridad. Esta informacin incluye una entrada de tabla de autenticacin para cada usuario autenticado. Una entrada de la tabla de autenticacin se compone de los roles del usuario y la direccin IP de origen. La puerta de enlace IKE, VPN y la directiva de autenticacin de infranet del tnel permiten que el punto final del usuario establezca un tnel IPSec con el dispositivo de seguridad para proteger el trfico de la red. 4. Cuando el dispositivo de seguridad detecta trfico desde un usuario que coincide con una directiva de autenticacin de infranet, ste utiliza la entrada de la tabla de autenticacin del usuario, junto con las directivas de acceso que se aplican al recurso protegido, para determinar si se permite que el usuario tenga acceso al recurso protegido. Adems de las acciones para permitir y rechazar, la directiva del controlador de infranet le permite asociar elementos de accin adicionales, como DI, IDP, AV, registro, filtrado de web y antispam al controlador de infranet. Antes de configurar el controlador de intranet para estas acciones, debe configurar una directiva de cortafuegos para los elementos de accin asociados y configurar el dispositivo para la autenticacin de infranet. La directiva del controlador de infranet puede activar o desactivar funciones especficas de la directiva de cortafuegos. Por ejemplo, si la accin de AV se define para la directiva de acceso del controlador de Infranet (opciones Resource policies>ScreenOS), el cortafuegos analiza el trfico de usuarios en busca de virus, pero sin realizar DI, IDP, registro, filtrado de web o antispam.
Funcionamiento del cortafuegos con el controlador de infranet
45
5. Conforme es necesario, el controlador de Infranet enva comandos al dispositivo de seguridad para que elimine las directivas o las entradas de la tabla de autenticacin, as como para que deniegue el acceso a los recursos protegidos. Por ejemplo, esto puede suceder cuando el equipo del usuario no es compatible con las directivas de seguridad del punto final o cuando pierde su conexin con el controlador de Infranet, cuando usted cambia la configuracin del papel de un usuario o, cuando desactiva todas las cuentas del usuario en el controlador de Infranet en respuesta a un problema de seguridad, tal como un virus en la red. Para obtener ms detalles, consulte el manual Unified Access Control Administration Guide.
Configuracin de la autenticacin de infranet

A continuacin se muestran las tareas que se requieren para configurar un dispositivo de seguridad para la autenticacin en Infranet:

Establecer el dispositivo de seguridad en el modo de rutas o transparente Asociar una interfaz a una zona de seguridad Configurar los ajustes del servidor de autoridad de certificacin Crear una instancia del controlador de infranet en el modo de rutas Visualizar la configuracin de una instancia del controlador de infranet Configurar una directiva basada en IP de origen Configurar una directiva en el Infranet Enforcer Configurar un portal cautivo en el dispositivo de seguridad
Debe tener acceso a la raz para poder ejecutar las tareas anteriores. Para obtener ms detalles, consulte el manual Unified Access Control Administration Guide.
46
Configuracin de la autenticacin de infranet
Captulo 4
Usuarios de autenticacin
Un usuario de autenticacin (o auth user) es un usuario de red que debe proporcionar un nombre de usuario y la contrasea para autenticarse al iniciar una conexin a travs del cortafuegos. Las cuentas de usuarios de autenticacin se pueden almacenar en la base de datos local o en el servidor RADIUS, SecurID o LDAP externo. Puede agrupar varias cuentas de usuarios de autenticacin para crear un grupo de usuarios auth, el cual puede guardar en la base de datos local o en un servidor RADIUS. Una sola cuenta de usuario de autenticacin puede estar asociada a hasta cuatro grupos de usuarios en la base de datos local o en un servidor RADIUS. Si crea un grupo de usuarios externo en un servidor RADIUS, tambin debe crear un grupo idntico (pero vaco) de usuarios en el dispositivo de seguridad. Por ejemplo, si define un grupo de usuarios de autenticacin denominado au_grp1 en un servidor RADIUS llamado rs1 y agrega 10 miembros al grupo, en el dispositivo de seguridad deber definir un grupo de usuarios de autenticacin denominado tambin au_grp1, identificndolo como grupo externo de usuarios, pero sin agregarle ningn miembro. Cuando consulte el grupo de usuarios externos au_grp1 y el servidor de autenticacin rs1 en una directiva, el dispositivo de seguridad podr consultar correctamente al servidor RADIUS especificado cada vez que el trfico descrito por la directiva provoque una comprobacin de autenticacin. Este captulo consta de las siguientes secciones:
Referencias a usuarios autenticados en directivas en la pgina 48

Autenticacin en tiempo de ejecucin en la pgina 48 Autenticacin de comprobacin previa a la directiva (WebAuth) en la pgina 49
Referencias a grupos de usuarios de autenticacin en directivas en la pgina 50
Ejemplo: Autenticacin en tiempo de ejecucin (usuario local) en la pgina 51 Ejemplo: Autenticacin en tiempo de ejecucin (grupo de usuarios locales) en la pgina 53 Ejemplo: Autenticacin en tiempo de ejecucin (usuario externo) en la pgina 54
47
Ejemplo: Autenticacin en tiempo de ejecucin (grupo de usuarios externos) en la pgina 56 Ejemplo: Usuario de autenticacin local en mltiples grupos en la pgina 58 Ejemplo: WebAuth (grupo de usuarios locales) en la pgina 61 Ejemplo: WebAuth (grupo de usuarios externos) en la pgina 62 Ejemplo: WebAuth + SSL solamente (grupo de usuarios externos) en la pgina 65
Referencias a usuarios autenticados en directivas

Despus de haber definido un usuario de autenticacin, podr crear una directiva que obligue al usuario a autenticarse por medio de uno de los dos esquemas de autenticacin. El primer esquema autentica a los usuarios cuando llega al dispositivo de seguridad trfico FTP, HTTP o Telnet que coincida con alguna directiva que requiere autenticacin. En el segundo esquema, los usuarios se autentican antes de enviar trfico (de cualquier clase, no slo FTP, HTTP o Telnet) que coincida con alguna directiva que requiera autenticacin.
Autenticacin en tiempo de ejecucin

Cuando un usuario intenta iniciar una peticin de conexin HTTP, FTP o Telnet que coincida con alguna directiva que requiera autenticacin, el dispositivo de seguridad intercepta la peticin y pide al usuario que introduzca un nombre y una contrasea (consulte Autenticacin de usuarios en la pgina 2-172). Antes de conceder el permiso, el dispositivo de seguridad comprueba el nombre de usuario y la contrasea comparndolos con los almacenados en la base de datos local o en un servidor de autenticacin externo. Consulte la Figura 18.
Figura 18: Bsqueda de directivas para un usuario
Origen del paquete Motor de directivas Nombre: ?? Contrasea: ?? Nombre: ** Contrasea: ** Mensaje de xito Bfer BD local o Servidor de autenticacin externo
Destino del paquete 1.2.2.2
48
Captulo 4: Usuarios de autenticacin
1. El usuario de autenticacin enva un paquete FTP, HTTP o Telnet a la direccin 1.2.2.2. 2. El dispositivo de seguridad intercepta el paquete, detecta que su directiva requiere autenticacin en la base de datos local o en un servidor externo, y guarda el paquete en un bfer. 3. El dispositivo de seguridad pide al usuario la informacin de inicio de sesin mediante FTP, HTTP o Telnet. 4. El usuario responde con un nombre de usuario y una contrasea. 5. El dispositivo de seguridad comprueba si en su base de datos local existe la cuenta de usuario de autenticacin o enva la informacin de inicio de sesin al servidor de autenticacin externo segn lo especificado en la directiva. 6. Si encuentra alguna coincidencia (o recibe un aviso de coincidencia desde el servidor de autenticacin externo), el dispositivo de seguridad informa al usuario de que el inicio de sesin ha sido correcto. 7. Seguidamente, el dispositivo de seguridad redirecciona el paquete de su bfer a su destino 1.2.2.2.
Autenticacin de comprobacin previa a la directiva (WebAuth)

Antes de enviar trfico al destino previsto, los usuarios de autenticacin inician una sesin HTTP en la direccin IP que contiene la funcin WebAuth en el dispositivo de seguridad y se autentican. Una vez el dispositivo de seguridad haya autenticado al usuario, ste puede enviar trfico al destino segn lo permitido por una directiva que requiere autenticacin va WebAuth. Consulte la Figura 19.
Figura 19: Ejemplo de WebAuth
HTTP a 10.1.1.21 WebAuth 10.1.1.21
Nombre: ?? Contrasea: ?? Nombre: ** Contrasea: **
1 5. El usuario de autenticacin se conecta a la direccin IP 10.1.1.21 de WebAuth e inicia una sesin correctamente. (El dispositivo de seguridad comprueba la cuenta del usuario de autenticacin en la base de datos especificada: la base de datos local o el servidor de autenticacin externo). BD local o Servidor de autenticacin externo 1.2.2.2
Mensaje de xito Motor de directivas
6. El usuario de autenticacin inicia una conexin a 1.2.2.2.
7. El motor de directivas detecta que la directiva aplicable a este trfico requiere una autenticacin a travs de WebAuth. Comprueba su lista de usuarios autenticados, descubre que el usuario est actualmente autenticado a travs de WebAuth y enva el trfico a su destino.
49
Algunos detalles sobre WebAuth:
Puede dejar la base de datos local como servidor de autenticacin predeterminado de WebAuth o elegir un servidor de autenticacin externo para este papel. El requisito principal para un servidor de autenticacin de WebAuth es que, entre sus tipos de cuentas, debe incluir usuarios de autenticacin. La direccin de WebAuth debe estar en la misma subred que la interfaz que desea utilizar para hospedarlo. Por ejemplo, si desea que los usuarios de autenticacin se conecten a WebAuth a travs de ethernet3, que tiene la direccin IP 1.1.1.1/24, puede asignar a WebAuth una direccin IP en la subred 1.1.1.0/24. Puede poner una direccin de WebAuth en la misma subred que la direccin IP de cualquier interfaz, subinterfaz o interfaz de seguridad virtual (VSI) fsica. (Para obtener informacin sobre diversos tipos de interfaces, consulte Interfaces en la pgina 2-33). Si desea utilizar WebAuth mientras est en modo transparente, puede poner una direccin de WebAuth en la misma subred que la direccin IP de VLAN1. Puede poner direcciones de WebAuth en mltiples interfaces. Si tiene varias interfaces asociadas a la misma zona de seguridad, puede poner una direccin de WebAuth en una subred de una interfaz; seguir recibiendo el trfico procedente de la misma zona pero a travs de otra interfaz. Recuerde que despus de autenticar a un usuario en una determinada direccin IP de origen, el dispositivo de seguridad permitir posteriormente el trfico de cualquier otro usuario en esa misma direccin, segn lo especificado en la directiva que exige autenticacin a travs de WebAuth. Este caso puede darse si los usuarios originan trfico desde detrs de un dispositivo NAT que cambia todas las direcciones de origen originales a una sola direccin traducida. Puede hacer que el dispositivo acepte solamente conexiones SSL (HTTPS) para las sesiones WebAuth.
Referencias a grupos de usuarios de autenticacin en directivas

Para administrar un determinado nmero de usuarios de autenticacin, puede crear grupos de usuarios de autenticacin y almacenarlos en el dispositivo de seguridad local o en un servidor RADIUS externo.
NOTA:
Si almacena usuarios en grupos en un servidor RADIUS, deber crear tambin grupos de usuarios externos vacos en el dispositivo de seguridad con nombres que correspondan a los de los grupos de usuarios previamente creados en el servidor RADIUS.
50
En lugar de administrar cada usuario individualmente, puede agrupar usuarios en un grupo para que cualquier cambio realizado en ste se propague a todos sus miembros. Un usuario de autenticacin puede ser miembro de hasta cuatro grupos de usuarios en la base de datos local o en un servidor RADIUS. Un usuario de autenticacin perteneciente a ms de un grupo deber indicar un nombre de usuario y una contrasea solamente una vez antes de ser autorizado a acceder a los recursos definidos para cada grupo de los que es miembro. Consulte la Figura 20.
Figura 20: Grupos de usuarios de autenticacin
1 Directiva por usuario de autenticacin Directiva 1 Directiva por grupo de usuarios de autenticacin
Vpn TELEFNICA
Contrasea: Cwb6yooN21 Grupo de usuario: Western Encriptacin: 3DES Autenticacin: SHA-1 SPI (local): 3300 SPI (remoto): 3301
Alice
ID
Directiva
Vpn TELEFNICA
VPN Dialup User

Password: Cwb6yooN21 User Group: Western Encryption: 3DES Authentication: SHA-1 SPI (local): 3300 SPI (remote): 3301
Directiva
Alice
Dan
ID
Vpn TELEFNICA
Directiva
Christine
Ejemplo: Autenticacin en tiempo de ejecucin (usuario local)

En este ejemplo definir un usuario de autenticacin local llamado louis con la contrasea iDa84rNk y una direccin denominada host1 en la libreta de direcciones de la zona Trust. Seguidamente, configurar dos directivas de trfico saliente: una que rechace todo el trfico saliente y otra de host1 pidiendo a louis que se autentique. (Louie iniciar todo el trfico saliente desde el host1). El dispositivo de seguridad rechazar el trfico saliente de cualquier otra direccin, as como el trfico no autenticado procedente de host1. WebUI
1. Usuario de autenticacin y direccin locales
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK:
User name: louis Status: Enable Authentication User: (seleccione) User Password: iDa84rNk Confirm Password: iDa84rNk
51
Address Name: host1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.4/32 Zone: Trust
2. Directivas
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Rechazado
Source Address: Address Book Entry: (seleccione), host1 Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Permit Position at Top: (seleccione)
Authentication: (seleccione) Auth Server: (seleccione) Use: Local User: (seleccione), Local Auth User - louis
CLI
1. Usuario local y direccin
set user louis password iDa84rNk set address trust host1 10.1.1.4/32 NOTA:
De forma predeterminada, todo usuario al que se asigna una contrasea entra en la categora de usuarios de autenticacin.
2. Directivas
set policy from trust to untrust any any any deny set policy top from trust to untrust host1 any any permit auth user louis save
52
Ejemplo: Autenticacin en tiempo de ejecucin (grupo de usuarios locales)

En este ejemplo definir un grupo de usuarios locales llamado auth_grp1. Agregar los usuarios de autenticacin previamente creados louis y lara al grupo. Despus configurar una directiva que haga referencia a auth_grp1. La directiva otorgar los privilegios FTP-GET y FTP-PUT a authg_grp1, con el nombre de direccin auth_grp1 (direccin IP 10.1.8.0/24) en la zona Trust para acceder a un servidor FTP llamado ftp1 (direccin IP 1.2.2.3/32) de la zona DMZ.
NOTA:
Cuando crea un grupo de usuarios en la base de datos local, su tipo de usuario permanece sin definir hasta que se le agrega un usuario. En ese momento, el grupo de usuarios asume el tipo o los tipos de usuarios que le agregue. Puede crear grupos de usuarios de mltiples tipos agregando los tipos de usuarios Auth, IKE, L2TP y XAuth. No puede combinar los usuarios administradores con ningn otro tipo de usuarios. WebUI
1. Grupo de usuarios locales y miembros
Objects > Users > Local Groups > New: Escriba auth_grp1 en el campo Group Name, haga lo siguiente y luego haga clic en OK: Seleccione louis y utilice el botn << para trasladarlo de la columna Available Members a la columna Group Members. Seleccione lara y utilice el botn << para trasladarla de la columna Available Members a la columna Group Members.
2. Direccin
Address Name: auth_grp1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.8.0/24 Zone: Trust
Address Name: ftp1 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.3/32 Zone: DMZ
53
3.
Directiva
Policy > Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), auth_grp1 Destination Address: Address Book Entry: (seleccione), ftp1 Service: FTP Action: Permit Position at Top: (seleccione)
Authentication: (seleccione) Auth Server: (seleccione) Use: Local User Group: (seleccione), Local Auth Group - auth_grp1
CLI
1. Grupo de usuarios locales y miembros
set user-group auth_grp1 location local set user-group auth_grp1 user louis set user-group auth_grp1 user lara
2. Direccin
set address trust auth_grp1 10.1.8.0/24 set address dmz ftp1 1.2.2.3/32
3. Directiva
set policy top from trust to dmz auth_grp1 ftp1 ftp permit auth user-group auth_grp1 save
Ejemplo: Autenticacin en tiempo de ejecucin (usuario externo)

En este ejemplo definir un servidor de autenticacin externo LDAP llamado x_srv1 con los atributos siguientes:

Account type: auth IP Address: 10.1.1.100 Backup1 IP address: 10.1.1.110 Backup2 IP address: 10.1.1.120 Authentication timeout: 60 minutes LDAP port number: 14500 Common name identifier: cn Distinguished name: c=us;o=netscreen
54
Asignar al usuario de autenticacin euclid la contrasea eTcS114u en el servidor de autenticacin externo. Despus configurar una directiva saliente que requiera autenticacin en el servidor de autenticacin x_srv1 para el usuario externo euclid. WebUI
1. Servidor de autenticacin
Configuration > Auth > Auth Servers > New Introduzca los siguientes datos y haga clic en OK:
Name: x_srv1 IP/Domain Name: 10.1.1.100 Backup1: 10.1.1.110 Backup2: 10.1.1.120 Timeout: 60 Account Type: Auth LDAP: (seleccione) LDAP Port: 14500 Common Name Identifier: cn Distinguished Name (dn): c=us;o=netscreen
2. Usuario externo
Defina el usuario de autenticacin euclid con la contrasea eTcS114u en el servidor de autenticacin LDAP externo x_serv1.
3. Direccin
Address Name: euc_host IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.20/32 Zone: Trust
4. Directiva
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Permit Position at Top: (seleccione)
Authentication: (seleccione) Auth Server: (seleccione) Use: x_srv1 User: (seleccione), External User External User: euclid
55
CLI
set set set set set set set set set set
2.
auth-server x_srv1 auth-server x_srv1 type ldap auth-server x_srv1 account-type auth auth-server x_srv1 server-name 10.1.1.100 auth-server x_srv1 backup1 10.1.1.110 auth-server x_srv1 backup2 10.1.1.120 auth-server x_srv1 timeout 60 auth-server x_srv1 ldap port 14500 auth-server x_srv1 ldap cn cn auth-server x_srv1 ldap dn c=us;o=netscreen
Usuario externo
Defina el usuario de autenticacin euclid con la contrasea eTcS114u en el servidor de autenticacin LDAP externo x_serv1.
3. Direccin
set address trust euc_host 10.1.1.20/32

4. Directiva
set policy top from trust to untrust euc_host any any auth server x_srv1 user euclid save
Ejemplo: Autenticacin en tiempo de ejecucin (grupo de usuarios externos)

En este ejemplo configurar un servidor de autenticacin RADIUS externo denominado radius1y definir un grupo de usuarios de autenticacin externo llamado auth_grp2. Tambin definir el grupo de usuarios de autenticacin externo auth_grp2 en dos sitios: 1. Servidor de autenticacin RADIUS externo radius1 2. Dispositivo de seguridad
NOTA:
La configuracin del servidor de autenticacin de RADIUS es casi idntica a la descrita en el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34, salvo que en este ejemplo solamente se especificar auth como tipo de cuenta de usuario. Alimentar el grupo de usuarios de autenticacin auth_grp2 solamente con los usuarios de autenticacin del servidor RADIUS, dejando el grupo vaco en el dispositivo de seguridad. Los miembros de este grupo son contables que requieren acceso exclusivo a un servidor en la direccin IP 10.1.1.80. Crear una entrada en la libreta de direcciones para el servidor y llamar a la direccin midas. Luego configurar una directiva entre zonas que slo permitir trfico autenticado de auth_grp2 a midas, ambos en la zona Trust. (Para obtener ms informacin sobre las directivas dentro de zonas, consulte Directivas en la pgina 2-161).
56
Servidor RADIUS 1. Cargue el archivo de diccionario de RADIUS en el servidor RADIUS.
NOTA:
Para obtener ms informacin sobre el archivo de diccionario de RADIUS, consulte el Archivo de diccionario de RADIUS en la pgina 22. Para obtener instrucciones sobre cmo cargar el archivo de diccionario en un servidor RADIUS, consulte la documentacin del servidor RADIUS. Si est utilizando un servidor IAS RADIUS de Microsoft, no hay que cargar ningn archivo de diccionario, sino que deber definir los atributos correctos especficos de cada fabricante (VSAs) en el servidor. 2. Despus de definir las cuentas de los usuarios de autenticacin en el servidor RADIUS, utilice la VSA del grupo de usuarios de ScreenOS para crear el grupo de usuarios auth_grp2 y aplquelo a las cuentas de usuarios de autenticacin que desee agregar a dicho grupo. WebUI
Name: radius1 IP/Domain Name: 10.20.1.100 Backup1: 10.20.1.110 Backup2: 10.20.1.120 Timeout: 30 Account Type: Auth RADIUS: (seleccione) RADIUS Port: 4500 Shared Secret: A56htYY97kl
2. Grupo de usuarios externos
Objects > Users > External Groups > New: Introduzca los siguientes datos y haga clic en OK:
Group Name: auth_grp2 Group Type: Auth
3. Direccin
Address Name: midas IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.80/32 Zone: Trust
57
4.
Directiva
Policy > Policies > (From: Trust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), midas Service: ANY Action: Permit Position at Top: (seleccione)
Authentication: (seleccione) Auth Server: (seleccione) Use: radius1 User Group: (seleccione), External Auth Group - auth_grp2
CLI
set auth-server radius1 type radius set auth-server radius1 account-type auth set auth-server radius1 server-name 10.20.1.100 set auth-server radius1 backup1 10.20.1.110 set auth-server radius1 backup2 10.20.1.120 set auth-server radius1 timeout 30 set auth-server radius1 radius port 4500 set auth-server radius1 radius secret A56htYY97kl
2. Grupo de usuarios externos
set user-group auth_grp2 location external set user-group auth_grp2 type auth
3. Direccin
set address trust midas 10.1.1.80/32

4. Directiva
set policy top from trust to trust any midas any permit auth server radius1 user-group auth_grp2 save
Ejemplo: Usuario de autenticacin local en mltiples grupos

En este ejemplo definir un usuario de autenticacin local llamado Mary. Mary es jefa de ventas y necesita acceso a dos servidores: el servidor A, dedicado al equipo de agentes comerciales (grupo agentes_ventas) y el servidor B, dedicado a los directivos (grupo jefes_ventas). Para proporcionarle acceso a ambos, agregar a Mary a ambos grupos de usuarios. Luego crear dos directivas, una para cada grupo.
NOTA:
Este ejemplo no muestra la configuracin de los otros miembros del grupo.
58
WebUI
1. Local User
User Name: mary Status: Enable Authentication User: (seleccione) User Password: iFa8rBd Confirm Password: iFa8rBd
2. Grupos de usuarios locales y miembros
Objects > Users > Local Groups > New: Escriba jefes_ventas en el campo Group Name, haga lo siguiente y luego haga clic en OK: Seleccione mary y utilice el botn << para trasladarla de la columna Available Members a la columna Group Members. Objects > Users > Local Groups > New: Escriba agentes_ventas en el campo Group Name, haga lo siguiente y luego haga clic en OK: Seleccione mary y utilice el botn << para trasladarla de la columna Available Members a la columna Group Members.
3. Direcciones
Address Name: ventas IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.8.0/24 Zone: Trust
Address Name: server_a IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.5/32 Zone: Untrust
Address Name: server_b IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.6/32 Zone: Untrust
59
4.
Directivas
Policy > Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), ventas Destination Address: Address Book Entry: (seleccione), server_a Service: FTP Action: Permit Position at Top: (seleccione)
Authentication: (seleccione) Auth Server: (seleccione) Use: Local User Group: (seleccione), Local Auth Group - agentes_ventas
Policy > Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), ventas Destination Address: Address Book Entry: (seleccione), server_b Service: FTP Action: Permit Position at Top: (seleccione)
Authentication: (seleccione) Auth Server: (seleccione) Use: Local User Group: (seleccione), Local Auth Group - jefes_ventas
CLI
1. Local User
set user mary password iFa8rBd

2. Grupos de usuarios locales y miembros
set set set set

3.
user-group jefes_ventas location local user-group jefes_ventas user mary user-group agentes_ventas location local user-group agentes_ventas user mary
Direcciones
set address trust ventas 10.1.8.0/24 set address untrust server_a 1.1.1.5/32 set address untrust server_b 1.1.1.6/32
60
4.
Directiva
set policy top from trust to untrust ventas server_a ftp permit auth user-group sales_reps set policy top from trust to untrust ventas server_b ftp permit auth user-group jefes_ventas save
Ejemplo: WebAuth (grupo de usuarios locales)

En este ejemplo se requiere de los usuarios una autenticacin previa utilizando el mtodo de WebAuth antes de iniciar un trfico saliente hacia Internet. Crear un grupo de usuarios denominado auth_grp3 en la base de datos local del dispositivo de seguridad. Despus crear las cuentas de usuarios de autenticacin para cada miembro en la zona Trust y las agregar a auth_grp3. La interfaz de la zona Trust utiliza ethernet1 y tiene la direccin IP 10.1.1.1/24. Le asignar 10.1.1.50 como direccin IP de WebAuth y seguir utilizando la base de datos local como servidor predeterminado de WebAuth. Por lo tanto, antes de que un usuario pueda iniciar un trfico hacia Internet, primero deber establecer una conexin HTTP a 10.1.1.50 e iniciar una sesin con un nombre de usuario y contrasea. Seguidamente, el dispositivo de seguridad comparar el nombre de usuario y la contrasea introducidos con los de su base de datos y aprobar o rechazar la peticin de autenticacin. Si aprueba la peticin, el usuario autenticado dispondr de 30 minutos para iniciar el trfico en Internet. Despus de terminar la sesin inicial, el usuario tendr otros 30 minutos para iniciar otra sesin antes de que el dispositivo de seguridad le exija que se autentique de nuevo. WebUI
1. WebAuth
Configuration > Auth > WebAuth: Seleccione Local en la lista desplegable WebAuth Server y haga clic en Apply. Network > Interfaces > Edit (para ethernet1): Seleccione WebAuth y, en el campo WebAuth IP, escriba 10.1.1.50. Configuration > Auth > Auth Servers > Edit (para Local): Escriba 30 en el campo Timeout y haga clic en Apply.
2. Grupo de usuarios
Objects > Users > Local Groups > New: Escriba auth_grp3 en el campo Group Name, haga lo siguiente y luego haga clic en OK: Seleccione el user name y utilice el botn << para trasladarlo de la columna Available Members a la columna Group Members. Repita el proceso de seleccin, agregando usuarios de autenticacin hasta que el grupo est completo.
61
3.
Directiva
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Permit
Authentication: (seleccione) WebAuth: (seleccione) User Group: (seleccione), Local Auth Group - auth_grp3
CLI
1. WebAuth
set webauth server Local set interface ethernet1 webauth-ip 10.1.1.50 set interface ethernet1 webauth set auth-server Local timeout 30
set user-group auth_grp3 location local NOTA:
El dispositivo de seguridad determinar el tipo del grupo de usuarios locales segn el tipo de miembros que le agregue. Para hacer que auth_grp3 sea un grupo de usuarios de autenticacin, agrguele un usuario de autenticacin. Utilice el comando siguiente para agregar usuarios de autenticacin al grupo de usuarios recin creado:
set user-group auth_grp3 user cadena_nombre
3. Directiva
set policy top from trust to untrust any any any permit webauth user-group auth_grp3 save
Ejemplo: WebAuth (grupo de usuarios externos)

WebAuth es un mtodo de autenticacin previa de usuarios que se ejecuta antes de que stos puedan iniciar trfico a travs de un cortafuegos. En este ejemplo crear una directiva que requiere autenticacin para todo el trfico saliente utilizando el mtodo de WebAuth. Crear el grupo de usuarios de autenticacin auth_grp4 denominado auth_grp4 tanto en el servidor RADIUS radius1 como en el dispositivo de seguridad. En el servidor RADIUS, crear las cuentas de usuario para cada miembro en la zona Trust y las agregar a auth_grp4.
62
NOTA:
En este ejemplo se utilizan prcticamente los mismos ajustes del servidor RADIUS que en el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34, salvo que aqu slo se especifica auth como tipo de cuenta de usuario. La interfaz de la zona Trust utilizar ethernet1 y tendr la direccin IP 10.1.1.1/24. Usted asignar 10.1.1.50 como direccin IP de WebAuth y utilizar el servidor de autenticacin RADIUS externo radius1 como servidor predeterminado de WebAuth. Por lo tanto, antes de que un usuario pueda iniciar un trfico hacia Internet, primero deber establecer una conexin HTTP a 10.1.1.50 e iniciar una sesin con un nombre de usuario y contrasea. Entonces, el dispositivo de seguridad reenviar todas las peticiones y respuestas de autenticacin de usuarios de WebAuth entre radius1 y los usuarios que intenten iniciar una sesin. Servidor RADIUS 1. Cargue el archivo de diccionario de RADIUS en el servidor RADIUS.
NOTA:
Para obtener ms informacin sobre el archivo de diccionario de RADIUS, consulte el Archivo de diccionario de RADIUS en la pgina 22. Para obtener instrucciones sobre cmo cargar el archivo de diccionario en un servidor RADIUS, consulte la documentacin del servidor RADIUS. 2. Cree el grupo de usuarios auth_grp4 en el servidor de autenticacin radius1 y agrguele cuentas de usuarios de autenticacin. WebUI
Name: radius1 IP/Domain Name: 10.20.1.100 Backup1: 10.20.1.110 Backup2: 10.20.1.120 Timeout: 30 Account Type: Auth RADIUS: (seleccione) RADIUS Port: 4500 Shared Secret: A56htYY97k
2. WebAuth
Configuration > Auth > WebAuth: Seleccione radius1 en la lista desplegable WebAuth Server y haga clic en Apply. Network > Interfaces > Edit (para ethernet1): Seleccione WebAuth; en el campo WebAuth IP, escriba 10.10.1.50 y haga clic en OK.
63
3.
Grupo de usuarios
4. Directiva
Authentication: (seleccione) WebAuth: (seleccione) User Group: (seleccione), External Auth Group - auth_grp4
CLI
2. WebAuth
set webauth server radius1 set interface ethernet1 webauth-ip 10.1.1.50 set interface ethernet1 webauth
4. Directiva
set policy top from trust to untrust any any any permit webauth user-group auth_grp4 save
64
Ejemplo: WebAuth + SSL solamente (grupo de usuarios externos)

En este ejemplo, combina WebAuth con las tecnologas de nivel de sockets seguro (SSL) para proporcionar seguridad a los nombres de usuario y contraseas que los usuarios transmiten cuando inician una sesin. WebAuth hace uso del mismo certificado que asegura el trfico administrativo al dispositivo de seguridad para la administracin por medio de WebUI. (Para obtener ms informacin sobre SSL, consulte Secure Sockets Layer en la pgina 3-5.) La configuracin para que utilice un servidor de autenticacin externo WebAuth con SSL implica los pasos siguientes:
Definir un servidor de autenticacin RADIUS externo denominado radius1 y crear un grupo de usuarios de autenticacin llamado auth_grp5 tanto en el servidor RADIUS como en el dispositivo de seguridad. En el servidor RADIUS, crear cuentas de usuario para todos los usuarios de autenticacin de la zona Untrust y agregarlos a auth_grp5.
NOTA:
En este ejemplo se utilizan prcticamente los mismos ajustes del servidor RADIUS que en el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34, salvo que aqu slo se especifica auth como tipo de cuenta de usuario.
La interfaz de la zona Untrust utilizar ethernet3 y tendr la direccin IP 1.1.1.1/24. Usted asignar 1.1.1.50 como direccin IP de WebAuth, indicar al dispositivo que slo acepte conexiones SSL para las peticiones de autenticacin WebAuth y utilizar el servidor de autenticacin RADIUS externo radius1 como servidor predeterminado de WebAuth. Especificar los siguientes ajustes de SSL:
Nmero IDX (1 en este ejemplo) de un certificado cargado previamente en el dispositivo de seguridad Cifrados DES_SHA-1 Puerto SSL nmero 2020
Luego configurar una directiva de trfico entrante que exija autenticacin mediante el mtodo WebAuth + SSL para todo el trfico que pase de la zona Untrust a la zona Trust.
NOTA:
Para obtener ms informacin sobre cmo obtener y cargar certificados digitales en un dispositivo de seguridad, consulte Criptografa de claves pblicas en la pgina 5-19. Por lo tanto, para que un usuario pueda iniciar trfico hacia la red interna, primero deber establecer una conexin HTTPS a https://1.1.1.50:2020 e iniciar una sesin con un nombre de usuario y contrasea. Entonces, el dispositivo de seguridad reenviar todas las peticiones y respuestas de autenticacin de usuarios de WebAuth entre radius1 y los usuarios que intenten iniciar una sesin.
65
Servidor RADIUS 1. Cargue el archivo de diccionario de RADIUS en el servidor RADIUS.
NOTA:
Para obtener ms informacin sobre el archivo de diccionario, consulte Archivo de diccionario de RADIUS en la pgina 22. Para obtener instrucciones sobre cmo cargar el archivo de diccionario en un servidor RADIUS, consulte la documentacin del servidor RADIUS. 2. Cree el grupo de usuarios auth_grp5 en el servidor de autenticacin radius1 y agrguele cuentas de usuarios de autenticacin. WebUI
Name: radius1 IP/Domain Name: 10.20.1.100 Backup1: 10.20.1.110 Backup2: 10.20.1.120 Timeout: 30 Account Type: Auth RADIUS: (seleccione) RADIUS Port: 4500 Shared Secret: A56htYY97k
2. WebAuth
Configuration > Auth > WebAuth: Seleccione radius1 en la lista desplegable WebAuth Server y haga clic en Apply. Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
WebAuth: (seleccione) IP: 1.1.1.50 SSL Only: (seleccione)
3. SSL
Configuration > Admin > Management: Introduzca los siguientes datos y haga clic en OK:
HTTPS (SSL) Port: 2020 Certificate: (seleccione el certificado previamente cargado) Cipher: DES_SHA-1
66
5.
Directiva
Policy > Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Authentication: (seleccione) WebAuth: (seleccione) User Group: (seleccione), External Auth Group - auth_grp5
CLI
Cargue el archivo de diccionario de RADIUS en el servidor RADIUS.
NOTA:
Para obtener ms informacin sobre el archivo de diccionario de RADIUS, consulte Archivo de diccionario de RADIUS en la pgina 22. Para obtener instrucciones sobre cmo cargar el archivo de diccionario en un servidor RADIUS, consulte la documentacin del servidor RADIUS.
2. WebAuth
set webauth server radius1 set interface ethernet3 webauth-ip 1.1.1.50 set interface ethernet3 webauth ssl-only
3. SSL
set set set set

4.
ssl port 2020 ssl cert 1 ssl encrypt des sha-1 ssl enable
Grupo de usuarios
67
5.
Directiva
set policy top from untrust to trust any any any permit webauth user-group auth_grp5 save
68
Captulo 5
Usuarios IKE, XAuth y L2TP

Este captulo trata de los tres tipos de usuarios implicados en los protocolos de encapsulamiento: usuarios de intercambio de claves de Internet (IKE), usuarios XAuth y usuarios del protocolo de transporte de capa 2 (L2TP): Incluye las siguientes secciones:

Usuarios y grupos de usuarios IKE en esta pgina Usuarios y grupos de usuarios XAuth en la pgina 72

Usuarios XAuth en negociaciones IKE en la pgina 74 Cliente XAuth en la pgina 88
Usuarios y grupos de usuarios L2TP en la pgina 89
NOTA:
Para obtener ms informacin y ejemplos para IKE y L2TP, consulte el Volumen 5: Redes privadas virtuales.
Usuarios y grupos de usuarios IKE

Un usuario IKE es un usuario de VPN remoto con una direccin IP asignada dinmicamente. El usuario (en realidad, el dispositivo del usuario) se autentica enviando un certificado o clave previamente compartida junto con una identificacin IKE durante la negociacin de fase 1 con el dispositivo de seguridad. La identificacin IKE puede ser una direccin de correo electrnico, una direccin IP, un nombre de dominio o una cadena ASN1-DN. El dispositivo de seguridad autenticar al usuario IKE si ste enva cualquiera de los siguientes datos:
Un certificate en el cual uno o ms de los valores que aparecen en los campos del nombre completo (DN) o en el campo SubAltName coincida con la identificacin del usuario IKE configurada en el dispositivo de seguridad Una preshared key y una IKE ID con la que el dispositivo de seguridad pueda generar correctamente una clave previamente compartida idntica a partir de la identificacin IKE recibida y de un valor inicial de clave previamente compartida almacenado en el dispositivo de seguridad
Usuarios y grupos de usuarios IKE 69
NOTA:
Como ejemplo de IKE ID con la versin 1 de la notacin de sintaxis abstracta, (ASN, Abstract Syntax Notation), el formato del nombre completo (ASN1-DN) es CN=joe,OU=it,O=juniper,L=sunnyvale,ST=ca,C=us,E=joe@juniper.net. Har referencia a un usuario o grupo de usuarios IKE en una configuracin de puerta de enlace AutoKey IKE. Reuniendo en un grupo a los usuarios IKE que requieran configuraciones similares de puerta de enlace y de tnel, solamente necesitar definir una puerta de enlace que haga referencia al grupo (y a un tnel VPN que haga referencia a esa puerta de enlace), en lugar de establecer una puerta de enlace y un tnel para cada usuario IKE. A menudo resulta poco prctico crear cuentas de usuario separadas para cada host. En tales casos, puede crear un grupo de usuarios IKE que solamente tenga un miembro, al que se har referencia como usuario del grupo con identificacin IKE. La identificacin IKE de ese usuario contendr un conjunto de valores que deben estar presentes en las definiciones de identificacin IKE de los usuarios IKE de acceso telefnico. Si la identificacin IKE de un usuario remoto de acceso telefnico coincide con la identificacin IKE del usuario del grupo con esa misma identificacin, ScreenOS autentica a ese usuario remoto. Para obtener ms informacin, consulte Identificacin IKE de grupo en la pgina 5-188.
NOTA:
Las cuentas de usuarios IKE y de grupos de usuarios IKE slo se pueden almacenar en la base de datos local.
Ejemplo: Definir usuarios IKE

En este ejemplo definir cuatro usuarios IKE, Amy, Basil, Clara y Desmond, cada uno con otro tipo de identificacin IKE.
Amy: direccin de correo electrnico (nombre de dominio completo para el usuario o U-FQDN): amy@juniper.net Basil: direccin IP: 3.3.1.1 Clara: nombre de dominio completo (FQDN): www.juniper.net Desmond: cadena ASN1-DN: CN=des,OU=art,O=juniper,L=sunnyvale,ST=ca,C=us,E=des@juniper.net
WebUI Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK:
User Name: Amy Status: Enable IKE User: (seleccione) Simple Identity: (seleccione) IKE ID Type: AUTO IKE Identity: amy@juniper.net
70
Usuarios y grupos de usuarios IKE
Captulo 5: Usuarios IKE, XAuth y L2TP
User Name: Basil Status: Enable IKE User: (seleccione) Simple Identity: (seleccione) IKE ID Type: AUTO IKE Identity: 3.3.1.1
User Name: Clara Status: Enable IKE User: (seleccione) Simple Identity: (seleccione) IKE ID Type: AUTO IKE Identity: www.juniper.net
User Name: Desmond Status: Enable IKE User: (seleccione) Use Distinguished Name for ID: (seleccione) CN: des OU: art Organization: juniper Location: sunnyvale State: ca Country: us E-mail: des@juniper.net
CLI
set set set set user Amy ike-id u-fqdn amy@juniper.net user Basil ike-id ip 3.3.1.1 user Clara ike-id fqdn www.juniper.net user Desmond ike-id wildcard CN=des,OU=art,O=juniper,L=sunnyvale,ST=ca,C=us,E=des@juniper.net save
Ejemplo: Creacin de un grupo de usuarios IKE

En este ejemplo crear un grupo de usuarios denominado ike_grp1. En el momento de agregarle el usuario IKE Amy, el grupo se convertir en un grupo de usuarios IKE. Seguidamente, agregar los otros tres usuarios IKE que defini en Ejemplo: Definir usuarios IKE en la pgina 70. WebUI Objects > Users > Local Groups > New: Escriba ike_grp1 en el campo Group Name, haga lo siguiente, luego haga clic en OK: Seleccione Amy y utilice el botn << para trasladarla de la columna Available Members a la columna Group Members.
Usuarios y grupos de usuarios IKE 71
Seleccione Basil y utilice el botn << para trasladarlo de la columna Available Members a la columna Group Members. Seleccione Clara y utilice el botn << para trasladarla de la columna Available Members a la columna Group Members. Seleccione Desmond y utilice el botn << para trasladarlo de la columna Available Members a la columna Group Members. CLI
set user-group set user-group set user-group set user-group set user-group save ike_grp1 location local ike_grp1 user amy ike_grp1 user basil ike_grp1 user clara ike_grp1 user desmond
Referencias a usuarios IKE en puertas de enlace

Despus de definir un usuario IKE o un grupo de usuarios IKE, podr referirse a l en una configuracin de puerta de enlace IKE cuando la puerta de enlace IKE remota sea un usuario de acceso telefnico o un grupo de usuarios de acceso telefnico. Para ver ejemplos en los que se hace referencia a usuarios IKE en configuraciones de puerta de enlace, consulte:
VPN de acceso telefnico basada en directivas, AutoKey IKE en la pgina 5-165 Creacin de una identificacin IKE de grupo (certificados) en la pgina 5-193 Identificacin IKE de grupo con certificados en la pgina 5-189
Usuarios y grupos de usuarios XAuth

El protocolo XAuth consta de dos componentes: autenticacin de usuarios VPN remotos (nombre del usuario y contrasea) y asignaciones de direcciones TCP/IP (direccin IP, mscara de red y asignaciones de servidores DNS y servidores WINS). ScreenOS admite la aplicacin individual o conjunta de ambos componentes.
NOTA:
La mscara de red asignada es siempre 255.255.255.255 y no puede ser modificada. Un usuario o grupo de usuarios XAuth es uno o varios usuarios remotos que se autentican al conectarse al dispositivo de seguridad a travs de un tnel VPN de AutoKey IKE y, opcionalmente, pueden recibir ajustes TCP/IP del dispositivo de seguridad. Mientras que la autenticacin de los usuarios IKE es en realidad una autenticacin de puertas de enlace o clientes VPN, la autenticacin de los usuarios XAuth consiste en autenticar a los individuos en s. Los usuarios XAuth deben introducir informacin que supuestamente slo ellos conocen, es decir, su nombre de usuario y contrasea.
72
El cliente NetScreen-Remote puede utilizar los ajustes TCP/IP que recibe para crear un adaptador virtual y enviar trfico VPN, mientras que para el trfico no VPN utilizar los ajustes del adaptador de red TCP/IP proporcionados por el proveedor de servicios de Internet o por el administrador de red. Al asignar direcciones IP conocidas a los usuarios remotos, se pueden definir rutas en el dispositivo de seguridad hacia esas direcciones a travs de interfaces de tnel especficas. Entonces, el dispositivo de seguridad puede garantizar que el enrutamiento de retorno llegue a la direccin IP del usuario remoto a travs del tnel VPN, no a travs de la puerta de enlace predeterminada. Las asignaciones de direcciones tambin permiten a un cortafuegos de bajada referirse a esas direcciones al crear directivas. Puede controlar cunto tiempo puede permanecer una direccin IP asociada a un determinado usuario XAuth con el ajuste XAuth lifetime.
NOTA:
Un adaptador virtual se compone de los ajustes TCP/IP (direccin IP, direcciones de servidores DNS, direcciones de servidores WINS) que el dispositivo de seguridad asigna a un usuario remoto durante la permanencia de una conexin de tnel VPN. Slo los clientes ScreenOS-Remote disponen de la funcionalidad de adaptador virtual. Las plataformas de seguridad de Juniper Networks no disponen de dicha funcin. ScreenOS es compatible con los siguientes aspectos de XAuth:

Autenticacin de usuarios XAuth locales y de usuarios XAuth externos Autenticacin de grupos de usuarios XAuth locales y de grupos de usuarios XAuth externos si estn almacenados en un servidor de autenticacin RADIUS Asignaciones de las direcciones IP, de los servidores DNS y de los servidores WINS a partir de un conjunto de direcciones IP para usuarios XAuth locales y usuarios XAuth externos almacenado en un servidor de autenticacin RADIUS Para configurar el dispositivo de seguridad con el fin de utilizar los ajustes XAuth predeterminados almacenados en un servidor RADIUS externo, ejecute cualquiera de los siguientes procedimientos:
WebUI: En la pgina VPNs > AutoKey Advanced > XAuth Settings, seleccione Query Client Settings on Default Server. CLI: Introduzca el comando set xauth default auth server cadena_nombre query-config.
El dispositivo de seguridad tambin puede utilizar los ajustes XAuth especficos de la puerta de enlace almacenados en un servidor RADIUS externo. Para configurar una puerta de enlace IKE especfica, ejecute cualquiera de los siguientes procedimientos:
WebUI: En la pgina VPNs > AutoKey Advanced > Gateway > New > Advanced, seleccione el nombre del servidor RADIUS en la lista desplegable External Authentication y seleccione Query Remote Setting. CLI: Introduzca el comando set ike gateway cadena_nombre xauth server cadena_nombre query-config.
73
Autenticacin slo sin asignaciones de direcciones, asignaciones de direcciones slo sin autenticacin (set ike gateway cadena_nombre xauth bypass-auth), y tanto autenticacin como asignaciones de direcciones combinadas.
Registro de eventos para el modo IKE

Cuando un usuario remoto accede a la red a travs del intercambio de claves de Internet (IKE), ScreenOS autentica al usuario con XAuth; ScreenOS registra los detalles del evento en el registro de trfico. Los detalles del registro incluyen lo siguiente:

Direccin IP de puerta de enlace Nombre de usuario Nmero de reintentos de la sesin Direccin asignada de IP de cliente desde el conjunto local de IP o desde el servidor RADIUS
Para obtener mayor informacin sobre cmo visualizar el registro de trfico, consulte el Volumen 3: Administracin
Usuarios XAuth en negociaciones IKE

ScreenOS es compatible con XAuth, versin 6 (v6). Para confirmar que ambos interlocutores participantes en las negociaciones de la fase 1 de IKE admiten XAuth v6, intercambian entre s la siguiente identificacin de fabricante en los dos primeros mensajes de dicha fase: 0x09002689DFD6B712. Este nmero de identificacin del fabricante est especificado en el borrador de XAuth Internet, (draft-beaulieu-ike-xauth-02.txt). Finalizadas las negociaciones de la fase 1, el dispositivo de seguridad enva un mensaje de peticin de inicio de sesin al usuario XAuth que se encuentra en el sitio remoto. Si el usuario XAuth inicia una sesin con xito indicando la combinacin correcta de nombre de usuario y contrasea, el dispositivo de seguridad asigna al usuario una direccin IP propia, una mscara de red de 32 bits, las direcciones de los servidores DNS y de los servidores WINS, y ambos interlocutores continan con las negociaciones de la fase 2. El usuario XAuth tiene 60 segundos para completar el proceso de inicio de sesin. Si el primer intento de inicio de sesin falla, el usuario XAuth puede hacer hasta cuatro intentos ms, disponiendo de 60 segundos para cada uno. Si el usuario falla al cabo de cinco intentos consecutivos, el dispositivo de seguridad deja de generar la peticin de inicio de sesin y anula la sesin. Como mnimo, la direccin IP asignada por XAuth a un usuario sigue perteneciendo a ste durante el tiempo especificado como perodo de vigencia de la direccin XAuth (XAuth address lifetime). La direccin IP puede pertenecer ms tiempo al usuario XAuth, dependiendo de cundo se vuelvan a introducir las asociaciones de seguridad (SAs) de fase 1 y fase 2. La Figura 21 muestra la relacin entre las operaciones para volver a introducir datos de la fase 1 y fase 2 y el perodo de vigencia de la direccin IP deXAuth.
74
Figura 21: Operaciones para volver a introducir datos de la fase 1 y 2 y el perodo de vigencia de la direccin IP de XAuth
Perodo de vigencia de la direccin IP de XAuth Negociaciones de fase 1 IKE completadas. El usuario XAuth completa el primer inicio de sesin. Negociaciones de fase 2 IKE completadas. Nota: Desde 1:00:06 en adelante hay un flujo constante de trfico a travs del tnel VPN. 1:00:00 1:00:05 1:00:06 Vigencia de direccin IP XAuth: 10 horas Vigencia de SA de fase 1: 8 horas Vigencia de SA de fase 2: 60 min 60 minutos 60 min 60 min 60 min 60 min 60 min 60 min 60 min SA de fase 1 SA de fase 2 9:00:00 9:00:06 9:00:07 Vence la SA de fase 1. La SA de fase 2 caduca y desencadena la introduccin de datos de fase 1. El usuario XAuth completa el segundo inicio de sesin. Nueva introduccin de datos de la fase 2 IKE. 9:00:14 9:00:15
Cuando se produce la segunda operacin de XAuth, el usuario sigue teniendo asegurada la misma direccin IP porque el periodo de vigencia de la direccin IP de XAuth an no ha caducado.
1. La SA de fase 1 se establece con un perodo de vigencia de ocho horas y caduca despus de las primeras 8 horas. 2. El perodo de vigencia de la SA de fase 2 se establece en 60 minutos. Debido al retardo de 5 segundos que se produce durante las negociaciones iniciales de IKE mientras el usuario XAuth introduce su nombre de usuario y contrasea, la octava SA de fase 2 caduca 8 horas y 6 segundos despus de finalizar las negociaciones de la fase 1 (5 segundos para el inicio de sesin de XAuth + 1 segundo para las negociaciones de la fase 2). 3. Dado que hay trfico VPN activo, al caducar la octava SA de la fase 2 se provoca la nueva introduccin de datos de la SA de fase 1, que caduc 6 segundos antes; es decir, se producen las negociaciones (o renegociaciones) de la fase 1 de IKE. 4. Una vez completadas las renegociaciones de la fase 1 de IKE, el dispositivo de seguridad indica al usuario XAuth que vuelva a iniciar una sesin.
NOTA:
Para evitar que se repitan inicios de sesin despus del inicial, configure el tnel VPN con cualquier tiempo de inactividad distinto de 0 utilizando el comando CLI: set vpn nombre gateway nombre idletime nmero (en minutos). Si hay actividad de VPN al completarse las renegociaciones de la fase 1 de IKE, el dispositivo de seguridad no pide al usuario XAuth que vuelva a iniciar una sesin. Esta opcin permite al usuario descargar archivos de gran tamao, enviar o recibir secuencias multimedia (streams), as como participar en conferencias Web sin interrupciones. 5. Debido a que el perodo de vigencia de la direccin XAuth (10 horas) es superior al de la SA de fase 1, el usuario conserva la misma direccin IP, aunque despus de la siguiente introduccin de datos de fase 1 puede que se le asigne una direccin diferente.
75
Si el perodo de vigencia de la direccin XAuth fuese inferior al de la SA de fase 1, el dispositivo de seguridad asignara al usuario otra direccin IP, que podra ser igual o diferente a la direccin previamente asignada.
NOTA:
Si es crucial que siempre asigne la misma direccin IP a un usuario, puede especificarla en la configuracin del usuario. El dispositivo de seguridad le asignar entonces esa direccin en lugar de tomar otra al azar del conjunto de direcciones IP disponibles. Tenga en cuenta que la direccin elegida no debe pertenecer al conjunto de direcciones IP (IP pool), ya que el sistema podra asignarla a otro usuario, por lo que no estara disponible cuando se necesite. Para cambiar el perodo de vigencia de la direccin, ejecute cualquiera de los siguientes procedimientos:
(WebUI) VPNs > AutoKey Advanced > XAuth Settings: Introduzca un nmero (en minutos) en el campo Reserve Private IP for XAuth User y haga clic en Apply. (CLI) set xauth lifetime
nmero
Para desactivar la funcin de perodo de vigencia de la direccin, introduzca el valor 1, que es el valor mnimo permitido.
Ejemplo: Autenticacin XAuth (usuario local)

En este ejemplo definir un usuario XAuth llamado x1 con la contrasea aGgb80L0ws en la base de datos local. Despus establecer una referencia en una configuracin de puerta de enlace IKE remota desde este usuario hacia un interlocutor en la IP 2.2.2.2. Asignar el nombre gw1 a la puerta de enlace remota, especificar el modo principal y la propuesta pre-g2-3des-sha para las negociaciones de fase 1 y utilizar la clave previamente compartida juniper1. Asignar el nombre vpn1 al tnel VPN y especificar el conjunto de propuestas Compatible para las negociaciones de fase 2. Elegir la interfaz ethernet3 de la zona Untrust como interfaz de salida. WebUI
1. Usuario XAuth
User Name: x1 Status: Enable XAuth User: (seleccione) User Password: iDa84rNk Confirm Password: iDa84rNk
76
2.
VPN
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: gw1 Security Level: Custom Remote Gateway Type: Static IP Address: (seleccione), Address/Hostname: 2.2.2.2 Preshared Key: juniper1 Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de la puerta de enlace:
Security Level: Custom: (seleccione) Phase 1 Proposal: pre-g2-3des-sha Mode (Initiator): Main (Proteccin de la identificacin) XAuth Server: (seleccione) Local Authentication: (seleccione) User: (seleccione), x1
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn1 Security Level: Compatible Remote Gateway Tunnel: gw1
CLI
1. Usuario XAuth
set user x1 password aGgb80L0ws set user x1 type xauth unset user x1 type auth NOTA:
El comando CLI set user cadena_nombre password cadena_contrasea crea un usuario de autenticacin. Para crear un usuario de slo XAuth, debe definirlo como usuario XAuth (set user cadena_nombre type xauth) y eliminar la definicin de usuario de autenticacin (unset user cadena_nombre type auth).
2. VPN
set ike gate gw1 ip 2.2.2.2 main outgoing-interface ethernet3 preshare juniper1 proposal pre-g2-3des-sha set ike gateway gw1 xauth server Local user x1 set vpn vpn1 gateway gw1 sec-level compatible save
77
Ejemplo: Autenticacin de XAuth (grupo de usuarios local)

En este ejemplo crear un grupo de usuarios llamado xa-grp1 en la base de datos local y le agregar el usuario XAuth x1 creado en el ejemplo anterior, Ejemplo: Autenticacin XAuth (usuario local) en la pgina 76. Cuando agregue dicho usuario al grupo, ste se convertir automticamente en grupo de usuarios XAuth. Despus establecer una referencia en una configuracin de puerta de enlace IKE remota desde este grupo hacia un interlocutor en la IP 2.2.2.2. Asignar el nombre gw2 a la puerta de enlace remota, especificar el modo principal y la propuesta pre-g2-3des-sha para las negociaciones de fase 1 y utilizar la clave previamente compartida juniper2. Asignar el nombre vpn2 al tnel VPN y especificar el conjunto de propuestas Compatible para las negociaciones de fase 2. Elegir la interfaz ethernet3 de la zona Untrust como interfaz de salida. WebUI
1. Grupo de usuarios XAuth
Objects > Users > Local Groups > New: Escriba xa-grp1 en el campo Group Name, haga lo siguiente y luego haga clic en OK: Seleccione x1 y utilice el botn << para trasladarlo de la columna Available Members a la columna Group Members.
2. VPN
Phase 1 Proposal: pre-g2-3des-sha Mode (Initiator): Main (Proteccin de la identificacin) XAuth Server: (seleccione) Local Authentication: (seleccione) User Group: (seleccione), xa-grp1
VPN Name: vpn2 Security Level: Compatible Remote Gateway Tunnel: Predefined: (seleccione), gw2
78
CLI
1. Grupo de usuarios XAuth
set user-group xa-grp1 location local set user-group xa-grp1 user x1

2. VPN
set ike gate gw2 ip 2.2.2.2 main outgoing-interface ethernet3 preshare juniper2 proposal pre-g2-3des-sha set ike gateway gw2 xauth server Local user-group xa-grp1 set vpn vpn2 gateway gw2 sec-level compatible save
Ejemplo: Autenticacin XAuth (usuario externo)

En este ejemplo establecer una referencia a un usuario XAuth llamado xa-1 con la contrasea iNWw10bd01 que habr cargado previamente en un servidor de autenticacin SecurID externo. Este ejemplo utiliza casi la misma configuracin de servidor de autenticacin SecurID que se define en el Ejemplo: Servidor de autenticacin SecurID en la pgina 36, salvo que en este caso el tipo de cuenta se definir como XAuth. Establecer una referencia al usuario XAuth xa-1 en una configuracin de puerta de enlace IKE remota hacia un interlocutor con la direccin IP 2.2.2.2. Asignar el nombre gw3 a la puerta de enlace remota, especificar el modo principal y la propuesta pre-g2-3des-sha para las negociaciones de fase 1 y utilizar la clave previamente compartida juniper3. Asignar al tnel VPN el nombre vpn3 y especificar la propuesta g2-esp-3des-sha para las negociaciones de la fase 2. Elegir la interfaz ethernet3 de la zona Untrust como interfaz de salida. WebUI
1. Servidor de autenticacin SecurID externo
Name: securid1 IP/Domain Name: 10.20.2.100 Backup1: 10.20.2.110 Timeout: 60 Account Type: XAuth SecurID: (seleccione) Client Retries: 3 Client Timeout: 10 segundos Authentication Port: 15000 Encryption Type: DES User Duress: No
2. Usuario XAuth
Defina el usuario de autenticacin xa-1 con la contrasea iNWw10bd01 en el servidor de autenticacin SecurID externo securid1.
79
3.
VPN
Phase 1 Proposal: pre-g2-3des-sha Mode (Initiator): Main (Proteccin de la identificacin) XAuth Server: (seleccione) External Authentication: (seleccione), securid1 User: (seleccione) Name: xa-1
VPN Name: vpn3 Security Level: Compatible Remote Gateway Tunnel: Predefined: (seleccione), gw3
CLI
1. Servidor de autenticacin SecurID externo
set auth-server securid1 type securid set auth-server securid1 server-name 10.20.2.100 set auth-server securid1 backup1 10.20.2.110 set auth-server securid1 timeout 60 set auth-server securid1 account-type xauth set auth-server securid1 securid retries 3 set auth-server securid1 securid timeout 10 set auth-server securid1 securid auth-port 15000 set auth-server securid1 securid encr 1 set auth-server securid1 securid duress 0
2. Usuario XAuth
Defina el usuario de autenticacin xa-1 con la contrasea iNWw10bd01 en el servidor de autenticacin SecurID externo securid1.
3. VPN
set ike gate gw3 ip 2.2.2.2 main outgoing-interface ethernet3 preshare juniper3 proposal pre-g2-3des-sha set ike gateway gw3 xauth server securid1 user xa-1 set vpn vpn3 gateway gw3 sec-level compatible save
80
Ejemplo: Autenticacin XAuth (grupo de usuarios externo)

En este ejemplo configurar un servidor de autenticacin RADIUS externo llamado radius1 y definir un grupo de usuarios de autenticacin externo llamado xa-grp2. Definir un grupo de usuarios XAuth externo xa-grp2 en dos sitios: 1. Servidor de autenticacin RADIUS externo radius1 2. Dispositivo de seguridad
NOTA:
La configuracin del servidor de autenticacin de RADIUS es casi idntica a la descrita en el Ejemplo: Servidor de autenticacin RADIUS en la pgina 34, salvo que en este ejemplo solamente se especificar xauth como tipo de cuenta de usuario. Alimentar el grupo de usuarios XAuth llamado xa-grp2 solamente con los usuarios XAuth del servidor RADIUS, dejando el grupo vaco en el dispositivo de seguridad. Los miembros de este grupo son distribuidores en una oficina remota que necesitan acceso a los servidores FTP de la LAN corporativa. Agregar una entrada en la libreta de direcciones de la zona Untrust para el sitio remoto con la direccin IP 10.2.2.0/24 y lo llamar distribuidor1. Tambin introducir una direccin en la libreta de direcciones de la zona Trust para el servidor FTP rsl-srv1 con la direccin IP 10.1.1.5/32. Configurar un tnel VPN hacia 2.2.2.2 para autenticar a los usuarios XAuth del grupo de usuarios xa-grp2. Asignar el nombre gw4 a la puerta de enlace remota, especificar el modo principal y la propuesta pre-g2-3des-sha para las negociaciones de fase 1 y utilizar la clave previamente compartida juniper4. Asignar el nombre vpn4 al tnel VPN y especificar el conjunto de propuestas Compatible para las negociaciones de fase 2. Elegir la interfaz ethernet3 de la zona Untrust como interfaz de salida. Finalmente, crear una directiva que permita el trfico FTP desde el usuario distribuidor1 de la zona Untrust a travs de vpn4 hacia rsl-svr1 en la zona Trust. Servidor RADIUS 1. Cargue el archivo de diccionario de RADIUS en el servidor RADIUS.
NOTA:
Para obtener ms informacin sobre el archivo de diccionario de RADIUS, consulte el Archivo de diccionario de RADIUS en la pgina 22. Para obtener instrucciones sobre cmo cargar el archivo de diccionario en un servidor RADIUS, consulte la documentacin del servidor RADIUS. 2. Introduzca el grupo de usuarios de autenticacin xa-grp2 en el servidor de autenticacin externo radius1 y alimntelo con cuentas de usuarios XAuth.
81
WebUI
Name: radius1 IP/Domain Name: 10.20.1.100 Backup1: 10.20.1.110 Backup2: 10.20.1.120 Timeout: 30 Account Type: XAuth RADIUS: (seleccione) RADIUS Port: 4500 Shared Secret: A56htYY97kl
2. Grupo de usuarios externo
Group Name: xa-grp2 Group Type: XAuth
3. Direccin
Address Name: distribuidor1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.0/24 Zone: Untrust
Address Name: rsl-svr1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.5/32 Zone: Trust
4. VPN
82
Phase 1 Proposal: pre-g2-3des-sha Mode (Initiator): Main (Proteccin de la identificacin) XAuth Server: (seleccione) External Authentication: (seleccione), securid1 User Group: (seleccione) Name: xa-grp2
VPN Name: vpn4 Security Level: Compatible Remote Gateway: Predefined: (seleccione), gw4
5. Directiva
Source Address: Address Book Entry: (seleccione), distribuidor1 Destination Address: Address Book Entry: (seleccione), rsl-svr1 Servicio: FTP-Get Action: Tunnel Tunnel VPN: vpn4 Modify matching bidirectional VPN policy: (anule la seleccin) Position at Top: (seleccione)
CLI
set auth-server radius1 type radius set auth-server radius1 account-type xauth set auth-server radius1 server-name 10.20.1.100 set auth-server radius1 backup1 10.20.1.110 set auth-server radius1 backup2 10.20.1.120 set auth-server radius1 timeout 30 set auth-server radius1 radius port 4500 set auth-server radius1 radius secret A56htYY97kl
2. Grupo de usuarios externo
set user-group xa-grp2 location external set user-group xa-grp2 type xauth
3. Direccin
set address untrust distribuidor1 10.2.2.0/24 set address trust rsl-svr1 10.1.1.5/32
4. VPN
set ike gate gw4 ip 2.2.2.2 main outgoing-interface ethernet3 preshare juniper4 proposal pre-g2-3des-sha set ike gateway gw4 xauth server radius1 user-group xa-grp2 set vpn vpn4 gateway gw4 sec-level compatible
83
5.
Directiva
set policy top from untrust to trust distribuidor1 rsl-svr1 ftp-get tunnel vpn vpn4 save
Ejemplo: Autenticacin y asignacin de direcciones XAuth (Local User Group)

En este ejemplo, configurar tanto la autenticacin como las asignaciones de las direcciones IP, de los servidores DNS y de los servidores WINS para un grupo de usuarios IKE/XAuth almacenado en la base de datos local.
NOTA:
Tambin puede utilizar un servidor de autenticacin RADIUS externo para la autenticacin de usuarios XAuth y la asignacin de direcciones. Puede utilizar un servidor de autenticacin SecurID o LDAP externo slo para la autenticacin XAuth (no para la asignacin de direcciones). Para la autenticacin de usuarios IKE solamente se puede utilizar la base de datos local. Cuando un usuario IKE/XAuth establece una conexin VPN de acceso telefnico al dispositivo de seguridad, ste autentica al usuario IKE (es decir, al dispositivo cliente) por medio de una identificacin IKE y un certificado RSA durante las negociaciones de la fase 1. A continuacin, el dispositivo de seguridad autentica al usuario XAuth (es decir, a la persona que est utilizando el dispositivo) con un nombre de usuario y una contrasea y le asigna las direcciones de IP, de servidores DNS y de los servidores WINS entre las negociaciones de la fase 1 y de la fase 2. Crear un grupo de usuarios local ixa-grp1. Luego definir dos usuarios IKE/XAuth llamados ixa-u1 (contrasea: ccF1m84s) e ixa-u2 (contrasea: C113g1tw) y los agregar al grupo, definiendo de este modo el tipo de grupo como IKE/XAuth. (La inclusin de otros usuarios IKE/XAuth al grupo no se incluye en este ejemplo.) Crear un conjunto de direcciones IP dinmicas (DIP) llamado xa-pool1 con el conjunto de direcciones 10.2.2.1 a 10.2.2.100. ste ser el conjunto de direcciones de las que el dispositivo de seguridad tomar una direccin IP para asignarla a cada usuario XAuth.
NOTA:
Para evitar problemas de enrutamiento y duplicaciones en la asignacin de direcciones, el rango DIP debe encontrarse en un espacio de direcciones distinto del de la zona a la que el usuario XAuth dirige el trfico. Configurar los siguientes ajustes predeterminados de XAuth:

Establezca el tiempo de espera de la direccin XAUTH en 480 minutos. Seleccione la base de datos local como servidor de autenticacin predeterminado. Habilite el protocolo de autenticacin de establecimiento de conexin por desafo (Challenge Handshake Authentication Protocol o CHAP), en el cual el dispositivo de seguridad enva un desafo (clave de encriptacin) al cliente remoto, que utiliza la clave para encriptar su nombre de inicio de sesin y contrasea.
84
Seleccione xa-pool1 como conjunto de DIP predeterminado. Defina las direcciones IP de los servidores DNS principal y secundario como 10.1.1.150 y 10.1.1.151, respectivamente. Defina las direcciones IP de los servidores WINS principal y secundario como 10.1.1.160 y 10.1.1.161, respectivamente.
Configurar una puerta de enlace IKE llamada ixa-gw1, haciendo referencia al grupo de usuarios ixa-grp1 y utilizando los ajustes predeterminados del servidor de autenticacin XAuth. Luego configurar un tnel VPN con el nombre ixa-tun1 y una directiva que permita el trfico desde ixa-grp1 a la zona Trust (direccin IP 10.1.1.0/24) a travs del tnel VPN ixa-tun1. WebUI
1. Usuarios y grupo de usuarios IKE/XAuth
User Name: ixa-u1 Status: Enable IKE User: (seleccione) Simple Identity: (seleccione) IKE ID Type: AUTO IKE Identity: u1@juniper.net XAuth User: (seleccione) User Password: ccF1m84s Confirm Password: ccF1m84s
User Name: ixa-u2 Status: Enable IKE User: (seleccione) Simple Identity: (seleccione) IKE ID Type: AUTO IKE Identity: u2@juniper.net XAuth User: (seleccione) User Password: C113g1tw Confirm Password: C113g1tw
Objects > Users > Local Groups > New: Escriba ixa-grp1 en el campo Group Name, haga lo siguiente y luego haga clic en OK: Seleccione ixa-u1 y utilice el botn << para trasladarlo de la columna Available Members a la columna Group Members. Seleccione ixa-u2 y utilice el botn << para trasladarlo de la columna Available Members a la columna Group Members.
85
2.
Conjunto de direcciones IP
Objects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK:
IP Pool Name: xa-pool1 Start IP: 10.2.2.1 End IP: 10.2.2.100
3. Servidor de autenticacin XAuth predeterminado
VPNs > AutoKey Advanced > XAuth Settings: Introduzca los siguientes datos, luego haga clic en Apply:
Reserve Private IP for XAuth User: 480 minutos Default Authentication Server: Local Query Client Settings on Default Server: (anule la seleccin) CHAP: (seleccione) IP Pool Name: xa-pool1 DNS Primary Server IP: 10.1.1.150 DNS Secondary Server IP: 10.1.1.151 WINS Primary Server IP: 10.1.1.160 WINS Secondary Server IP: 10.1.1.161
4. Direccin
Address Name: Trust_Zone IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.0/24 Zone: Trust
5. VPN
Gateway Name: ixa-gw1 Security Level: Custom Remote Gateway Type: Dialup User Group: (seleccione) Group: ixa-grp1
Phase 1 Proposal: rsa-g2-3des-sha Mode (Initiator): Dinmico Outgoing Interface: ethernet3 XAuth Server: (seleccione) User Default: (seleccione) User Group: (seleccione), ixa-grp1
VPN Name: ixa-vpn1 Security Level: Compatible Remote Gateway: Predefined: (seleccione), ixa-gw1
86
6.
Directiva
Source Address: Address Book Entry: (seleccione), Dial-Up VPN Destination Address: Address Book Entry: (seleccione), Trust_Zone Servicio: ANY Action: Tunnel Tunnel VPN: ixa-vpn1 Modify matching bidirectional VPN policy: (anule la seleccin) Position at Top: (seleccione)
CLI
1. Usuarios y grupo de usuarios IKE/XAuth
set user-group ixa-grp1 location local set user ixa-u1 type ike xauth set user ixa-u1 ike-id u-fqdn u1@ns.com set user ixa-u1 password ccF1m84s unset user ixa-u1 type auth set user ixa-u2 type ike xauth set user ixa-u2 ike-id u-fqdn u2@juniper.net set user ixa-u2 password C113g1tw unset user ixa-u2 type auth
2. Conjunto de direcciones IP
set ippool xa-pool1 10.2.2.1 10.2.2.100

3. Servidor de autenticacin XAuth predeterminado
set set set set set set set

4.
xauth lifetime 480 xauth default auth server Local chap xauth default ippool xa-pool1 xauth default dns1 10.1.1.150 xauth default dns2 10.1.1.151 xauth default wins1 10.1.1.160 xauth default wins2 10.1.1.161
Direccin
set address trust Trust_zone 10.1.1.0/24

5. VPN
set ike gateway ixa-gw1 dialup ixa-grp1 aggressive outgoing-interface ethernet3 proposal rsa-g2-3des-sha set ike gateway ixa-gw1 xauth server Local user-group ixa-grp1 set vpn ixa-vpn1 gateway ixa-gw1 sec-level compatible
6. Directiva
set policy top from untrust to trust Dial-Up VPN Trust_zone any tunnel vpn ixa-vpn1 save
87
Cliente XAuth
Un cliente XAuth es un usuario o dispositivo remoto que se conecta a un servidor XAuth a travs de un tnel VPN de AutoKey IKE. Un dispositivo de seguridad puede actuar como cliente XAuth, respondiendo a las peticiones de autenticacin de un servidor XAuth remoto. Finalizadas las negociaciones de la fase 1, el servidor XAuth remoto enva un mensaje de peticin de inicio de sesin al dispositivo de seguridad. Si el dispositivo de seguridad que acta como cliente XAuth inicia una sesin con xito indicando el nombre de usuario y la contrasea correctos, comienzan las negociaciones de la fase 2. Para configurar el dispositivo de seguridad como cliente XAuth, debe especificar lo siguiente:

Nombre de la puerta de enlace IKE Contrasea y nombre de usuario XAuth
Puede configurar los siguientes tipos de autenticacin XAuth:
Any: Permite el protocolo de autenticacin de establecimiento de conexin por desafo (CHAP) o el protocolo de autenticacin mediante contrasea (PAP) CHAP: Permite solamente CHAP
Ejemplo: Dispositivo de seguridad como cliente XAuth

En este ejemplo, primero configurar una puerta de enlace IKE remota gw1 con la direccin IP 2.2.2.2. Especificar el nivel de seguridad estndar y utilizar la clave previamente compartida juniper1. Luego configurar un cliente XAuth para la puerta de enlace IKE con el nombre de usuario beluga9 y la contrasea 1234567. Tambin requerir la autenticacin CHAP para el cliente. WebUI VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: gw1 Security Level: Standard (seleccione) Remote Gateway Type: Static IP Address: (seleccione), Address/Hostname: 2.2.2.2 Preshared Key: juniper1 Outgoing Interface: Untrust
XAuth Client: (seleccione) User Name: beluga9 Password: 1234567 Allowed Authentication Type: (seleccione), CHAP Only
88
CLI
set ike gateway gw1 ip 2.2.2.2 Main outgoing-interface untrust preshare juniper1 sec-level standard set ike gateway gw1 xauth client chap username beluga9 password 1234567 save
Usuarios y grupos de usuarios L2TP

El protocolo de encapsulamiento de la capa 2 (Layer 2 Tunneling Protocol o L2TP) proporciona los medios para autenticar usuarios remotos y asignar las direcciones IP, de los servidores DNS y de los servidores WINS. Puede configurar el dispositivo de seguridad para que utilice la base de datos local o un servidor de autenticacin externo para autenticar usuarios L2TP. Para realizar asignaciones de las direcciones IP, de los servidores DNS y de los servidores WINS, puede configurar el dispositivo de seguridad de modo que utilice la base de datos local o un servidor RADIUS (cargado con el archivo de diccionario de RADIUS; consulte Archivo de diccionario de RADIUS en la pgina 22). Consulte la Figura 22.
Figura 22: Usuarios de autenticacin con L2TP
Autenticacin de usuarios L2TP Asignacin de las direcciones IP, de los servidores DNS y de los servidores WINS de usuarios L2TP SecurID Base de datos local
Base de datos local
SecurID
RADIUS
RADIUS
LDAP
LDAP
Puede incluso utilizar una combinacin de servidores de autenticacin, uno diferente por cada uno de los dos aspectos de L2TP. Por ejemplo, puede utilizar un servidor SecurID para autenticar a un usuario L2TP, pero realizar las asignaciones de direcciones desde la base de datos local. El ejemplo siguiente ilustra la aplicacin de dos servidores de autenticacin para procesar ambos componentes de L2TP. Para ver otros ejemplos, junto con un anlisis detallado de L2TP, consulte Protocolo de encapsulamiento de la capa 2 en la pgina 5-211.
Usuarios y grupos de usuarios L2TP 89
Ejemplo: Servidores de autenticacin L2TP locales y externos

En este ejemplo configurar un servidor de autenticacin SecurID externo para autenticar usuarios L2TP y utilizar la base de datos local para asignar a usuarios L2TP sus direcciones IP, de los servidores DNS y de los servidores WINS. El servidor de autenticacin SecurID externo es securid1. Es casi idntico a la configuracin de servidor de autenticacin descrita en el Ejemplo: Servidor de autenticacin SecurID en la pgina 36, salvo que el tipo de cuenta es L2TP. Los parmetros del servidor de autenticacin SecurID son los siguientes:

Name: securid1 IP Address: 10.20.2.100 Backup1 IP Address: 10.20.2.110 Port: 15000 Client Retries: 3 Client Timeout: 10 segundos Idle Timeout: 60 minutes Account Type: L2TP Encryption: DES
Los ajustes predeterminados de L2TP son los siguientes:

IP Pool: I2tp1 (172.168.1.1 172.168.1.100) DNS Primary Server IP: 10.20.2.50 DNS Secondary Server IP: 10.20.2.51 PPP Authentication: CHAP WINS Primary Server IP: 10.20.2.60 WINS Secondary Server IP: 10.20.2.61
Despus de configurar el dispositivo de seguridad con los ajustes descritos, crear un tnel L2TP llamado l2tp-tun1 que har referencia a securid1 para la autenticacin y utilizar los ajustes predeterminados para la asignacin de direcciones. Debe tambin configurar el servidor de SecurID como se muestra anteriormente y compltelo con los usuarios L2TP. La Figura 23 muestra los ajustes de L2TP, ajustes del servidor SecurID Auth y la configuracin de red.
90
NOTA:
Una configuracin con slo L2TP no es segura. Para agregar seguridad a un tnel L2TP, recomendamos combinarlo con un tnel IPSec, que debe estar en modo de transporte, segn se describe en Configuracin de L2TP sobre IPSec en la pgina 5-224.
Figura 23: Servidores L2TP locales y externos

Ajustes del servidor de autenticacin SecurID Nombre: securid1 IP: 10.20.2.100 Puerto: 15000 Backup1: 10.20.2.110 Encriptacin: DES Reintentos del cliente: 3 Tiempo de espera del cliente: 10 segundos Tiempo de espera por inactividad: 60 minutos Tipos de cuentas: L2TP
Autenticacin de usuarios Base de datos local Ajustes de L2TP Conjunto de direcciones IP: l2tp1 (172.168.1.1 172.168.1.100) DNS1: 10.20.2.50 DNS2: 10.20.2.51 WINS1: 10.20.2.60 WINS2: 10.20.2.61 Tnel L2TP: l2tp-tun1
Ajustes remotos
Backup 1
securid1
Internet l2tp-tun1
Usuario L2TP
WebUI
Name: securid1 IP/Domain Name: 10.20.2.100 Backup1: 10.20.2.110 Timeout: 60 Account Type: L2TP SecurID: (seleccione) Client Retries: 3 Client Timeout: 10 segundos Authentication Port: 15000 Encryption Type: DES Use Duress: No
Objects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK:
IP Pool Name: l2tp1 Start IP: 172.168.1.1 End IP: 172.168.1.100
Usuarios y grupos de usuarios L2TP 91
3.
Ajustes predeterminados de L2TP
VPNs > L2TP > Default Settings: Introduzca los siguientes datos, luego haga clic en Apply:
Default Authentication Server: Local IP Pool Name: l2tp1 PPP Authentication: CHAP DNS Primary Server IP: 10.20.2.50 DNS Secondary Server IP: 10.20.2.51 WINS Primary Server IP: 10.20.2.60 WINS Secondary Server IP: 10.20.2.61
4. Tnel L2TP
VPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic en OK:
Name: l2tp-tun1 Use Custom Settings: (seleccione) Authentication Server: securid1 Query Remote Settings: (anule la seleccin) Dialup User: (seleccione), Allow Any
CLI
set auth-server securid1 type securid set auth-server securid1 server-name 10.20.2.100 set auth-server securid1 backup1 10.20.2.110 set auth-server securid1 timeout 60 set auth-server securid1 account-type l2tp set auth-server securid1 securid retries 3 set auth-server securid1 securid timeout 10 set auth-server securid1 securid auth-port 15000 set auth-server securid1 securid encr 1 set auth-server securid1 securid duress 0
set ippool l2tp1 172.168.1.1 172.168.1.100

3. Ajustes predeterminados de L2TP
set set set set set set set

4.
l2tp default auth server Local l2tp default ippool l2tp1 l2tp default ppp-auth chap l2tp dns1 10.20.2.50 l2tp dns1 10.20.2.51 l2tp wins1 10.20.2.60 l2tp wins2 10.20.2.61
Tnel L2TP
set l2tp l2tp-tun1 set l2tp l2tp-tun1 auth server securid1 save
92
Captulo 6
Autenticacin extensible para interfaces inalmbricas y Ethernet

Este captulo explica las opciones disponibles y los ejemplos sobre cmo utilizar el protocolo de autenticacin extensible (EAP) para autenticar interfaces inalmbricas y Ethernet. Incluye las siguientes secciones:

Vista general en la pgina 94 Tipos de EAP admitidos en la pgina 94 Habilitacin e inhabilitacin de la autenticacin 802.1X en la pgina 95 Configuracin de los ajustes de 802.1X en la pgina 96 Configuracin de las opciones del servidor de autenticacin en la pgina 100 Visualizacion de la informacin de 802.1X en la pgina 102 Ejemplos de configuracin en la pgina 104
Configuracin del dispositivo de seguridad con un cliente conectado directamente y el servidor RADIUS en la pgina 104 Configuracin de un dispositivo de seguridad con un concentrador entre un cliente y el dispositivo de seguridad en la pgina 105 Configuracin del servidor de autenticacin con una interfaz inalmbrica en la pgina 107
93
Vista general
EAP es un marco de autenticacin que admite mltiples mtodos de autenticacin. EAP se ejecuta habitualmente de forma directa sobre capas de conexin de datos, tales como el protocolo punto a punto (PPP) o IEEE 802, sin requerir direccionamiento a la capa 3 (Layer 3). El protocolo IEEE 802.1X funciona para el control de acceso basado en puertos; IKEv2 lo utiliza como una opcin de autenticacin. El protocolo EAP funciona en un dispositivo de seguridad configurado en modo transparente o de ruta (con o sin la traduccin de direcciones de red habilitada). El protocolo NSRP (NetScreen Redundancy Protocol) admite EAP en las redes con alta disponibilidad. Tambin estn disponibles los mensajes de registro y SNMP. El protocolo 802.1X est disponible para todas las plataformas. EAP funciona como la parte de autenticacin de PPP, que opera en la Capa 2. EAP autentica a un solicitante o cliente, despus que el solicitante enva las credenciales adecuadas y el servidor de autenticacin, generalmente un servidor RADIUS, define los permisos a nivel de usuario. Cuando utiliza EAP, toda la informacin de autenticacin pasa a travs del dispositivo de seguridad (conocido como un mtodo de filtro de la autenticacin de EAP). Toda la informacin del usuario se almacena en el servidor de autenticacin. Si utiliza un servidor RADIUS para autenticacin que admite atributos especficos de cada fabricante (VSA), puede utilizar la funcin de verificacin de zona, la cual verifica las zonas a las que pertenece el cliente.
Tipos de EAP admitidos

Se admiten los tipos de EAP descritos en la Figura 11.
Tabla 11: Tipos de EAP Tipo Descripcin
EAP-TLS (Seguridad El EAP derivado ms comn y lo admiten la mayora de servidores de la capa de RADIUS. EAP-TLS utiliza certificados para la autenticacin del usuario y del transporte) servidor, as como para la generacin dinmica de claves para la sesin. EAP-TTLS (Seguridad de la capa de transporte de tnel) EAP-PEAP (EAP protegido) Requiere solamente una certificacin del lado del servidor y un nombre de usuario y contrasea vlidos para autenticacin. Steel-Belted RADIUS admite TTLS. Diseado para compensar la falta de funciones en EAP-TLS y para reducir la complejidad de su manejo. Requiere solamente certificaciones del lado del servidor y un nombre de usuario y contrasea vlidos. Permite el intercambio de claves, reanudacin de la sesin, fragmentacin y reensamblaje. Steel-Belted RADIUS y Microsoft IAS admiten el EAP protegido. Algoritmo que utiliza un proceso de desafo y respuesta para verificar los hash MD5.
EAP-MD5 (Algoritmo 5 de resumen de mensaje)
94
Vista general
Captulo 6: Autenticacin extensible para interfaces inalmbricas y Ethernet
Habilitacin e inhabilitacin de la autenticacin 802.1X

De forma predeterminada, la autenticacin 802.X est inhabilitada. Puede habilitar la autenticacin 802.1X para las interfaces Ethernet e inalmbricas utilizando WebUI o CLI. Para habilitar la autenticacin 802.1X en la interfaz Ethernet, modifique la configuracin de la interfaz. El protocolo 802.1X se habilita automticamente en una interfaz inalmbrica despus de crear y configurar un SSID y luego lo vincula a la interfaz inalmbrica.
Interfaces Ethernet
Utilice uno de los siguientes procedimientos para habilitar 802.1X en la interfaz ethernet1. WebUI Network > Interfaces > List > Edit (ethernet1) > 802.1X: Haga clic en Enable. CLI Para habilitar 802.1X en la interfaz ethernet1, introduzca el siguiente comando.
set interface ethernet1 dot1x
Para desactivar 802.1X en la interfaz ethernet1, introduzca el siguiente comando.

unset interface ethernet1 dot1x
Interfaces inalmbricas
Utilice uno de los siguientes procedimientos para habilitar 802.1X en una interfaz inalmbrica. Los siguientes procedimientos crean un SSID llamado hr, que utiliza WPA como el mtodo de autenticacin y TKIP como el mtodo de encriptacin. El servidor de autenticacin es un servidor RADIUS predeterminado llamado radius1. Despus se vincula el SSID a la interfaz inalmbrica 0/1. WebUI Wireless > SSID > Haga clic en New. Introduzca los siguientes datos y haga clic en OK.
SSID Name: hr WPA Based Authentication and Encryption Methods: Seleccione WPA, TKIP. Auth Server: Seleccione radius1. Wireless Interface Binding: Seleccione wireless0/1.
Dependiendo del dispositivo de seguridad, necesita activar los cambios que configur al hacer clic en el botn Activate Changes en la parte superior de la pgina o al seleccionar Wireless > Activate Changes. Para desactivar 802.1X en una interfaz inalmbrica, seleccione none desde la lista Wireless Interface Binding.
Habilitacin e inhabilitacin de la autenticacin 802.1X 95
CLI Para habilitar automticamente 802.1X en una interfaz inalmbrica, debe crear y configurar un SSID y luego debe vincularlo a la interfaz inalmbrica.
set ssid name hr set ssid hr authentication wpa encryption tkip auth-server radius1 set ssid hr interface wireless0/1
Para desactivar 802.1X en la interfaz inalmbrica, introduzca uno de los siguientes comandos, el cual desvincula SSID de la interfaz.
unset ssid hr interface
Para los dispositivos de seguridad con dos transceptores, tambin puede introducir el siguiente comando, que desvincula la interfaz de la radio:
unset interface wireless0/1 wlan
Tambin puede desactivar 802.1X en una interfaz inalmbrica cambiando el mtodo de autenticacin por un SSID, que no requiere el uso de un servidor de autenticacin. Al desactivar la interfaz inalmbrica con el comando set interface interfaz_inalmbrica shutdown tambin desactiva 802.1X.
Configuracin de los ajustes de 802.1X

Para las interfaces Ethernet, tiene la opcin de configurar los ajustes de 802.1X. No se pueden modificar estos ajustes para las interfaces inalmbricas y se utilizan los valores predeterminados, como se muestra en la Tabla 12.
Tabla 12: Ajustes de 802.1X Opcin
Control de puerto Modo de control Usuarios mximos Periodo de reautenticacin Retransmisin Recuento de retransmisiones Periodo de retransmisin Periodo inactivo
Valor predeterminado
auto virtual 16 (Ethernet); 128 (wireless) 3600 enable 3 3 5
Valores alternativos
force-unauthorized interface 1-256 0 -86400 disable 1-16 1-120 0-3600
Configuracin del control del puerto 802.1X

Puede configurar la manera en la que la interfaz Ethernet trabaja con los intentos de autenticacin de 802.1X. De forma predeterminada, el estado del puerto es auto, que permite que la autenticacin de 802.1X proceda de forma normal. Puede configurar la interfaz Ethernet para que bloquee todo el trfico e ignore todos los intentos de los equipos por autenticarse utilizando la opcin force-unauthorized. Tambin puede configurar la interfaz para que autentique con xito todos los intentos de los equipos (tambin conocido como force-authorized state) desactivando 802.1X para la interfaz.
96
En los siguientes ejemplos, se ajusta el estado del control del puerto a force-unauthorized para la interfaz ethernet1, que especifica que la interfaz bloquea todo el trfico e ignora los intentos de autenticacin del equipo. WebUI Network > Interfaces > List > Edit (para Ethernet1) > 802.1X: Introduzca los siguientes datos y haga clic en Apply.
Port Control: Seleccione Force-unauthorized.
CLI
set interface ethernet1 dot1x port-control force-unauthorized
Configuracin del modo de control de 802.1X

Puede especificar si se ejecuta la autenticacin basada en la direccin MAC en los dispositivos conectados a la interfaz especificando uno de los siguientes modos:
Interface: Las direcciones MAC de los dispositivos conectados a la interfaz no estn autenticadas. Utilice esta opcin slo si un dispositivo confiable est conectado a la interfaz. Virtual: Las direcciones MAC de los dispositivos conectados a la interfaz estn autenticadas. Se descartan los paquetes de los dispositivos con direcciones MAC no autorizadas. Este modo es el predeterminado para una interfaz. Las interfaces inalmbricas utilizan slo el modo virtual.
En los siguientes ejemplos, ajustar el modo de control a la interfaz para la interfaz ethernet1. WebUI Network > Interfaces > List > Edit (Ethernet1) > 802.1X: Introduzca los siguientes datos y haga clic en Apply.
Control Mode: Interfaz
CLI
set interface ethernet1 dot1x control-mode interface
Ajuste del nmero mximo de usuarios simultneos

Cuando una interfaz est en el modo de control virtual, el dispositivo de seguridad permite hasta el nmero configurado de usuarios simultneos. De forma predeterminada, el dispositivo de seguridad acepta 16 usuarios simultneos para las interfaces ethernet o 128 usuarios para las interfaces inalmbricas. El rango del valor vlido es de 1 hasta 256. Si tiene configurado el modo de control en el modo interface, no puede configurar el nmero mximo de usuarios simultneos. En los siguientes ejemplos, ajustar un nmero mximo de 24 usuarios simultneos para la interfaz ethernet1.
97
WebUI Network > Interfaces > List > Edit (Ethernet1) > 802.1X: Introduzca los siguientes datos y haga clic en Apply.
Maximum User: 24
CLI
set interface ethernet1 dot1x max-user 24
Configuracin del periodo de reautenticacin

De forma predeterminada, en el dispositivo de seguridad est habilitada la reautenticacin de los clientes de 802.1X. El dispositivo de seguridad intenta autenticar de nuevo a los clientes despus de 3600 segundos (1 hora). Para las interfaces Ethernet, puede configurar el periodo de reautenticacin desde 0 hasta 86400 segundos (24 horas). Para desactivar el periodo de reautenticacin, ajuste el periodo a 0. Para las interfaces inalmbricas, no puede cambiar el periodo de reautenticacin de su valor predeterminado. Si un servidor RADIUS proporciona un periodo de reautenticacin diferente al valor predeterminado, el dispositivo de seguridad puede utilizar el valor asignado por RADIUS. En los siguientes ejemplos, puede ajustar el periodo de reautenticacin a 7200 segundos (2 horas) para la interfaz ethernet1. WebUI Network > Interfaces > List > Edit (Ethernet1) > 802.1X: Introduzca los siguientes datos y haga clic en Apply.
Re-Authentication Period: 7200
CLI
set interface ethernet1 dot1x reauth-period 7200
Para ajustar el periodo de reautenticacin a su valor predeterminado, utilice el comando unset interface nombre_interfaz dot1x reauth-period.
Habilitacin de las retransmisiones EAP

Puede habilitar la retransmisin de las solicitudes de EAP a un cliente si ste no responde. De forma predeterminada, la retransmisin est habilitada. Como una opcin, tambin puede configurar el nmero mximo de solicitudes de EAP que se retransmiten y el tiempo que transcurre entre retransmisiones. Si se alcanza el nmero mximo de retransmisiones, se termina la sesin autenticada del cliente y falla la autenticacin. En los siguientes ejemplos, usted puede habilitar la retransmisin de solicitudes de EAP para la interfaz ethernet1. WebUI Network > Interfaces > List > Edit (Ethernet1) > 802.1X: Seleccione la casilla de verificacin 802.X Enable, luego haga clic en Apply.
98
CLI
set interface ethernet1 dot1x retry
Configuracin de la cuenta de retransmisiones de EAP

De forma predeterminada, el dispositivo de seguridad enva hasta tres solicitudes de EAP. Puede configurar el nmero de solicitudes de EAP desde 1 hasta 16. En los siguientes ejemplos, puede establecer el nmero de transmisiones de solicitud de EAP a 8. WebUI Network > Interfaces > List > Edit (Ethernet1) > 802.1X: Introduzca los siguientes datos y haga clic en Apply.
Cuenta de retransmisiones: 8
CLI Utilice el siguiente comando para configurar el nmero de paquetes de retransmisin enviados:
set interface ethernet1 dot1x retry count 8
Configuracin del periodo de retransmisin de EAP

De forma predeterminada, el periodo entre las retransmisiones de EAP es de 3 segundos. Puede configurar un periodo desde 1 hasta 120 segundos. En los siguientes ejemplos, puede establecer el periodo entre retransmisiones de EAP a 5. WebUI Network > Interfaces > List > Edit (Ethernet1) > 802.1X: Introduzca los siguientes datos y haga clic en Apply.
Periodo de retransmisiones: 5
CLI
set interface ethernet1 dot1x retry period 5
Configuracin del periodo inactivo (sin actividad)

El periodo inactivo (silencio) es la cantidad de tiempo que el dispositivo de seguridad permanece inactivo despus de que fall la autenticacin. Durante el periodo inactivo, el dispositivo de seguridad no inicia o responde a ninguna solicitud de autenticacin del cliente. De forma predeterminada, cuando falla la autenticacin, el dispositivo de seguridad permanece inactivo durante 5 segundos y la cuenta de reintentos se restablece a cero (0). El periodo inactivo tiene un valor desde 0 hasta 3600 segundos (1 hora). El estado de autenticacin de 802.1X permanece como no autorizado despus de que el reintento falla, si especifica que el periodo de inactividad es cero (0).
99
En los siguientes ejemplos, puede ajustar el periodo de inactividad a 30 segundos para la interfaz ethernet1. WebUI Network > Interfaces > List > Edit (Ethernet1) > 802.1X: Introduzca los siguientes datos y haga clic en Apply.
Silent Period: 30
CLI
set interface ethernet1 dot1x silent-period 30
Configuracin de las opciones del servidor de autenticacin

Si ya configur y defini los servidores de autenticacin en su red, puede especificar uno de estos servidores como el servidor de autenticacin para una interfaz. Tambin puede ajustar las siguientes opciones del servidor de autenticacin:

Account type (clientes de 802.1X) Zone verification
Especificar un servidor de autenticacin

Puede utilizar un servidor predeterminado como el servidor de autenticacin para una interfaz especfica.
Interfaces Ethernet
Puede especificar un servidor de autenticacin para las interfaces Ethernet modificando la configuracin de la interfaz. En los siguientes ejemplos, puede especificar el servidor radius1 existente como el servidor de autenticacin para la interfaz ethernet1. WebUI Network > Interfaces > List > Edit (Ethernet1) > 802.1X: Seleccione el servidor de autenticacin desde la lista Server Name, despus haga clic en Apply. CLI
set interface ethernet1 dot1x auth-server radius1
Interfaces inalmbricas
Puede especificar un servidor de autenticacin para las interfaces inalmbricas modificando la configuracin SSID. En los siguientes ejemplos, puede modificar el SSID llamado hr y especificar el servidor radius1 existente como el servidor de autenticacin para la interfaz wireless0/1. Wireless > SSID > Edit (para hr SSID): Haga clic en New. Dependiendo del dispositivo de seguridad, seleccione uno de los siguientes, luego haga clic en OK.
100
WEP Based Authentication and Encryption Methods: WEP Encryption: Seleccione Open; WEP Encryption; y radius1 desde la lista Auth Server. 802.1X Based Authentication and Encryption Methods: Seleccione 802.1X y despus seleccione radius1 desde la lista Auth Server.
CLI
set ssid hr authentication wpa encryption auto auth-server radius1
Para utilizar el WebUI para configurar la informacin del servidor de autenticacin, puede navegar a la pgina Auth Servers: Configuration > Auth > Auth Servers: Introduzca o seleccione el valor de la opcin correspondiente, luego haga clic en Apply.
Ajuste del tipo de cuenta

Cuando defina o modifique un servidor de autenticacin, puede especificar que el servidor de autenticacin acepte clientes de 802.1X. WebUI Siga el siguiente procedimiento para especificar que el servidor de autenticacin puede aceptar clientes de 802.1X: Configuration > Auth > Auth Servers > New (o Edit para el servidor existente): Introduzca toda la informacin pertinente; en el rea Account Type, seleccione la casilla de verificacin 802.1X y haga clic en Apply. CLI Introduzca el siguiente comando para especificar que el servidor existente llamado radius1 acepta clientes de 802.1X:
set auth-server radius1 account_type 802.1x
Habilitacin de la verificacin de zonas

Si su servidor RADIUS admite las mejoras de atributos especficos de cada fabricante (VSA), puede habilitar la verificacin de zona, la cual verifica las zonas en las que el usuario es miembro y la zona configurada en el puerto. Se permite la autenticacin slo si la zona configurada en el puerto es una zona en la que el usuario es miembro. En su archivo de diccionario, agregue el nombre de atributo Zone_Verification como un tipo de atributo de cadena. La identificacin del fabricante es 3224 y el nmero de atributo es 10. WebUI Siga el siguiente procedimiento para habilitar la verificacin de zona: Configuration > Auth > Auth Servers > New (o Edit para el servidor existente): Introduzca toda la informacin pertinente; seleccione RADIUS; seleccione la casilla de verificacin Enabled en Zone Verification; haga clic en Apply.
101
CLI Para activar la verificacin de zona para el servidor RADIUS llamado radius1, introduzca el siguiente comando:
set auth-server radius1 radius zone-verification
Visualizacion de la informacin de 802.1X

Puede visualizar la informacin detallada sobre la configuracin de 802.1X en el CLI. No se puede visualizar toda la informacin de 802.1X utilizando WebUI.
Visualizacion de la informacin de configuracin global de 802.1X

Introduzca el siguiente comando para visualizar la informacin de configuracin global de 802.1X:
get dot1x
El comando muestra la siguiente informacin para cada interfaz Ethernet e inalmbrica:

Estado de 802.1X: habilitado o desactivado Modo: virtual o interfaz Nmero de usuarios (del nmero mximo de usuarios permitidos) Nmero de segundos hasta que se requiera reautenticacin Estado del modo de control del puerto
A continuacin se incluye un ejemplo del resultado del comando get dot1x :

---------------------------------------------------------------------------Name IEEE802.1x Mode User re-auth Status Ethernet1 Enabled virtual 1/64 3600s Auto Ethernet2 Disabled virtual 0/64 3600s Auto Ethernet3 Enabled interface -1200s F-U Ethernet3.1 Enabled virtual 0/64 3600s Auto Ethernet4 Enabled virtual 0/16 3600s Auto ----------------------------------------------------------------------------
102
Visualizacion de la informacin de 8021.X para una interfaz

Introduzca el siguiente comando para visualizar la configuracin de 802.1X y la informacin del usuario para una interfaz especfica:
get interface nombre_interfaz dot1x
A continuacin se incluye un ejemplo de resultado:

IEEE 802.1x enabled port-control: auto, mode: virtual user 1/max 64 auth-server: test-radius reauth enable period 1200s silent enable period 300s to-supplicant retry enable count 3 period 10s ------------------------------------------------------------------User 0003e40220b1, session id 1, authorized Total 1 user shown -----------------------------------------------------------------
Visualizacion de estadsticas de 802.1X

Utilice WebUI o CLI para obtener las estadsticas de 802.1X para una interfaz especfica. WebUI Network > 802.1X > Statistic: Seleccione la interfaz desde la lista en la parte superior de la pgina. CLI Introduzca el siguiente comando para visualizar las estadsticas de 802.1X para la interfaz ethernet0/2:
get interface ethernet0/2 dot1x statistics

Interface Ethernet0/2: -----------------------------------------------------------------------------Interface ethernet1 802.1x statistics: in eapol 0 | out eapol 0 | in start 0 in logoff 0 | in resp/id 0 | in resp 0 out req/id 0 | out req 0 | in invalid 0 in len error 0 | Interface ethernet1 802.1x diagnostics: while connecting: enters 0 | eap logoffs while authenticating: enters auth fail auth logoff
0 |
0 | auth success 0 | auth reauth 0 |
0 | auth timeouts 0 | auth start
0 0
103
Visualizacion de estadsticas de la sesin de 802.1X

Introduzca el siguiente comando para visualizar las estadsticas de la sesin de 802.1X:
get dot1x session

Alloc 2/max 1024, alloc failed 0 Id 1/ vsys 0, flag 00000000, re-auth 3105s, ethernet1, 0003e40220c2, authorized Id 2/ vsys 0, flag 00000000, re-auth 430s, ethernet3.1, 0003e40220b1, fail-silent Total 2 session shown
Visualizacion de detalles de la sesin de 802.1X

Introduzca el siguiente comando para visualizar informacin detallada para una sesin de 802.1X especfica:
get dot1x session id id_sesin

Id 1, flag 00000000, vsys id 0(Root) Interface ethernet1(vsd 0), supp-mac 0003e40220c2, status authorized Re-auth timeout 3105s, type eap-md5 As radius_test, zone-verification on Retry 0, as retry 0 ---------------------------------------------------------------------statistics: in octets 0 | out octets 0 | in frames 0 out frames 0 ------------------------------------------------------------------------
Ejemplos de configuracin
Esta seccin contiene los siguientes tres ejemplos:
Configuracin del dispositivo de seguridad con un cliente conectado directamente y el servidor RADIUS en la pgina 104 Configuracin de un dispositivo de seguridad con un concentrador entre un cliente y el dispositivo de seguridad en la pgina 105 Configuracin del servidor de autenticacin con una interfaz inalmbrica en la pgina 107
Configuracin del dispositivo de seguridad con un cliente conectado directamente y el servidor RADIUS
En este ejemplo, como se muestra en la Figura 24, la red tiene dos clientes conectados directamente al dispositivo de seguridad con los siguientes parmetros:

Cliente conectado directamente a la interfaz Ethernet1 Cliente conectado directamente a la interfaz Ethernet2
104
Interfaz Ethernet3 vinculada a la zona Trust con una direccin IP 10.1.40.3/24 Servidor RADIUS llamado radius1 (10.1.1.200) conectado a la interfaz Ethernet3 para autenticar usuarios con 802.1X, utilizando el puerto 1812 como el puerto de autenticacin y la opcin secret of mysecret
Debido a que dos clientes que estn conectados de forma directa son los nicos dispositivos conectados a las interfaces Ethernet1 y Ethernet2, el modo de control est configurado a interface.
Figura 24: Dispositivo de seguridad con un cliente conectado directamente y el servidor RADIUS
Servidor RADIUS
Dispositivo de seguridad
Ethernet3
Ethernet1 Ethernet2
set interface ethernet1 dot1x set interface ethernet2 dot1x set interface ethernet1 dot1x control-mode interface set interface ethernet2 dot1x control-mode interface set interface ethernet3 zone trust set interface ethernet3 ip 10.1.1.10/24 set set set set set auth-server radius1 account-type 802.1x auth-server radius1 type radius auth-server radius1 radius port 1812 auth-server radius1 radius secret mysecret auth-server radius1 server-name 10.1.1.200
set interface ethernet1 dot1x auth-server radius1 set interface ethernet2 dot1x auth-server radius1
Configuracin de un dispositivo de seguridad con un concentrador entre un cliente y el dispositivo de seguridad

El siguiente ejemplo, como se muestra en la Figura 25, utilizar un concentrador con los clientes conectados al dispositivo de seguridad y un cliente conectado directamente al dispositivo de seguridad.
NOTA:
No se admite la funcionalidad de 802.1X para un conmutador entre el dispositivo de seguridad y los clientes. Si tiene un conmutador conectado al dispositivo de seguridad, le recomendamos que desactive el 802.1X en la interfaz a la que est conectado el conmutador.
105
Este ejemplo utiliza los siguientes parmetros:

Concentrador conectado a la interfaz Ethernet2 (modo de control virtual) Concentrador conectado a la interfaz Ethernet1 (modo de control interface) Interfaz Ethernet3 vinculada a la zona Trust con una direccin IP 10.1.40.3/24 Servidor RADIUS llamado radius1 (10.1.1.200) conectado a la interfaz Ethernet3 para autenticar usuarios con 802.1X, utilizando el puerto 1812 como el puerto de autenticacin y la opcin secret of mysecret
Figura 25: Dispositivo de seguridad con un concentrador entre un cliente y el dispositivo de seguridad
Servidor RADIUS
Ethernet3 Dispositivo de seguridad Ethernet1 Ethernet2 Concentrador
set interface ethernet1 dot1x set interface ethernet2 dot1x set interface ethernet1 dot1x control-mode interface set interface ethernet2 dot1x control-mode virtual set interface ethernet3 zone trust set interface ethernet3 ip 10.1.1.10/24 set set set set set auth-server radius1 account-type 802.1x auth-server radius1 type radius auth-server radius1 radius port 1812 auth-server radius1 radius secret mysecret auth-server radius1 server-name 10.1.1.200
set interface ethernet1 dot1x auth-server radius1 set interface ethernet2 dot1x auth-server radius1
106
Configuracin del servidor de autenticacin con una interfaz inalmbrica

El siguiente ejemplo, como se muestra en la Figura 26, tiene un dispositivo de seguridad con una interfaz inalmbrica que sirve a los clientes inalmbricos y a un cliente conectado directamente al dispositivo de seguridad con los siguientes parmetros:

Clientes inalmbricos conectados a la interfaz inalmbrica Concentrador conectado a la interfaz Ethernet1 (modo de control interface) Interfaz Ethernet3 vinculada a la zona Trust con una direccin IP 10.1.40.3/24 Servidor RADIUS llamado radius1 (10.1.1.200) conectado a la interfaz Ethernet3 para autenticar usuarios con 802.1X, utilizando el puerto 1812 como el puerto de autenticacin y la opcin secret of mysecret SSID llamado ingenieros, utiliza autenticacin WPA, con encriptacin AES o TKIP, especificando a radius1 como el servidor de autenticacin y vinculado a la interfaz inalmbrica 1
Figura 26: Configuracin de un servidor de autenticacin con una interfaz inalmbrica

Servidor RADIUS Wireless1 Wireless1 Dispositivo de seguridad Ethernet3
Ethernet1
set interface ethernet1 dot1x set interface ethernet1 dot1x control-mode interface set interface ethernet3 zone trust set interface ethernet3 ip 10.1.1.10/24 set set set set set auth-server radius1 account-type 802.1x auth-server radius1 type radius auth-server radius1 radius port 1812 auth-server radius1 radius secret mysecret auth-server radius1 server-name 10.1.1.200
set interface ethernet1 dot1x auth-server radius1 set ssid name ingenieros set ssid ingenieros authentication wpa encryption auto auth-server radius1 set ssid ingenieros interface wireless0/1
107
108
ndice
A
adaptadores virtuales ....................................................73 asignacin de prioridades ............................................33 atributos especficos de cada fabricante .....................22 autenticacin dar prioridad ............................................................33 Autenticacin en infranet .............................................46 autenticacin en tiempo de ejecucin ........................48 autenticacin, servidores de vase servidores de autenticacin autenticacin, usuarios de vase usuarios de autenticacin
E
encriptacin, SecurID ....................................................29 entrada de la tabla de autenticacin ...........................45 expresiones de grupos ..............................................5 a 9 operadores .................................................................5 servidores admitidos ...............................................14 usuarios ......................................................................5
I
ID de fabricante, VSA.....................................................22 inactividad en sesin, tiempo de espera ....................19 Infranet Enforcer directiva, configuracin ..........................................44 introduccin .............................................................44
B
base de datos local tiempo de espera ....................................................16 tipos de usuarios admitidos ...................................16 usuarios IKE .............................................................70 bypass-auth ....................................................................74
L
L2TP asignaciones de direcciones...................................89 autenticacin de usuarios .......................................89 base de datos local ..................................................90 servidor de autenticacin externo.........................90 LDAP ........................................................................30 a 31 estructura .................................................................30 identificadores de nombre comn ........................31 nombres completos ................................................31 puertos del servidor ................................................31 tipos de usuarios admitidos ...................................31 locales, bases de datos ..........................................15 a 17
C
CHAP ...............................................................................84 claves manuales .............................................................14 clientes SecurID reintentos .................................................................29 tiempo de espera ....................................................29 cdigos token .................................................................28 configuracin de modos ...............................................74 Controlador de infranet acciones ....................................................................45 directivas de recursos .............................................45 introduccin .............................................................44
M
mensajes de bienvenida ...............................................10
N D
direcciones asignaciones L2TP...................................................89 Perodo de vigencia de la direccin IP para los usuarios XAuth ......................................................74 direcciones XAuth asignaciones ............................................................73 autenticacin, y .......................................................84 perodo de vigencia de la direccin IP.......... 74 a 76 tiempo de espera ....................................................74 directiva de conexin para Intranet Enforcer.............44 nombres completos .......................................................31 nombres comunes .........................................................31
P
protocolo ligero de acceso a directorios vase LDAP protocolos, CHAP ...........................................................84
R
RADIUS ...................................................................19 a 23 archivo de diccionario ..............................................3
ndice
IX-I
archivos de diccionario .......................................... 22 objetos de servidor auth ......................................... 34 propiedades del objeto ........................................... 20 puertos ..................................................................... 20 secreto compartido ................................................. 20 tiempo de espera entre reintentos........................ 20 RADIUS, archivo de diccionario de ............................... 3 RFC 1777, Protocolo ligero de acceso a directorios ....31
T
TACACS+ objetos servidor de autenticacin .........................39 propiedades del objeto ...........................................33 puertos......................................................................33 reintentos de clienteS .............................................33 secreto compartido .................................................33 tiempo de espera de clientes .................................33 tiempo de espera entre reintentos ........................33 tiempo de espera usuarios administradores .......................................18 usuarios de autenticacin ......................................18 tiempo de espera por sesin inactiva .........................19 tiempo de inactividad de VPN .....................................75 Tipos de atributos VSA ..................................................23
S
ScreenOS ID de fabricante de RADIUS .................................. 22 SecurID ........................................................................... 28 autenticador ............................................................. 28 cdigos token .......................................................... 28 objeto servidor de autenticacin ........................... 36 opcin Use Duress .................................................. 29 puerto de autenticacin ......................................... 29 servidores ACE ........................................................ 29 tipos de encriptacin .............................................. 29 usuarios, tipos admitidos ....................................... 30 seguridad asignacin de prioridades ...................................... 33 Servicio de autenticacin remota de usuarios de acceso telefnico vase RADIUS servidores de autenticacin ................................. 13 a 42 consultas de XAuth ................................................. 73 definicin ......................................................... 34 a 42 direcciones ............................................................... 18 enrutador ................................................................. 17 LDAP ................................................................. 30 a 31 nmero de identificacin ....................................... 18 nmero mximo ..................................................... 14 predeterminadas ............................................... 40, 41 proceso de autenticacin ....................................... 17 respaldo .................................................................... 18 SecurID ..................................................................... 28 SecurID, definicin ................................................. 36 tiempo de espera por inactividad ......................... 18 tipos .......................................................................... 18 vase servidores de autenticacin servidores de autenticacin, objetos de nombres ................................................................... 18 propiedades ............................................................. 18 servidores de autenticacin, RADIUS ................. 19 a 23 definicin ................................................................. 34 usuarios, tipos admitidos ....................................... 21 servidores de autenticacin, TACACS+ definicin ................................................................. 39 servidores, SecurID ACE ............................................... 29 solucin de control de acceso unificado vista general de ................................................. vii, 43 SSL, con WebAuth ......................................................... 65
U
usuarios administrador, tiempo de espera ..........................18 administradores ........................................................2 de mltiples tipos ......................................................4 grupos, servidores admitidos ................................14 IKE vase usuarios IKE L2TP .................................................................. 89 a 92 WebAuth ..................................................................14 XAuth ................................................................ 72 a 87 usuarios administradores ...............................................2 dar prioridad a la autenticacin ............................33 privilegios desde RADIUS .........................................3 servidores admitidos ..............................................14 tiempo de espera ....................................................18 usuarios autorizados, autenticacin de previa a la directiva.................................................49 punto de .....................................................................1 servidores de autenticacin, con...........................14 usuarios de autenticacin ..................................... 47 a 68 administradores ........................................................2 base de datos local .......................................... 15 a 17 clave manual ............................................................14 de mltiples tipos ......................................................4 en directivas ............................................................48 grupos .................................................................47, 50 IKE ......................................................................14, 69 inicio de sesin, con diferentes nombres ..............5 L2TP ..........................................................................89 servidores admitidos ..............................................14 tiempo de espera ....................................................18 tipos de usuarios .....................................................13 tipos y aplicaciones ............................................. 1 a 5 vase usuarios de autenticacin WebAuth ..................................................................14 XAuth ........................................................................72
IX-II
ndice
ndice
usuarios de autenticacin, tiempo de ejecucin autenticacin ...........................................................48 externos, usuarios ...................................................54 grupo de usuarios, externos ..................................56 grupos de usuarios locales .....................................53 locales, usuarios ......................................................51 proceso de autenticacin .......................................49 usuarios de autenticacin, WebAuth ...........................49 con SSL (externos, grupos de usuarios) ................65 grupo de usuarios, externos ..................................62 grupos de usuarios locales .....................................61 usuarios IKE ..................................................... 14, 69 a 72 con otros tipos de usuario ........................................4 definicin .................................................................70 grupos .......................................................................70 grupos, definir .........................................................71 grupos, y...................................................................69 identificacin IKE ..............................................69, 84 servidores admitidos ..............................................14 usuarios L2TP .................................................................89 con XAuth ..................................................................4 servidores admitidos ..............................................14 usuarios XAuth ....................................................... 72 a 87 autenticacin ...........................................................72 autenticacin de grupo local ..................................78 autenticacin local ..................................................76 con L2TP ....................................................................4 servidores admitidos ..............................................14 usuarios, IKE vase usuarios IKE
V
VSA ..................................................................................22
W
WebAuth ...................................................................14, 49 con SSL (externos, grupos de usuarios) ................65 grupos de usuarios externos ..................................62 grupos de usuarios locales .....................................61 proceso de autenticacin previo a directivas .......49
X
XAuth adaptadores virtuales ..............................................73 asignaciones TCP/IP ................................................74 autenticacin del cliente .........................................88 bypass-auth ..............................................................74 consultar ajustes remotos.......................................73 definicin..................................................................72 ScreenOS como cliente...........................................88 tiempo de inactividad de VPN ...............................75 XAuth, direcciones asignaciones .............................................................73 autenticacin, y .......................................................84 tiempo de espera.....................................................74 XAuth, externo autenticacin de grupo de usuarios ......................81 autenticacin de usuarios .......................................79 consultas al servidor de autenticacin ..................73
ndice
IX-III
IX-IV
ndice

Volumen 9: Autenticación de Usuariosn: Conceptos Y Ejemplos Manual de Referencia de Screenos

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Volumen 9: Autenticación de Usuariosn: Conceptos Y Ejemplos Manual de Referencia de Screenos

Uploaded by

Copyright:

Available Formats

Conceptos y ejemplos Manual de referencia de ScreenOS

Volumen 9: Autenticacin de usuariosn

Versin 6.0.0, Rev. 02

Juniper Networks, Inc.

Manual de referencia de ScreenOS: Conceptos y ejemplos

Manual de referencia de ScreenOS: Conceptos y ejemplos

Acerca de este manual

Manual de referencia de ScreenOS: Conceptos y ejemplos

Convenciones del documento

Convenciones de la interfaz de usuario web

Convenciones de interfaz de lnea de comandos

Convenciones del documento

Acerca de este manual

Las variables aparecen en cursiva:

En el texto, los comandos estn en negrita y las variables en cursiva.

Convenciones de nomenclatura y conjuntos de caracteres

ScreenOS admite los siguientes conjuntos de caracteres:

Convenciones del documento

Manual de referencia de ScreenOS: Conceptos y ejemplos

Convenciones para las ilustraciones

Rango dinmico de IP (DIP)

Dispositivo de red genrico

Interfaz de tnel Servidor Tnel VPN

Enrutador Dispositivos de seguridad Juniper Networks

Convenciones del documento

Acerca de este manual

Asistencia y documentacin tcnica

Asistencia y documentacin tcnica

Manual de referencia de ScreenOS: Conceptos y ejemplos

Asistencia y documentacin tcnica

Tipos de autenticaciones de usuarios

Tipos de autenticaciones de usuarios

Manual de referencia de ScreenOS: Conceptos y ejemplos

Figura 1: Autenticacin durante el tnel VPN L2TP a travs de IPSec

Fase 1 Tnel IPSec Tnel L2TP Trfico

Usuarios con permisos de administrador

Usuarios con permisos de administrador

Y el servidor RADIUS tiene cargado el archivo de diccionario de RADIUS:

Y un servidor SecurID, LDAP o RADIUS sin el archivo de diccionario de RADIUS:

Asignar privilegios de slo lectura al admin externo

Asignar privilegios de slo lectura de nivel raz o vsys

La Figura 2 muestra el proceso de autenticacin de admin.

Nombre: ?? Contrasea: ?? Nombre: ** Contrasea: **

servidor de autenticacin WebUI o CLI

Usuarios con permisos de administrador

Manual de referencia de ScreenOS: Conceptos y ejemplos

Usuarios de mltiples tipos

Usuarios de mltiples tipos

Manual de referencia de ScreenOS: Conceptos y ejemplos

Tabla 1: Ejemplos de expresin de grupo (Continuacin) Objeto

Ejemplo: Expresiones de grupos (AND)

set address trust project1 10.1.1.70/32

set group-expression s+m sales and marketing

Manual de referencia de ScreenOS: Conceptos y ejemplos

Ejemplo: Expresiones de grupos (OR)

set address trust project1 210.1.1.70/32

set group-expression a/b amy or basil 8

Ejemplo: Expresiones de grupos (NOT)

set group-expression -temp not temp

Manual de referencia de ScreenOS: Conceptos y ejemplos

Personalizacin de mensajes de bienvenida

Ejemplo: Personalizar un mensaje de bienvenida de WebAuth

Nombre: ?? Contrasea: ?? Nombre: Contrasea: