Professional Documents
Culture Documents
Volumen 1: Vista General: Conceptos Y Ejemplos Manual de Referencia de Screenos
Volumen 1: Vista General: Conceptos Y Ejemplos Manual de Referencia de Screenos
Volumen 1: Vista General: Conceptos Y Ejemplos Manual de Referencia de Screenos
Volumen 1:
Vista general
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Volumen 1:
Vista general
Acerca del Manual de referencia de ScreenOS: conceptos y
ejemplos xlvii
Organización de los volúmenes.................................................................... xlix
Convenciones del documento ......................................................................... lv
Convenciones de la interfaz de usuario web ............................................ lvi
Convenciones de interfaz de línea de comandos ..................................... lvi
Convenciones de nomenclatura y conjuntos de caracteres ..................... lvii
Convenciones para las ilustraciones ...................................................... lviii
Asistencia y documentación técnica............................................................... lix
Volumen 2:
Fundamentos
Acerca de este volumen ix
Convenciones del documento .......................................................................... x
Convenciones de la interfaz de usuario web .............................................. x
Convenciones de interfaz de línea de comandos ....................................... x
Convenciones de nomenclatura y conjuntos de caracteres ....................... xi
Convenciones para las ilustraciones ........................................................ xii
Asistencia y documentación técnica.............................................................. xiii
Contenido iii
Manual de referencia de ScreenOS: Conceptos y ejemplos
Capítulo 2 Zonas 25
Ver las zonas preconfiguradas........................................................................ 26
Zonas de seguridad ........................................................................................ 27
Zona Global ............................................................................................. 28
Opciones SCREEN ................................................................................... 28
Asociar una interfaz de túnel a una zona de túnel .......................................... 28
Configuración de zonas de seguridad y zonas de túnel .................................. 30
Creación de una zona .............................................................................. 30
Modificación de una zona........................................................................ 31
Eliminación de una zona ......................................................................... 32
Zonas de función ........................................................................................... 32
Capítulo 3 Interfaces 33
Tipos de interfaces......................................................................................... 33
Interfaces lógicas ..................................................................................... 33
Interfaces físicas ............................................................................... 34
Interfaces inalámbricas ..................................................................... 34
Interfaces de grupos en puente ......................................................... 34
Subinterfaces .................................................................................... 35
Interfaces agregadas ......................................................................... 35
Interfaces redundantes...................................................................... 35
Interfaces de seguridad virtuales ....................................................... 36
Interfaces de zonas de función ................................................................ 36
Interfaces de administración ............................................................. 36
Interfaces de alta disponibilidad........................................................ 36
Interfaces de túnel................................................................................... 37
Eliminación de interfaces de túnel ....................................................40
Visualización de interfaces ............................................................................. 41
Configuración de interfaces de la zona de seguridad...................................... 42
Asociación de una interfaz a una zona de seguridad................................ 43
Desasociación de una interfaz de una zona de seguridad ........................ 44
Direccionamiento de una interfaz de la zona de seguridad L3 ................. 45
Direcciones IP públicas ..................................................................... 45
Direcciones IP privadas..................................................................... 46
Direccionamiento de una interfaz ..................................................... 46
Modificar los ajustes de interfaz............................................................... 47
Creación de una subinterfaz en el sistema raíz ........................................ 48
Eliminación de una subinterfaz ............................................................... 49
Creación de una dirección IP secundaria........................................................ 49
Interfaces del sistema de respaldo .................................................................50
Configuración de una interfaz de respaldo............................................... 51
Configuración de una interfaz de respaldo de seguimiento de IP ...... 51
Configuración de una interfaz de respaldo de túnel-if .......................52
Configuración de una interfaz de respaldo de supervisión de rutas ... 56
Interfaces de bucle invertido (o “loopback”)................................................... 57
Creación de una interfaz de bucle invertido............................................. 58
Configuración de la interfaz de bucle invertido para la administración.... 58
Configuración de BGP en una interfaz de bucle invertido ........................ 58
Configuración de VSI en una interfaz de bucle invertido.......................... 59
Configuración de la interfaz de bucle invertido como interfaz de
origen ............................................................................................... 59
Cambios de estado de la interfaz ................................................................... 60
Supervisión de la conexión física ............................................................. 62
iv Contenido
Contenido
Contenido v
Manual de referencia de ScreenOS: Conceptos y ejemplos
vi Contenido
Contenido
Contenido vii
Manual de referencia de ScreenOS: Conceptos y ejemplos
Índice ........................................................................................................................IX-I
viii Contenido
Contenido
Volumen 3:
Administración
Acerca de este volumen vii
Convenciones del documento ........................................................................ vii
Convenciones de la interfaz de usuario web ............................................ vii
Convenciones de interfaz de línea de comandos .................................... viii
Convenciones de nomenclatura y conjuntos de caracteres ..................... viii
Convenciones para las ilustraciones .......................................................... x
Asistencia y documentación técnica................................................................ xi
Capítulo 1 Administración 1
Administración a través de la interfaz de usuario web ..................................... 2
Ayuda de la interfaz gráfica (WebUI) ......................................................... 2
Copia de los archivos de ayuda a una unidad local.............................. 3
Desvío de WebUI a la nueva ubicación de la ayuda............................. 3
Protocolo de transferencia de hipertextos ................................................. 4
Identificación de sesión ............................................................................. 4
Secure Sockets Layer ................................................................................. 5
Configuración de SSL .......................................................................... 7
Redireccionamiento de HTTP a SSL .................................................... 8
Administración a través de la interfaz de línea de comandos......................... 10
Telnet ...................................................................................................... 10
Conexiones Telnet seguras ...................................................................... 11
Secure Shell ............................................................................................. 11
Requisitos del cliente ........................................................................ 13
Configuración básica de SSH en el dispositivo................................... 13
Autenticación .................................................................................... 14
SSH y Vsys ........................................................................................ 16
Clave de host .................................................................................... 17
Ejemplo: SSHv1 con PKA para inicios de sesión de automatizados ... 17
Copia segura............................................................................................ 18
Consola serie ........................................................................................... 19
Consola remota ....................................................................................... 20
Consola remota con el puerto de módem V.92 ................................. 20
Consola remota con el puerto AUX ................................................... 21
Puerto de módem.................................................................................... 22
Administración a través de NetScreen-Security Manager................................ 23
Inicio de la conectividad entre el agente de NSM y el sistema MGT ......... 24
Habilitar, inhabilitar y desactivar el agente de NSM ................................. 25
Ajustar la dirección IP del servidor principal del sistema de
administración (Management System) .............................................. 26
Ajustar la generación de informes de alarmas y de estadísticas............... 26
Sincronización de la configuración .......................................................... 28
Ejemplo: Visualizar al estado de la configuración .............................. 28
Ejemplo: Consultar el hash de configuración..................................... 28
Consultar la marca de hora de configuración........................................... 29
Control del tráfico administrativo................................................................... 29
Interfaces MGT y VLAN1.......................................................................... 30
Ejemplo: Administración a través de la interfaz MGT ........................ 30
Ejemplo: Administración a través de la interfaz VLAN1..................... 31
Ajuste de las opciones de la interfaz administrativa................................. 31
Contenido ix
Manual de referencia de ScreenOS: Conceptos y ejemplos
x Contenido
Contenido
Registro de tráfico.......................................................................................... 65
Visualización del registro de tráfico ......................................................... 66
Ejemplo: Visualizar las entradas del registro de tráfico...................... 66
Clasificación y filtrado del registro de tráfico..................................... 67
Ejemplo: Clasificar el registro de tráfico por horas ............................ 67
Descarga del registro de tráfico ............................................................... 68
Eliminación del campo del motivo de cierre............................................ 68
Registro propio ..............................................................................................70
Visualización del registro propio .............................................................. 70
Clasificación y filtrado del registro propio ......................................... 71
Ejemplo: Filtrar el registro propio por horas...................................... 71
Descargar el registro propio..................................................................... 72
Descargar el registro de recuperación de posición ......................................... 72
Alarmas de tráfico.......................................................................................... 73
Ejemplo: Detección de intrusiones basada en directivas.......................... 74
Ejemplo: Notificación de sistema comprometido..................................... 74
Ejemplo: Enviar alertas de correo electrónico .......................................... 75
Syslog ............................................................................................................ 76
Ejemplo: Habilitar múltiples servidores Syslog......................................... 77
Activación de WebTrends para eventos de notificación ........................... 77
Protocolo simple de administración de redes................................................. 78
Vista general de implementación............................................................. 81
Definición de una comunidad SNMP de lectura/escritura......................... 82
Túneles VPN para tráfico autogenerado ......................................................... 83
Ejemplo: Tráfico autogenerado a través de túnel basado en rutas ........... 85
Ejemplo: Tráfico autogenerado a través de túnel basado en directivas .... 91
Visualizar contadores de pantalla ................................................................... 98
Índice ........................................................................................................................IX-I
Volumen 4:
Detección ataques y mecanismos de defensa
Acerca de este volumen ix
Convenciones del documento .......................................................................... x
Convenciones de la interfaz de usuario web .............................................. x
Convenciones de interfaz de línea de comandos ...................................... xi
Convenciones de nomenclatura y conjuntos de caracteres ....................... xi
Convenciones para las ilustraciones ....................................................... xiii
Asistencia y documentación técnica.............................................................. xiv
Contenido xi
Manual de referencia de ScreenOS: Conceptos y ejemplos
xii Contenido
Contenido
Contenido xiii
Manual de referencia de ScreenOS: Conceptos y ejemplos
xiv Contenido
Contenido
Contenido xv
Manual de referencia de ScreenOS: Conceptos y ejemplos
xvi Contenido
Contenido
Índice ........................................................................................................................IX-I
Volumen 5:
Redes privadas virtuales
Acerca de este volumen vii
Convenciones del documento ....................................................................... viii
Convenciones de la interfaz de usuario web ........................................... viii
Convenciones de interfaz de línea de comandos .................................... viii
Convenciones de nomenclatura y conjuntos de caracteres ....................... ix
Convenciones para las ilustraciones .......................................................... x
Asistencia y documentación técnica................................................................ xi
Contenido xvii
Manual de referencia de ScreenOS: Conceptos y ejemplos
xviii Contenido
Contenido
Contenido xix
Manual de referencia de ScreenOS: Conceptos y ejemplos
Índice ........................................................................................................................IX-I
Volumen 6:
Voz sobre el protocolo de Internet (VoIP)
Acerca de este volumen vii
Convenciones del documento ........................................................................ vii
Convenciones de la interfaz de usuario web ........................................... viii
Convenciones de interfaz de línea de comandos .................................... viii
Convenciones de nomenclatura y conjuntos de caracteres ....................... ix
Convenciones para las ilustraciones .......................................................... x
Asistencia y documentación técnica................................................................ xi
xx Contenido
Contenido
Contenido xxi
Manual de referencia de ScreenOS: Conceptos y ejemplos
Índice ........................................................................................................................IX-I
Volumen 7:
Enrutamiento
Acerca de este volumen xi
Convenciones del documento ........................................................................ xii
Convenciones de la interfaz de usuario web ............................................ xii
Convenciones de interfaz de línea de comandos ..................................... xii
Convenciones de nomenclatura y conjuntos de caracteres ..................... xiii
Convenciones para las ilustraciones ....................................................... xiv
Asistencia y documentación técnica............................................................... xv
xxii Contenido
Contenido
Capítulo 2 Enrutamiento 13
Vista general .................................................................................................. 14
Tablas de enrutamiento del enrutador virtual................................................. 15
Tabla de enrutamiento basada en destinos.............................................. 16
Tabla de enrutamiento basada en el origen ............................................. 18
Tabla de enrutamiento según la interfaz de origen .................................. 20
Creación y modificación de enrutadores virtuales .......................................... 22
Modificación de enrutadores virtuales ..................................................... 22
Asignación de una ID de enrutador virtual............................................... 23
Reenvío de tráfico entre enrutadores virtuales......................................... 24
Configuración de dos enrutadores virtuales ............................................. 24
Creación y eliminación de enrutadores virtuales ..................................... 26
Creación de un enrutador virtual personalizado ................................ 26
Eliminación de un enrutador virtual personalizado ........................... 27
Enrutadores virtuales y sistemas virtuales ............................................... 27
Creación de un enrutador virtual en un Vsys..................................... 28
Compartir rutas entre enrutadores virtuales...................................... 29
Limitación del número máximo de entradas de la tabla de
enrutamiento .................................................................................... 30
Ejemplos y funciones del enrutamiento ......................................................... 30
Selección de rutas.................................................................................... 31
Establecimiento de una preferencia de ruta ...................................... 31
Métricas de ruta ................................................................................ 32
Cambio de la secuencia predeterminada de consulta de rutas .......... 33
Consulta de rutas en múltiples enrutadores virtuales ........................ 35
Configuración del enrutamiento multidireccional de igual coste .............. 36
Redistribución de rutas............................................................................ 38
Configuración de un mapa de rutas .................................................. 39
Filtrado de rutas................................................................................ 41
Configuración de una lista de acceso................................................. 41
Redistribución de rutas en OSPF ....................................................... 42
Exportación e importación de rutas entre enrutadores virtuales.............. 43
Configuración de una regla de exportación ....................................... 44
Configuración de la exportación automática ..................................... 45
Contenido xxiii
Manual de referencia de ScreenOS: Conceptos y ejemplos
xxiv Contenido
Contenido
Contenido xxv
Manual de referencia de ScreenOS: Conceptos y ejemplos
xxvi Contenido
Contenido
Contenido xxvii
Manual de referencia de ScreenOS: Conceptos y ejemplos
Índice ........................................................................................................................IX-I
Volumen 8:
Traducción de direcciones
Acerca de este volumen v
Convenciones del documento ......................................................................... vi
Convenciones de la interfaz de usuario web ............................................. vi
Convenciones de interfaz de línea de comandos ...................................... vi
Convenciones de nomenclatura y conjuntos de caracteres ...................... vii
Convenciones para las ilustraciones ....................................................... viii
Asistencia y documentación técnica................................................................ ix
xxviii Contenido
Contenido
Contenido xxix
Manual de referencia de ScreenOS: Conceptos y ejemplos
Índice ........................................................................................................................IX-I
Volumen 9:
Autenticación de usuariosn
Acerca de este manual vii
Convenciones del documento ....................................................................... viii
Convenciones de la interfaz de usuario web ........................................... viii
Convenciones de interfaz de línea de comandos .................................... viii
Convenciones de nomenclatura y conjuntos de caracteres ....................... ix
Convenciones para las ilustraciones .......................................................... x
Asistencia y documentación técnica................................................................ xi
Capítulo 1 Autenticación 1
Tipos de autenticaciones de usuarios ............................................................... 1
Usuarios con permisos de administrador ......................................................... 2
Usuarios de múltiples tipos .............................................................................. 4
Expresiones de grupos ..................................................................................... 5
Ejemplo: Expresiones de grupos (AND) ..................................................... 6
Ejemplo: Expresiones de grupos (OR)........................................................ 8
Ejemplo: Expresiones de grupos (NOT)......................................................9
Personalización de mensajes de bienvenida .................................................. 10
Ejemplo: Personalizar un mensaje de bienvenida de WebAuth................ 10
Mensaje de bienvenida de inicio de sesión..................................................... 11
Ejemplo: Crear un mensaje de bienvenida de inicio de sesión................. 11
xxx Contenido
Contenido
Contenido xxxi
Manual de referencia de ScreenOS: Conceptos y ejemplos
Índice ........................................................................................................................IX-I
Volumen 10:
Sistemas virtuales
Acerca de este volumen v
Convenciones del documento .......................................................................... v
Convenciones de la interfaz de usuario web .............................................. v
Convenciones de interfaz de línea de comandos ...................................... vi
Convenciones de nomenclatura y conjuntos de caracteres ....................... vi
Convenciones para las ilustraciones ....................................................... viii
Asistencia y documentación técnica................................................................ ix
xxxii Contenido
Contenido
Contenido xxxiii
Manual de referencia de ScreenOS: Conceptos y ejemplos
Índice ........................................................................................................................IX-I
Volumen 11:
Alta disponibilidad
Acerca de este volumen v
Convenciones del documento .......................................................................... v
Convenciones de la interfaz de usuario web ............................................. vi
Convenciones de interfaz de línea de comandos ...................................... vi
Convenciones de nomenclatura y conjuntos de caracteres ...................... vii
Convenciones para las ilustraciones ....................................................... viii
Asistencia y documentación técnica................................................................ ix
xxxiv Contenido
Contenido
Índice ........................................................................................................................IX-I
Contenido xxxv
Manual de referencia de ScreenOS: Conceptos y ejemplos
Volumen 12:
WAN, DSL, acceso telefónico e inalámbrico
Acerca de este volumen ix
Convenciones del documento ......................................................................... ix
Convenciones de la interfaz de usuario web .............................................. x
Convenciones de interfaz de línea de comandos ....................................... x
Convenciones de nomenclatura y conjuntos de caracteres ....................... xi
Convenciones para las ilustraciones ........................................................ xii
Asistencia y documentación técnica.............................................................. xiii
xxxvi Contenido
Contenido
Número de llamada........................................................................... 27
Valor T310 ........................................................................................ 27
Envío completo ................................................................................. 27
Modo BRI................................................................................................. 28
Modo de línea arrendada .................................................................. 28
Activación de marcador .................................................................... 28
Opciones de marcador ............................................................................ 29
Desactivación de una interfaz WAN......................................................... 30
Encapsulado de la interfaz WAN .................................................................... 30
Protocolo punto a punto .......................................................................... 31
Retransmisión de tramas......................................................................... 31
Control de la conexión de datos de alto nivel de Cisco (Cisco-HDLC)....... 32
Opciones básicas de encapsulado............................................................ 33
Interfaces sin numerar ...................................................................... 33
Configuración de la unidad de transmisión máxima del protocolo .... 34
Configuración de la dirección IP estática ........................................... 34
Mensajes de mantenimientos de conexión ....................................... 34
Opciones de encapsulado PPP.................................................................35
Perfil de acceso PPP.......................................................................... 36
Método de autenticación PPP............................................................ 37
Contraseña........................................................................................ 37
Protocolos de autenticación PPP.............................................................. 37
Protocolo de autenticación de establecimiento de conexión por
desafío........................................................................................ 38
Protocolo de autenticación de contraseña ......................................... 38
Usuario de base de datos local .......................................................... 39
Opciones de encapsulado de retransmisión de tramas ............................ 39
Mensajes de mantenimiento de conexión ......................................... 39
Tipo de LMI de retransmisión de tramas........................................... 40
Creación y configuración de PVC ...................................................... 41
Protocolo de resolución de dirección inversa .................................... 42
Encapsulado de conexión múltiple.................................................................43
Vista general............................................................................................ 43
Configuración básica del grupo de conexión múltiple.............................. 44
Identificador de grupo....................................................................... 44
Tiempo de espera para descartar ...................................................... 45
Umbral de fragmentación .................................................................45
Conexiones mínimas ........................................................................ 46
Pasos básicos de la configuración ..................................................... 47
Unidad reconstruida recibida máxima .............................................. 47
Formato del encabezado de secuencia.............................................. 47
Opciones de configuración de retransmisión de tramas de conexión
múltiple............................................................................................. 48
Pasos básicos de la configuración ..................................................... 48
Asignación de conexión para MLFR .................................................. 49
Reintentos de acuse de recibo........................................................... 50
Temporizador de acuse de recibo ..................................................... 50
Temporizador de saludo.................................................................... 50
Ejemplos de configuración de la interfaz WAN............................................... 50
Configuración de una interfaz serie ......................................................... 51
Configuración de una interfaz T1............................................................. 52
Configuración de una interfaz E1............................................................. 53
Configuración de una interfaz T3............................................................. 53
Configuración de una interfaz E3............................................................. 54
Contenido xxxvii
Manual de referencia de ScreenOS: Conceptos y ejemplos
xxxviii Contenido
Contenido
Contenido xxxix
Manual de referencia de ScreenOS: Conceptos y ejemplos
Índice ........................................................................................................................IX-I
Volumen 13:
Servicio general de radio por paquetes
Acerca de este volumen v
Convenciones del documento .......................................................................... v
Convenciones de la interfaz de usuario web ............................................. vi
Convenciones de interfaz de línea de comandos ...................................... vi
Convenciones de nomenclatura y conjuntos de caracteres ...................... vii
Convenciones para las ilustraciones ....................................................... viii
Asistencia y documentación técnica................................................................ ix
Capítulo 1 GPRS 1
El dispositivo de seguridad como cortafuegos del protocolo de
encapsulamiento de GPRS ......................................................................... 2
Interfaces Gp y Gn ..................................................................................... 2
Interfaz Gi.................................................................................................. 3
Modos de funcionamiento ......................................................................... 4
Compatibilidad con el sistema virtual ........................................................ 5
Protocolo de encapsulamiento de GPRS según directivas................................. 5
Ejemplo: Configuración de directivas para habilitar la inspección de
GTP ..................................................................................................... 6
Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP) ....... 7
Ejemplo: Creación de un objeto de inspección de GTP .............................. 8
Filtrado de mensajes de GTP............................................................................ 8
Comprobación de coherencia del paquete ................................................. 9
Filtrado de la longitud del mensaje ............................................................ 9
Ejemplo: Ajuste de las longitudes del mensaje de GTP ...................... 10
Filtrado del tipo de mensaje .................................................................... 10
Ejemplo: Permiso y rechazo de los tipos de mensajes.......................10
Tipos de mensaje admitidos.............................................................. 11
Limitación de velocidad de los mensajes ................................................. 12
Ejemplo: Establecimiento de un límite de velocidad ......................... 13
Validación del número de secuencia........................................................ 13
Ejemplo: Habilitación de la validación del número de secuencia....... 14
Fragmentación de IP ............................................................................... 14
xl Contenido
Contenido
Índice ........................................................................................................................IX-I
Contenido xli
Manual de referencia de ScreenOS: Conceptos y ejemplos
Volumen 14:
Arquitectura de doble pila con IPv6
Acerca de este volumen vii
Audiencia del documento.............................................................................. viii
Convenciones del documento ....................................................................... viii
Convenciones de la interfaz de usuario web ............................................. ix
Convenciones de interfaz de línea de comandos ...................................... ix
Convenciones de nomenclatura y conjuntos de caracteres ........................ x
Convenciones para las ilustraciones ......................................................... xi
Asistencia y documentación técnica............................................................... xii
xlii Contenido
Contenido
Contenido xliii
Manual de referencia de ScreenOS: Conceptos y ejemplos
xliv Contenido
Contenido
Índice ........................................................................................................................IX-I
Contenido xlv
Manual de referencia de ScreenOS: Conceptos y ejemplos
xlvi Contenido
Acerca del Manual de referencia de
ScreenOS: conceptos y ejemplos
VPN: Una VPN ofrece un canal de comunicaciones seguro entre dos o más
dispositivos de red remotos.
xlvii
Manual de referencia de ScreenOS: Conceptos y ejemplos
Zona Untrust
LAN LAN
Internet
Redundancia: El dispositivo de
respaldo mantiene una
configuración y unas sesiones
idénticas a las del dispositivo
principal para asumir el puesto del
VPN: Túneles de comunicación dispositivo principal si es necesario.
segura entre dos puntos para el (Nota: las interfaces, las rutas de
tráfico que atraviesa Internet encaminamiento, las fuentes de
alimentación y los ventiladores
Dispositivo de también pueden ser redundantes).
respaldo
Cortafuegos: Análisis del tráfico
entre la LAN protegida e Internet
xlviii
Acerca del Manual de referencia de ScreenOS: conceptos y ejemplos
Volumen 2: Fundamentos
Capítulo 2, “Zonas,” explica las zonas de seguridad, las zonas de túnel y las
zonas de función.
Volumen 3: Administración
Volumen 7: Enrutamiento
Capítulo 5, “Usuarios IKE, XAuth y L2TP,” explica cómo definir usuarios IKE,
XAuth y L2TP. Aunque la sección XAuth se centra sobre todo en el uso del
dispositivo de seguridad como servidor de XAuth, también incluye una
subsección sobre la configuración de determinados dispositivos de seguridad
actuando como clientes XAuth.
Capítulo 1, “Redes de área extensa,” describe cómo configurar una red de área
extensa (WAN).
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Para abrir la ayuda en línea para los ajustes de configuración, haga clic en el signo
de interrogación (?) en la parte superior izquierda de la pantalla.
En ejemplos:
NOTA: Para introducir palabras clave, basta con introducir los primeros caracteres para
identificar la palabra de forma inequívoca. Al escribir set adm u whee j12fmt54
se ingresará el comando set admin user wheezer j12fmt54. Sin embargo, todos
los comandos documentados aquí se encuentran presentes en su totalidad.
Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá
estar entre comillas dobles; por ejemplo:
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Interfaz de túnel
Servidor
Túnel VPN
Enrutador
Dispositivos de seguridad
Conmutador Juniper Networks
Concentrador
B C
barrida de puertos ....................................................... 4-9 cables serie ................................................................. 3-19
barrido de direcciones ................................................ 4-8 cambio en caso de fallo
base de datos de objetos de ataque .........4-124 a 4-132 dispositivos ........................................................ 11-59
actualización automática .......................4-127, 4-128 grupos VSD......................................................... 11-58
actualización inmediata.................................... 4-127 interfaces Dual Untrust ......................... 11-46, 11-49
actualización manual ........................................ 4-130 sistemas virtuales .............................................. 11-58
cambiar la URL predeterminada ..................... 4-130 supervisión de objetos ...................................... 11-52
notificación automática y actualización cambio en caso de fallo de alta disponibilidad
manual ............................................................. 4-129 activa/activa ....................................................... 11-12
base de datos local activa/pasiva ...................................................... 11-12
tiempo de espera ................................................ 9-16 cambio en caso de fallo del dispositivo ................ 11-59
tipos de usuarios admitidos ............................... 9-16 Canales, encontrar disponibles ............................ 12-139
usuarios IKE ......................................................... 9-70 Canales extendidos, configuración para
Base de normas de exclusión WLAN ................................................................... 12-138
Adición a una directiva de seguridad ............. 4-206 canales y códigos de países .................................. 12-138
introducción ....................................................... 4-205 Capa de adaptación ATM 5 ..................................... 12-78
Base de normas de puerta de atrás capturas SNMP
Adición a una directiva de seguridad ............. 4-211 100, problemas de hardware............................. 3-80
introducción ....................................................... 4-210 200, problemas de cortafuegos ......................... 3-80
Bases de normas de IDP 300, problemas de software .............................. 3-80
Adición a una directiva de seguridad ............. 4-192 400, problemas de tráfico .................................. 3-80
Administración en base a funciones ............... 4-188 500, problemas de VPN...................................... 3-80
introducción ....................................................... 4-191 alarma de tráfico ................................................. 3-79
tipos .................................................................... 4-187 alarma del sistema .............................................. 3-79
BGP permitir o denegar .............................................. 3-81
atributos de ruta ................................................ 7-111 tipos ...................................................................... 3-80
comunidades ..................................................... 7-133 carga de seguridad encapsulada
confederaciones ................................................ 7-131 véase ESP
configuraciones, seguridad .............................. 7-120 certificado local .......................................................... 5-25
configuraciones, verificación ........................... 7-119 certificados ................................................................... 5-8
enrutador ........................................................... 7-112 CA ................................................................ 5-22, 5-25
enrutador virtual, creación de una instancia carga ..................................................................... 5-28
en ...................................................................... 7-113 carga de CRL ........................................................ 5-23
equilibrio de carga .............................................. 7-37 local ....................................................................... 5-25
expresiones regulares ....................................... 7-124 petición ................................................................. 5-26
interno ................................................................ 7-112 por medio del correo electrónico ...................... 5-25
introducción al protocolo ................................. 7-110 revocación .................................................. 5-25, 5-35
lista de acceso AS-path ..................................... 7-124 certificados de CA ............................................ 5-22, 5-25
parámetros ......................................................... 7-122 Challenge Handshake Authentication Protocol
tipos de mensaje ............................................... 7-110 véase CHAP
vecinos, autenticación ...................................... 7-120 CHAP ....................................................5-213, 5-217, 9-84
BGP, configuración Chargen ..................................................................... 4-133
grupos de interlocutores................................... 7-115 circuito virtual
interlocutores ..................................................... 7-115 véase VC
pasos ................................................................... 7-112 circuitos de demanda, RIP ...................................... 7-101
BGP, habilitación clasificación del tráfico según IP ............................ 10-73
en interfaz .......................................................... 7-114 clasificación del tráfico según
en VR .................................................................. 7-113 VLAN ............................................. 10-42, 10-43 a 10-69
F G
Fase 1 ............................................................................ 5-9 gatekeeper (equipos selectores) ................................. 6-1
propuestas ............................................................. 5-9 gestión de colas de prioridades ............................. 2-200
propuestas, predefinidas ...................................... 5-9 Gi, interfaz .................................................................. 13-2
Fase 2 .......................................................................... 5-11 globales, zonas ........................................................... 8-83
propuestas ........................................................... 5-11 Gn, interfaz ................................................................. 13-2
propuestas, predefinidas .................................... 5-12 Gopher ...................................................................... 4-134
filtrado de contenido .................................... 4-57 a 4-118 Gp, interfaz ................................................................. 13-2
filtrado de paquetes dinámico ................................... 4-3 gráficos de historial ................................................. 2-174
filtrado de URL Grupo de IP dinámico (DIP) ........................2-145, 2-171
véase filtrado de web grupos
filtrado de Web ........................................................ 2-174 Direcciones ........................................................ 2-105
aplicar perfiles a directivas .............................. 4-108 servicios.............................................................. 2-140
caché .................................................................. 4-103 grupos de direcciones ..................................2-105, 2-168
categorías de URL ............................................. 4-104 crear .................................................................... 2-107
enrutamiento ..................................................... 4-116 edición ................................................................ 2-108
estado del servidor............................................ 4-116 entradas, eliminación ....................................... 2-108
integrado ............................................................ 4-101 opciones ............................................................. 2-106
mensaje de URL bloqueada ............................. 4-115 grupos de dispositivos de seguridad virtuales
nombre del servidor SurfControl .................... 4-113 véase grupos VSD
nombre del servidor Websense ...................... 4-113 grupos de objetos de ataque .................................. 4-139
perfiles ................................................................ 4-106 cambio de gravedad ......................................... 4-140
puerto del servidor SurfControl ....................... 4-113 inicio sesión ....................................................... 4-154
puerto del servidor Websense ......................... 4-113 niveles de gravedad .......................................... 4-139
redirigir............................................................... 4-110 que se aplican en directivas ............................. 4-132
servidores CPA de SurfControl ........................ 4-101 URL de ayuda .................................................... 4-136
servidores de SurfControl ................................ 4-102 grupos de servicios .....................................2-140 a 2-142
servidores por vsys ........................................... 4-112 crear .................................................................... 2-140
SurfControl SCFP............................................... 4-113 eliminar .............................................................. 2-142
tiempo de espera de comunicaciones ............ 4-114 modificar ............................................................ 2-141
tipo de mensaje de URL bloqueada ................ 4-115 grupos de servicios (WebUI) ................................... 2-140
filtrado del prefijo de IMSI ...................................... 13-17 grupos en puente
filtrar ruta de origen ................................................ 3-102 interfaz lógica ...................................................... 2-34
FIN sin indicador ACK............................................... 4-14 separar.................................................................. 2-44
Finger ........................................................................ 4-134 Grupos en puente inalámbricos ........................... 12-154
firma digital ................................................................ 5-20 grupos VSD ....................................................4-185, 11-22
paquetes de petición, sale de IPv6 a IPv4 ............ 14-84 protocolo ligero de acceso a directorios
par de claves pública/privada ................................... 5-23 véase LDAP
parámetro de descubrimiento de vecinos protocolo punto a punto
(NDP) ...........................................................14-21, 14-30 véase PPP
parámetros del sistema .......................................... 2-260 Protocolo punto a punto (PPP) ............................... 14-46
Password Authentication Protocol Protocolo punto a punto a través de ATM
véase PAP Veáse PPPoA
PAT ....................................................................2-143, 8-14 Protocolo punto a punto a través de Ethernet
PCMCIA ....................................................................... 3-60 Véase PPPoE
PFS ........................................................... 5-12, 5-55, 5-61 Protocolo punto a punto sobre Ethernet
PIM-SM ...................................................................... 7-193 (PPPoE) ................................................................... 14-46
configuración de puntos de encuentro ........... 7-209 Protocolos
configuraciones de seguridad .......................... 7-211 CHAP................................................................... 5-213
enrutador designado ......................................... 7-194 IGP ....................................................................... 14-51
IGMPv3 ............................................................... 7-225 NRTP ................................................................... 11-20
instancias, creación .......................................... 7-199 NSRP ..................................................................... 11-1
parámetros de interfaz ..................................... 7-214 PAP...................................................................... 5-213
pasos de configuración ..................................... 7-198 PPP .......................................................... 5-212, 14-46
proxy RP............................................................. 7-215 PPPoE ................................................................. 14-46
puntos de encuentro ......................................... 7-195 VRRP ................................................................... 11-55
tráfico, reenvío .................................................. 7-195 protocolos desconocidos ......................................... 4-246
PIM-SSM.................................................................... 7-197 protocolos, CHAP ....................................................... 9-84
Ping of Death ............................................................. 4-53 Proveedor de servicios de Internet
PKI ............................................................................... 5-22 (ISP) ..................................... 2-225, 14-36, 14-44, 14-96
PKI keys ........................................................................ 3-6 proveedor de servicios, información del ............... 12-70
plantillas Proxies de IGMP ....................................................... 7-173
directiva de seguridad ...................................... 4-189 emisor ................................................................. 7-185
Portmapper .............................................................. 4-134 en interfaces ...................................................... 7-176
PPP .................................................................5-212, 12-70 Puerta de enlace de destino ................................... 14-96
PPPoA................................................. 12-70, 12-72, 12-79 Puerta de enlace de siguiente salto ....................... 14-31
PPPoE .............................................................12-70, 12-79 Puerta de enlace en la capa de aplicación
PPPoE - Protocolo punto a punto sobre véase ALG
Ethernet ................................................................. 14-46 puertas de enlace redundantes .................5-301 a 5-314
propuestas comprobación de indicador TCP SYN............. 5-307
Fase 1 ............................................................5-9, 5-72 procedimiento de recuperación ...................... 5-306
Fase 2 ..........................................................5-11, 5-72 puertos
protección contra ataques asignación .................................................... 8-4, 8-28
nivel de directivas ................................................. 4-5 cambio en caso de fallo .................................... 11-43
nivel de zona de seguridad .................................. 4-5 números ............................................................... 8-88
protección contra reprocesamiento de paquetes... 5-12 principales, trusted y untrusted ....................... 11-43
protección contra URL maliciosas ................4-58 a 4-61 redundantes ......................................................... 11-2
Protocolo de administración de grupos de Internet secundarios, trusted y untrusted ..................... 11-43
véase IGMP puertos de módem .......................................... 3-20, 3-22
Protocolo de encapsulamiento de GPRS (GTP) Puertos NSRP
véase GTP cambio en caso de fallo .................................... 11-43
Protocolo de encapsulamiento de punto a punto puertos troncales ..................................................... 10-45
(PPTP)..................................................................... 3-101 puertos troncales, modo transparente .................. 10-44
Protocolo de información de enrutamiento puertos, módem............................................... 3-20, 3-22
véaseRIP pulsos
protocolo de puerta de enlace interior (IGP) ........ 14-51 conexión física HA .............................................. 11-7
Protocolo de transferencia de hipertexto (HTTP), RTO ....................................................................... 11-7
ID de sesión ............................................................... 3-4 Punto a punto
protocolo de transporte fiable de NetScreen Consulte P2P
véase NRTP Punto de terminación remoto ................ 14-100, 14-104
Puntos de finalización de túnel .............................. 14-99 2326, Protocolo de secuencias en tiempo real
PXE ............................................................................ 2-239 (RTSP) .............................................2-132, 2-136
2474, Definición del campo de Servicios
Q diferenciados (campo DS) en los encabezados
QoS (calidad del servicio) ....................................... 2-195 de IPv4 e IPv6............................................. 2-176
791, Internet Protocol ..................................... 4-11
R 791, protocolo de Internet ............................... 4-10
RA – Notificación de enrutador ............................. 14-12 793, Protocolo de control de transmisión ......... 4-14
RADIUS .......................................3-42, 4-134, 9-19 a 9-23 RFC 1777, Protocolo ligero de acceso a
archivo de diccionario .................................9-3, 9-22 directorios ......................................................... 9-31
L2TP .................................................................... 5-217 RIP
objetos de servidor auth ..................................... 9-34 autenticación de vecinos .................................... 7-92
propiedades del objeto ....................................... 9-20 base de datos ....................................................... 7-99
puertos ................................................................. 9-20 configuración ..................................................... 14-53
secreto compartido ............................................. 9-20 configuración de circuito de demanda ........... 7-101
tiempo de espera entre reintentos.................... 9-20 equilibrio de carga .............................................. 7-37
RADIUS, archivo de diccionario de ........................... 9-3 filtrado de vecinos ............................................... 7-93
RADIUSv6 ............................................................... 14-130 instancias, creación en VR ......................7-82, 14-54
reconocimiento ................................................. 4-7 a 4-27 interfaces, habilitar en .............................7-83, 14-55
análisis FIN .......................................................... 4-16 inundaciones, protección contra ............7-94, 14-59
barrida de puertos ................................................ 4-9 parámetros de interfaz ............................7-90, 14-60
barrido de direcciones .......................................... 4-8 parámetros globales.................................7-89, 14-55
indicadores SYN y FIN activados ...................... 4-13 punto a multipunto ........................................... 7-103
Opciones IP.......................................................... 4-10 resumen de prefijo .............................................. 7-98
paquete TCP sin indicadores ............................. 4-15 vecinos, filtrado ................................................. 14-57
Red de área local inalámbrica versiones .............................................................. 7-96
véase WLAN versiones, protocolo............................................ 7-96
red, ancho de banda ............................................... 2-195 RIP, configuración
redes privadas virtuales circuitos de demanda ....................................... 7-101
véase VPNs pasos ..................................................................... 7-81
reensamblaje de fragmentos ......................... 4-58 a 4-61 seguridad .............................................................. 7-92
registro de eventos .................................................... 3-61 RIP, visualización
registro de recuperación de activos......................... 3-72 base de datos ............................................7-86, 14-66
registro propio ........................................................... 3-70 detalles de interfaz .............................................. 7-88
registro, tráfico .......................................................... 13-5 detalles de protocolo................................7-86, 14-66
reglas, derivadas de las directivas ......................... 2-166 información de vecinos ...........................7-87, 14-67
reloj del sistema.......................................... 2-256 a 2-261 RIPng..............................................................14-49, 14-51
fecha y hora ....................................................... 2-257 cálculo del valor métrico .................................. 14-62
huso horario ...................................................... 2-257 métrica de diferencia .............................14-61, 14-62
sincronización con cliente ............................... 2-257 métrica de ruta .......................................14-61, 14-62
reparto de carga....................................................... 11-84 redistribución de rutas...................................... 14-51
requisitos del explorador ............................................ 3-2 valor métrico del coste de la interfaz ..14-61, 14-62
requisitos del explorador web .................................... 3-2 rlogin ......................................................................... 4-134
rexec ......................................................................... 4-134 rsh.............................................................................. 4-134
RFC RSH ALG ................................................................... 2-128
0792, Protocolo de mensajes de control de RTO
Internet ...................................................... 2-128 estados de funcionamiento .............................. 11-17
1038, Opción de seguridad IP revisada ............ 4-11 interlocutores ..................................................... 11-23
1349, Tipo de servicio en el Suite de protocolo sincronización ................................................... 11-21
de Internet.................................................. 2-176 RTOs .............................................................11-16 a 11-17
1918, Asignación de direcciones para Internet RTSP .......................................................................... 4-134
privadas ....................................................... 2-46 RTSP ALG
2132, Opciones de DHCP y extensiones de códigos de estado.............................................. 2-135
proveedores de BOOTP ................................ 2-233 definido .............................................................. 2-132
Volumen 2:
Fundamentos
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen ix
Convenciones del documento .......................................................................... x
Convenciones de la interfaz de usuario web .............................................. x
Convenciones de interfaz de línea de comandos ....................................... x
Convenciones de nomenclatura y conjuntos de caracteres ....................... xi
Convenciones para las ilustraciones ........................................................ xii
Asistencia y documentación técnica.............................................................. xiii
Capítulo 2 Zonas 25
Ver las zonas preconfiguradas........................................................................ 26
Zonas de seguridad ........................................................................................ 27
Zona Global ............................................................................................. 28
Opciones SCREEN ................................................................................... 28
Asociar una interfaz de túnel a una zona de túnel .......................................... 28
Configuración de zonas de seguridad y zonas de túnel .................................. 30
Creación de una zona .............................................................................. 30
Modificación de una zona........................................................................ 31
Eliminación de una zona ......................................................................... 32
Zonas de función ........................................................................................... 32
Capítulo 3 Interfaces 33
Tipos de interfaces......................................................................................... 33
Interfaces lógicas ..................................................................................... 33
Interfaces físicas ............................................................................... 34
Interfaces inalámbricas ..................................................................... 34
Contenido iii
Manual de referencia de ScreenOS: Conceptos y ejemplos
iv Contenido
Contenido
Contenido v
Manual de referencia de ScreenOS: Conceptos y ejemplos
vi Contenido
Contenido
Contenido vii
Manual de referencia de ScreenOS: Conceptos y ejemplos
Índice ........................................................................................................................IX-I
viii Contenido
Acerca de este volumen
ix
Manual de referencia de ScreenOS: Conceptos y ejemplos
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Para abrir la ayuda en línea para los ajustes de configuración, haga clic en el signo
de interrogación (?) en la parte superior izquierda de la pantalla.
En ejemplos:
NOTA: Para introducir palabras clave, basta con introducir los primeros caracteres para
identificar la palabra de forma inequívoca. Al escribir set adm u whee j12fmt54
se ingresará el comando set admin user wheezer j12fmt54. Sin embargo, todos
los comandos documentados aquí se encuentran presentes en su totalidad.
Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá
estar entre comillas dobles; por ejemplo:
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Interfaz de túnel
Servidor
Túnel VPN
Enrutador
Dispositivos de seguridad
Conmutador Juniper Networks
Concentrador
“Directivas” en la página 5
1
Manual de referencia de ScreenOS: Conceptos y ejemplos
Zonas de seguridad
Una zona de seguridad es un conjunto de uno o varios segmentos de red que
requieren que se controle el tráfico entrante y saliente por medio de directivas
(consulte “Directivas” en la página 5). Las zonas de seguridad son entidades lógicas
que tienen asociadas una o varias interfaces. Si dispone de distintos tipos de
dispositivos de seguridad de Juniper Networks, podrá definir múltiples zonas de
seguridad, la cantidad exacta de éstas dependerá de las necesidades de su red.
Además de las zonas definidas por el usuario, también puede utilizar las zonas
predefinidas: Trust, Untrust y DMZ (para el funcionamiento de la capa 3),
o V1-Trust, V1-Untrust y V1-DMZ (para el funcionamiento de la capa 2). Si lo desea,
puede seguir utilizando sólo las zonas predefinidas. También puede ignorar las
zonas predefinidas y utilizar exclusivamente las zonas definidas por el usuario.
También es posible utilizar los dos tipos de zonas (predefinidas y definidas por el
usuario) simultáneamente. Esta flexibilidad en la configuración de las zonas
permite diseñar la red que mejor responda a sus necesidades específicas. Consulte
la Figura 2.
NOTA: La única zona de seguridad que no necesita ningún segmento de red es la zona
global. (Para obtener más información, consulte “Zona Global” en la página 28).
Se considera que una zona sin interfaces asociadas y sin registros en la libreta de
direcciones no contiene segmentos de red.
Si actualiza una versión anterior de ScreenOS, todas las configuraciones para estas
zonas permanecerán intactas.
La Figura 2 muestra una red configurada con cinco zonas de seguridad, tres zonas
predeterminadas (Trust, Untrust, DMZ) y dos zonas definidas por el usuario
(Finance, Ingeniería). El tráfico pasa de una zona de seguridad a otra únicamente si
lo permite una directiva.
Finance
Untrust
Trust
Motor de Dispositivo
directivas de seguridad
Eng DMZ
2 Zonas de seguridad
Capítulo 1: Arquitectura de ScreenOS
Mediante las directivas que usted defina, podrá permitir que el tráfico entre zonas
fluya en un solo sentido o en ambos. Al definir las rutas, estará especificando las
interfaces que el tráfico tendrá que utilizar para pasar de una zona a otra. Como es
posible asociar múltiples interfaces a una zona, las rutas diseñadas tienen una gran
importancia a la hora de dirigir el tráfico a las interfaces deseadas.
NOTA: Para intercambiar tráfico entre dos interfaces asociadas a una misma zona no se
requiere ninguna directiva, ya que ambas tendrán el mismo nivel de seguridad.
ScreenOS necesita directivas para controlar el tráfico entre zonas, no dentro de
ellas.
Para permitir que el tráfico fluya de una zona a otra, debe enlazar una interfaz a la
zona, en el caso de una interfaz en modo de ruta o en modo NAT (consulte “Modos
de las interfaces” en la página 79), asigne una dirección IP a la interfaz. Dos tipos
de interfaz comúnmente utilizados son las interfaces físicas y, en dispositivos que
admitan sistemas virtuales, las subinterfaces (es decir, la realización de una interfaz
física en la capa 2). Para obtener más información, consulte “Interfaces” en la
página 33.
Interfaces físicas
Una interfaz física se refiere a los componentes físicamente presentes en el
dispositivo de seguridad. Las convenciones de nomenclatura de interfaces difieren
de un dispositivo a otro.
Subinterfaces
En los dispositivos que admiten redes LAN virtuales (VLAN), una interfaz física se
puede dividir lógicamente en varias subinterfaces virtuales, que ocupan el ancho de
banda que precisan en cada momento de la interfaz física de la que proceden. Una
subinterfaz es un elemento abstracto con funciones idénticas a las de una interfaz
física, de la que se diferencia por el etiquetado VLAN 802.1 Q. El dispositivo de
seguridad dirige el tráfico desde o hacia una zona con una subinterfaz a través de su
dirección IP y su etiqueta VLAN. Por razones prácticas, los administradores
normalmente utilizan el mismo número para la etiqueta VLAN y para la subinterfaz.
Por ejemplo, la interfaz ethernet1/2 con la etiqueta VLAN 3 se llamará ethernet1/2.3.
Así se identifica el módulo de interfaz que se encuentra en el primer bastidor, el
segundo puerto del módulo y la subinterfaz número 3 (ethernet1/2.3).
NOTA: 802.1Q es una norma IEEE que define los mecanismos para implementar redes
LAN virtuales enlazadas y los formatos de trama Ethernet utilizados para indicar la
pertenencia a una VLAN mediante etiquetas VLAN.
Observe que aunque una subinterfaz comparte parte de su identidad con una
interfaz física, la zona a la que se asocia es independiente de la zona a la que se
asocia la interfaz física. Puede asociar la subinterfaz ethernet1/2.3 a una zona
distinta de la utilizada para la interfaz física ethernet1/2 o a la que desee asociar
ethernet1/2.2. Asimismo, no hay restricciones en cuanto a la asignación de
direcciones IP. El término subinterfaz no implica que su dirección se encuentre en
una subred dentro del espacio de direcciones de la interfaz física.
Enrutadores virtuales
Un enrutador virtual (VR) funciona como un enrutador. Dispone de sus propias
interfaces y de sus propias tablas de enrutamiento unicast y multicast. En
ScreenOS, un dispositivo de seguridad admite dos enrutadores virtuales
predefinidos. Esto permite al dispositivo de seguridad mantener dos tablas de
enrutamiento unicast y multicast independientes y ocultar la información de
enrutamiento de un enrutador al otro. Por ejemplo, untrust-vr se suele utilizar para
la comunicación con interlocutores sin confianza, por lo que no contiene
información de enrutamiento para las zonas protegidas. La información de
enrutamiento de las zonas protegidas se actualiza por medio de trust-vr. Por lo
tanto, no es posible recopilar información interna de la red mediante la extracción
no autorizada de información sobre las rutas, desde untrust-vr, consulte la Figura 3.
Finance
Untrust
Trust
Reenvío de rutas
4 Enrutadores virtuales
Capítulo 1: Arquitectura de ScreenOS
Directivas
Los dispositivos de seguridad de Juniper Networks aseguran la red inspeccionando,
y luego permitiendo o denegando, todo intento de conexión que necesite pasar de
una zona de seguridad a otra.
Zona Zona
Untrust Untrust
Zona Zona
Trust Trust
Directivas 5
Manual de referencia de ScreenOS: Conceptos y ejemplos
Cada vez que un paquete intenta pasar de una zona a otra o entre dos interfaces
enlazadas a la misma zona, el dispositivo de seguridad comprueba si en su lista de
directivas existe alguna que permita ese tipo de tráfico (consulte “Listas de
conjuntos de directivas” en la página 164). Para que el tráfico pueda pasar de una
zona de seguridad a otra (p. ej., de la zona A a la zona B), es necesario configurar
una directiva que permita que la zona A envíe tráfico a la zona B. Para que el tráfico
pueda pasar en sentido inverso, se debe configurar otra directiva que permita el
tráfico de la zona B a la zona A. Para que cualquier tipo de tráfico pase de una zona
a otra, debe haber una directiva que lo permita. Asimismo, cuando está habilitado
el bloqueo intrazonal (bloqueo del interior de una zona), deberá existir una directiva
que permita que el tráfico pase de una interfaz a otra dentro de esa misma zona.
Consulte la Figura 5 en la página 6.
Finance
Untrust
Motor de
Trust directivas
DMZ
Eng Nota: El icono del castillo
representa una interfaz en una
zona de seguridad.
Reenvío de rutas
6 Directivas
Capítulo 1: Arquitectura de ScreenOS
VPN basada en rutas: mediante una consulta de rutas se determina qué tráfico
encapsulará el dispositivo de seguridad. Las directivas permiten o deniegan el
tráfico hacia el destino especificado en la ruta. Si la directiva permite el tráfico
y la ruta hace referencia a una interfaz de túnel asociada a un túnel VPN, el
dispositivo de seguridad también encapsulará dicho tráfico. Esta configuración
gestiona por separado la aplicación de directivas de la aplicación de túneles
VPN. Una vez configurados, estos túneles estarán disponibles como recursos
para asegurar el tráfico que circula entre una zona de seguridad y otra.
Una VPN basada en rutas es la opción adecuada para configuraciones VPN punto
a punto, ya que es posible aplicar múltiples directivas al tráfico que pasa a través de
un único túnel VPN. La VPN basada en directivas resulta adecuada para
configuraciones VPN de acceso telefónico, ya que el cliente de acceso telefónico
probablemente no dispone de una dirección IP interna hacia la que establecer una
ruta. Consulte la Figura 6.
2. Cree una interfaz de túnel (p. ej., tunnel.1) y asóciela a una zona de seguridad.
4. Para dirigir el tráfico a través de este túnel, configure una ruta indicando que el
tráfico hacia SF debe utilizar tunnel.1.
tunnel.1 vpn-a-SF
Paquete enviado Paquete entrando
Llegados a este punto, el túnel está listo para el tráfico dirigido a SF. Ahora puede
crear registros en la libreta de direcciones, como “Trust LAN” (10.1.1.0/24) y “SF
LAN” (10.2.2.0/24), y configurar directivas para permitir o bloquear distintos tipos
de tráfico desde un origen determinado, como “Trust LAN”, y hacia un destino
determinado, como “SF LAN”. Consulte la Figura 7 en la página 8.
Interfaz
tunnel.1
Dominio de
enrutamiento trust-vr
Zona Trust
eth3/2–10.1.1.1/24
Para llegar, utilice
10.1.1.0/24 eth3/2
0.0.0.0/0 untrust-vr
NOTA: Para obtener información detallada sobre las VPN, consulte el Volumen 5:
Redes privadas virtuales.
Sistemas virtuales
Algunos dispositivos de seguridad de Juniper Networks admiten sistemas virtuales
(vsys). Un sistema virtual es una subdivisión del sistema principal que para el
usuario aparece como una entidad independiente. Los sistemas virtuales se
encuentran separados del sistema raíz y entre sí dentro de un mismo dispositivo de
seguridad. La aplicación de ScreenOS a los sistemas virtuales implica la
coordinación de tres componentes principales: zonas, interfaces y enrutadores
virtuales. La Figura 8 presenta de forma conceptual cómo ScreenOS integra estos
componentes tanto a nivel de raíz como a nivel de sistema virtual.
8 Sistemas virtuales
Capítulo 1: Arquitectura de ScreenOS
untrust-vr Finance
DMZ
Interfaz compartida
por vsys1 y raíz
sistema raíz vsys1-vr
Untrust
Trust-vsys1
Subinterfaz vsys1
dedicada para
vsys2 vsys2-vr
vsys2
Trust-vsys2
vsys3
interfaz física
dedicada para vsys3 vsys3-vr
Trust-vsys3
NOTA: Para obtener más información sobre sistemas virtuales y la aplicación de zonas,
interfaces y enrutadores virtuales en el contexto de sistemas virtuales, consulte el
Volumen 10: Sistemas virtuales.
Sistemas virtuales 9
Manual de referencia de ScreenOS: Conceptos y ejemplos
Paquete
entrante
Filtro Consulta MIP/VIP Consulta Consulta de NAT-Dst y Crear Realizar
SCREEN de sesiones Host IP de rutas directivas NAT-Src sesión operación
Tramas jumbo
En algunos es posible aumentar el rendimiento aumentando el tamaño máximo de
paquete o la unidad de transmisión del mensaje (MTU), que el dispositivo puede
procesar. Consulte el manual del hardware para verificar si su dispositivo es
compatible con las tramas jumbo.
Los rangos de tamaño de trama van desde 1514 hasta 9830 bytes. Para colocar el
dispositivo en modo de trama jumbo, ajuste el tamaño máximo de la trama a un
valor desde 1515 hasta 9830 inclusive, por ejemplo: set envar
max-frame-size=9830. Utilice el comando unset envar max-frame-size para que
el dispositivo recupere un tamaño normal máximo de trama, que es de 1.514 bytes
(si lo prefiere, puede utilizar el comando: set envar max-frame-size=1514). El
tamaño máximo de trama no incluye la secuencia de verificación de trama de
4 bytes al final de la trama. Debe reiniciar el sistema para que los cambios a las
variables de entorno tengan vigencia.
Finance
Trust
Tramas jumbo 13
Manual de referencia de ScreenOS: Conceptos y ejemplos
Eng
Untrust
DMZ
Las zonas Trust, Untrust y DMZ están configuradas previamente. Usted definirá las
zonas Finance, Eng y Mail. De forma predeterminada, las zonas definidas por el
usuario se ubican en el dominio de enrutamiento trust-vr. Por lo tanto, no es
necesario especificar un enrutador virtual para las zonas Finance y Eng. Sin
embargo, además de configurar la zona Mail, también deberá especificar que se
encuentre en el dominio de enrutamiento untrust-vr. Asimismo debe transferir los
enlaces de los enrutadores virtuales de las zonas DMZ y Untrust de trust-vr a
untrust-vr, consulte la Figura 10 en la página 14.
NOTA: Para obtener más información sobre enrutadores virtuales y sus dominios de
enrutamiento, consulte el Volumen 7: Enrutamiento.
Finance Mail
Trust Untrust
Eng DMZ
WebUI
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Network > Zones > Edit (para Untrust): Seleccione untrust-vr en la lista
desplegable Virtual Router Name, luego haga clic en OK.
Network > Zones > Edit (para DMZ): Seleccione untrust-vr en la lista
desplegable Virtual Router Name, luego haga clic en OK.
CLI
set zone name finance
set zone name eng
set zone name mail
set zone mail vrouter untrust-vr
set zone untrust vrouter untrust-vr
set zone dmz vrouter untrust-vr
save
Trust Untrust
10.1.1.1/24 1.1.1.1/24
eth3/2 eth1/2
Eng
10.1.3.1/24 DMZ
eth3/1 1.2.2.1/24
eth2/2
WebUI
1. Interfaz ethernet3/2
Network > Interfaces > Edit (para ethernet3/2): Introduzca los siguientes
datos y haga clic en OK:
6. Interfaz ethernet1/2
Network > Interfaces > Edit (para ethernet1/2): Introduzca los siguientes
datos y haga clic en OK:
CLI
1. Interfaz ethernet3/2
set interface ethernet3/2 zone trust
set interface ethernet3/2 ip 10.1.1.1/24
set interface ethernet3/2 manage ping
set interface ethernet3/2 manage webui
set interface ethernet3/2 manage telnet
set interface ethernet3/2 manage snmp
set interface ethernet3/2 manage ssh
2. Interfaz ethernet3/2.1
set interface ethernet3/2.1 tag 1 zone finance
set interface ethernet3/2.1 ip 10.1.2.1/24
set interface ethernet3/2.1 manage ping
3. Interfaz ethernet3/1
set interface ethernet3/1 zone eng
set interface ethernet3/1 ip 10.1.3.1/24
set interface ethernet3/1 manage ping
4. Interfaz ethernet1/1
set interface ethernet1/1 zone mail
set interface ethernet1/1 ip 1.3.3.1/24
5. Interfaz ethernet1/1.2
set interface ethernet1/1.2 tag 2 zone mail
set interface ethernet1/1.2 ip 1.4.4.1 /24
6. Interfaz ethernet1/2
set interface ethernet1/2 zone untrust
set interface ethernet1/2 ip 1.1.1.1/24
set interface ethernet1/2 manage snmp
7. Interfaz ethernet2/2
set interface ethernet2/2 zone dmz
set interface ethernet2/2 ip 1.2.2.1/24
save
trust-vr untrust-vr
Finance
10.1.2.1/24 1.3.3.1/24
Etiqueta VLAN 1 eth1/1, ruta Mail
eth3/2.1, NAT
1.4.4.1/24
Etiqueta VLAN 2
eth1/1.2, ruta
Trust Untrust
10.1.1.1/24 1.1.1.1/24
eth3/2, NAT eth1/2, ruta
Eng DMZ
10.1.3.1/24 1.2.2.1/24
eth3/1, NAT eth2/2, ruta
Reenvío de rutas
WebUI
Network > Routing > Destination > (select trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Destination > (select untrust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr
set vrouter untrust-vr route 0.0.0.0/0 interface eth1/2 gateway 1.1.1.254
save
Utilizar puerta de
Para llegar a: Utilizar interfaz: enlace/Vrouter: Creada por:
0.0.0.0/0 n/a untrust-vr Configurado por el usuario
10.1.3.0/24 eth3/1 0.0.0.0 Dispositivo de seguridad
10.1.1.0/24 eth3/2 0.0.0.0 Dispositivo de seguridad
10.1.2.0/24 eth3/2.1 0.0.0.0 Dispositivo de seguridad
Utilizar puerta de
Para llegar a: Utilizar interfaz: enlace/Vrouter: Creada por:
1.2.2.0/24 eth2/2 0.0.0.0 Dispositivo de seguridad
1.1.1.0/24 eth1/2 0.0.0.0 Dispositivo de seguridad
1.4.4.0/24 eth1/1.2 0.0.0.0 Dispositivo de seguridad
1.3.3.0/24 eth1/1 0.0.0.0 Dispositivo de seguridad
0.0.0.0/0 eth1/2 1.1.1.254 Configurado por el usuario
Finance
Mail
Motor de
Trust directivas Untrust
Eng
DMZ
Reenvío de rutas
Para que este ejemplo funcione, antes de comenzar a configurar nuevas directivas
es necesario crear nuevos grupos de servicios.
WebUI
1. Grupos de servicios
Policy > Policy Elements > Services > Groups > New: Introduzca los
siguientes datos y haga clic en OK:
Seleccione Mail y utilice el botón << para mover ese servicio desde la
columna “Available Members” hacia la columna “Group Members”.
Seleccione Pop3 y utilice el botón << para mover ese servicio desde la
columna “Available Members” hacia la columna “Group Members”.
Policy > Policy Elements > Services > Groups > New: Introduzca los
siguientes datos y haga clic en OK:
Seleccione HTTP y utilice el botón << para mover ese servicio desde la
columna “Available Members” hacia la columna “Group Members”.
Seleccione FTP-Get y utilice el botón << para mover ese servicio desde la
columna “Available Members” hacia la columna “Group Members”.
2. Directivas
Policy > Policies > (From: Finance, To: Mail} New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail-Pop3
Action: Permit
Policy > Policies > (From: Trust, To: Mail} New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail-Pop3
Action: Permit
Policy > Policies > (From: Eng, To: Mail} New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail-Pop3
Action: Permit
Policy > Policies > (From: Untrust, To: Mail} New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail
Action: Permit
Policy > Policies > (From: Finance, To: Untrust} New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Policy > Policies > (From: Finance, To: DMZ} New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Policy > Policies > (From: Trust, To: Untrust} New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Policy > Policies > (From: Trust, To: DMZ} New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Policy > Policies > (From: Eng, To: DMZ} New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Policy > Policies > (From: Eng, To: DMZ} New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: FTP-Put
Action: Permit
Policy > Policies > (From: Untrust, To: DMZ} New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
CLI
1. Grupos de servicios
set group service mail-pop3 add mail
set group service mail-pop3 add pop3
set group service http-ftpget add http
set group service http-ftpget add ftp-get
2. Directivas
set policy from finance to mail any any mail-pop3 permit
set policy from trust to mail any any mail-pop3 permit
set policy from eng to mail any any mail-pop3 permit
set policy from untrust to mail any any mail permit
set policy from finance to untrust any any http-ftpget permit
set policy from finance to dmz any any http-ftpget permit
set policy from trust to untrust any any http-ftpget permit
set policy from trust to dmz any any http-ftpget permit
set policy from eng to untrust any any http-ftpget permit
set policy from eng to dmz any any http-ftpget permit
set policy from eng to dmz any any ftp-put permit
set policy from untrust to dmz any any http-ftpget permit
save
Una zona puede ser un segmento del espacio de red al que se aplican medidas de
seguridad (zona de seguridad), un segmento lógico que tiene asociada una interfaz
de túnel VPN (zona de túnel) o una entidad física o lógica que realiza una función
específica (zona de función).
Este capítulo examina cada uno de los tipos de zonas con un especial énfasis en la
zona de seguridad. Incluye las siguientes secciones:
25
Manual de referencia de ScreenOS: Conceptos y ejemplos
Para visualizar estas zonas con la CLI, utilice el comando get zone. Consulte la
Figura 15 en la página 27.
ID Name) Type) Attr) VR) Default-IF) VSYS) Estas zonas (ID 0 y 10) no tienen ni
0) Null) Null) Shared) untrust-vr) null) Root) pueden tener una interfaz.
1) Untrust) Sec(L3)) Shared) trust-vr) ethernet1/2) Root)
2) Trust) Sec(L3)) ) trust-vr) ethernet3/2) Root)
3) DMZ) Sec(L3)) ) trust-vr) ethernet2/2) Root) Estas zonas (ID 1-3 y 11-14) proporcionan
4) Self) Func) ) trust-vr) self) Root) compatibilidad con versiones anteriores al actualizar
5) MGT) Func) ) trust-vr) mgt) Root) de una versión anterior a ScreenOS 3.1.0; las 3
6) HA) Func) ) trust-vr) ha) Root) superiores para dispositivos en modo NAT o de
10) Global) Sec(L3)) ) trust-vr) null) Root) rutas, las 3 inferiores para dispositivos en modo
11) V1-Untrust) Sec(L2))) trust-vr) v1-untrust) Root) transparente.
12) V1-Trust) Sec(L2)) ) trust-vr) v1-trust) Root)
13) V1-DMZ) Sec(L2)) ) trust-vr) v1-dmz) Root)
14) VLAN) Func) ) trust-vr vlan) Root)
16) Untrust-Tun) Tun)) trust-vr) null) Root)
-----------------------------------------------------------------------
De forma predeterminada, las interfaces de túnel VPN están asociadas a la zona Untrust-Tun,
cuya zona portadora es la zona Untrust. (Durante la actualización, los túneles existentes se
Los números de zona 7 a 9 y 15 están reservados para asocian a la zona Untrust-Tun).
uso futuro.
Túnel: Untrust-Tun
Zonas de seguridad
En un solo dispositivo de seguridad puede configurar varias zonas de seguridad
dividiendo la red en segmentos a los que puede aplicar diversas opciones de
seguridad para satisfacer las necesidades de cada segmento. Deben definirse como
mínimo dos zonas de seguridad, básicamente para proteger un área de la red de la
otra. En algunas plataformas de seguridad puede definir muchas zonas de
seguridad, lo que refina aún más la granularidad del diseño de seguridad de la red,
y sin implementar múltiples dispositivos de seguridad para ello.
Zonas de seguridad 27
Manual de referencia de ScreenOS: Conceptos y ejemplos
Zona Global
Puede identificar una zona de seguridad porque tiene una libreta de direcciones
y se puede hacer referencia a ella en directivas. La zona Global satisface estos
criterios. Sin embargo, le falta un elemento del que sí disponen las demás zonas de
seguridad: una interfaz. La zona Global sirve como área de almacenamiento de
direcciones IP asignadas (MIP) y direcciones IP virtuales (VIP). La dirección
predefinida “Any” de la zona Global puede aplicarse a todas las MIPs, VIPs y a otras
direcciones definidas por el usuario establecidas en la zona Global. Dado que el
tráfico dirigido a estas direcciones se asigna a otras direcciones, la zona Global no
requiere una interfaz para que el tráfico fluya a través de ella.
NOTA: Cualquier directiva que utilice la zona Global como su destino no puede admitir
NAT ni asignación de tráfico.
Opciones SCREEN
Un cortafuegos Juniper Networks asegura una red inspeccionando, y luego
permitiendo o denegando, todos los intentos de conexión que necesiten pasar de
una zona de seguridad a otra. Por cada zona de seguridad, y la zona MGT, puede
habilitar un conjunto de opciones SCREEN predefinidas que detecten y bloqueen
diversos tipos de tráfico que el dispositivo de seguridad identifica como
potencialmente dañinos.
Para obtener más información sobre las opciones SCREEN disponibles, consulte el
Volumen 4: Detección ataques y mecanismos de defensa.
NOTA: El sistema raíz y todos los sistemas virtuales pueden compartir la zona Untrust.
Sin embargo, cada sistema tiene su propia zona Untrust-Tun separada.
El tráfico saliente entra en la zona de túnel a través de la interfaz de túnel, es encapsulado y sale a través de la interfaz de la zona de seguridad.
El tráfico entrante accede a través de la interfaz de la zona de seguridad, es desencapsulado en la zona de túnel, y sale a través de la interfaz de túnel.
WebUI
1. Interfaz de túnel
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
CLI
1. Interfaz de túnel
set interface tunnel.3 zone Untrust-Tun
set interface tunnel.3 ip 3.3.3.3/24
2. MIP
set interface tunnel.3 mip 3.3.3.5 host 10.1.1.5
save
WebUI
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Type:
Seleccione Tunnel Out Zone cuando cree una zona de túnel y la asocie
a una zona portadora, luego seleccione una zona portadora específica
en la lista desplegable.
NOTA: El nombre de una zona de seguridad de capa 2 (Layer 2) debe comenzar con
“L2-”; por ejemplo, “L2-Corp” o “L2-XNet”.
CLI
set zone name zona [ l2 núm_id_vlan | tunnel zona_seg ]
set zone zona block
set zone zona vrouter cadena_nombre
save
NOTA: Al crear una zona de seguridad de capa 2 (Layer 2), el número de identificación
VLAN-ID debe ser 1 (para VLAN1).
NOTA: Antes de poder eliminar una zona, primero debe desasociar todas las interfaces
asociadas a ella.
Antes de poder cambiar el enrutador virtual para una zona debe primero eliminar
cualquier interfaz asociada a ella.
WebUI
1. Modificación del nombre de una zona
Network > Zones: Haga clic en Remove (para la zona de seguridad o zona de
túnel cuyo nombre desea cambiar o para la zona de túnel cuya zona portadora
desea cambiar).
Network > Zones > New: Introduzca los ajustes de zona con sus cambios,
luego haga clic en OK.
CLI
1. Modificación del nombre de una zona
unset zone zona
set zone name zona [ l2 núm_id_vlan | tunnel zona_seg ]
WebUI
Network > Zones: Haga clic en Remove (para la zona que desee eliminar).
CLI
unset zone zona
save
NOTA: Antes de poder eliminar una zona, primero debe desasociar todas las interfaces
asociadas a ella. Para desasociar una interfaz de una zona, consulte “Asociación de
una interfaz a una zona de seguridad” en la página 43.
Zonas de función
Las cinco zonas de función son Null, MGT, HA, Self y VLAN. Cada zona existe con un
solo propósito, según se explica en la Tabla 3.
32 Zonas de función
Capítulo 3
Interfaces
Las interfaces y subinterfaces físicas permiten que entre y salga tráfico de una zona
de seguridad. Para permitir que el tráfico de una red fluya dentro y fuera de una
zona de seguridad, ésta debe tener asociada una interfaz y, si se trata de una zona
de capa 3, deberá asignársele una dirección IP. A continuación se deberán
configurar directivas para permitir que el tráfico pase de interfaz en interfaz entre
las diferentes zonas. Se pueden asignar varias interfaces a una zona, pero una
misma interfaz no se puede asignar a varias zonas.
Tipos de interfaces
Esta sección describe las interfaces lógicas, las interfaces de zona de función y las
interfaces de túnel. Para obtener más información sobre cómo ver una tabla de
todas estas interfaces, consulte “Visualización de interfaces” en la página 41.
Interfaces lógicas
La finalidad de las interfaces lógicas es proporcionar una abertura por la que el
tráfico de red pueda pasar de una zona a otra. ScreenOS admite los siguientes tipos
de interfaces lógicas:
Interfaces físicas
Interfaces inalámbricas
Tipos de interfaces 33
Manual de referencia de ScreenOS: Conceptos y ejemplos
Subinterfaces
Interfaces agregadas
Interfaces redundantes
Interfaces físicas
El nombre de una interfaz física está compuesto del tipo de medio, número de
ranuras (para algunos dispositivos) y número de índice, por ejemplo, ethernet3/2,
ethernet0/2, wireless2, wireless0/2, bgroup2, serial0/0, serial0/2, bri0/0, or adsl0/2.
Puede asociar una interfaz física a cualquier zona de seguridad en la que actúe
como entrada a través de la que el tráfico entre y salga de la zona. Sin una interfaz,
no hay tráfico que pueda entrar ni salir de una zona.
Interfaces inalámbricas
Una interfaz inalámbrica, al igual que una interfaz física, actúa como puerta por la
que entra y sale el tráfico de una zona de seguridad. Cada dispositivo de seguridad
inalámbrico permite que hasta cuatro interfaces inalámbricas (wireless0/0 —
wireless0/3) estén en línea simultáneamente.
Para los dispositivos que están configurados previamente con los grupos de puente,
existen dos sistemas diferentes de numeración de grupo de puente. En algunos
dispositivos, las interfaces de bgroup preconfiguradas se identifican como bgroup0
hasta bgroup3. En otros dispositivos, las interfaces de bgroup preconfiguradas se
identifican como bgroup0/0 hasta bgroup0/2.
En algunos dispositivos que son compatibles con los módulos instalables en campo
como PIM o mini-PIM, puede crear bgroups que contengan algunos o todos los
puertos Ethernet en el módulo. En estos dispositivos, cree bgroups identificados
como bgroupx/y, donde x es el número de ranura para el módulo que contiene los
puertos agrupados y es un número que asigna cuando crea el grupo de puente.
34 Tipos de interfaces
Capítulo 3: Interfaces
Puede asociar una interfaz de grupo en puente a cualquier zona. (Para obtener más
información, consulte “Asociación de una interfaz a una zona de seguridad” en la
página 43).
Subinterfaces
Una subinterfaz, como una interfaz física, actúa como puerta por la que entra y sale
el tráfico de una zona de seguridad. Una interfaz física se puede dividir lógicamente
en varias subinterfaces virtuales. Cada subinterfaz virtual toma prestado el ancho
de banda que necesita de la interfaz física de la que procede, por lo que su nombre
es una extensión del nombre de la interfaz física, por ejemplo, ethernet3/2.1
o ethernet0/2.1.
Interfaces agregadas
Algunos dispositivos de seguridad admiten interfaces agregadas. Una interfaz
agregada es la acumulación de dos o más interfaces físicas, entre las que se
reparten equitativamente la carga de tráfico dirigida a la dirección IP de la interfaz
agregada. Utilizando interfaces agregadas se puede aumentar el ancho de banda
disponible para una dirección IP determinada. Asimismo, si falla algún miembro de
una interfaz agregada, los otros miembros pueden seguir procesando tráfico,
aunque con menos ancho de banda que el disponible anteriormente.
NOTA: Para obtener más información sobre interfaces agregadas, consulte “Redundancia
de interfaces y conmutación por error” en la página 11-43.
Interfaces redundantes
Dos interfaces físicas se pueden asociar para crear una interfaz redundante, que
entonces se puede asociar a una zona de seguridad. Una de las dos interfaces
físicas actúa como interfaz principal y gestiona todo el tráfico dirigido a la interfaz
redundante. La otra interfaz física actúa como interfaz secundaria y permanece en
estado de espera por si la interfaz activa experimenta algún fallo. En ese caso, el
tráfico dirigido a la interfaz redundante se desvía a la interfaz secundaria, que se
convierte en la nueva interfaz principal. El uso de interfaces redundantes
proporciona un primer frente de redundancia antes de que el fallo sea comunicado
como error al nivel de dispositivo.
Tipos de interfaces 35
Manual de referencia de ScreenOS: Conceptos y ejemplos
NOTA: Para obtener más información sobre las VSI y cómo funcionan con los VSD en un
clúster HA, consulte el Volumen 11: Alta disponibilidad.
Interfaces de administración
En algunos dispositivos de seguridad, el dispositivo se puede administrar a través
de una interfaz física separada (la interfaz de administración o MGT) sacando el
tráfico administrativo fuera del tráfico de usuario de red habitual. Al separar el
tráfico administrativo del tráfico de los usuarios de red se aumenta
significativamente la seguridad y se garantiza un ancho de banda de administración
constante.
NOTA: Para obtener más información sobre la configuración del dispositivo para la
administración, consulte “Administración” en la página 3-1.
Interfaces de HA virtuales
En los dispositivos de seguridad que no están equipados con una interfaz de HA
especializada, una interfaz HA virtual proporciona la misma funcionalidad. Al no
haber ningún puerto físico dedicado exclusivamente al tráfico de HA, deberá
asociar la interfaz HA virtual a uno de los puertos físicos de Ethernet. Para asociar
una interfaz de red a la zona de HA se utiliza el mismo procedimiento que para
asociar una interfaz de red a una zona de seguridad.
36 Tipos de interfaces
Capítulo 3: Interfaces
Interfaces de túnel
Una interfaz de túnel actúa como entrada a un túnel VPN. El tráfico entra y sale por
el túnel VPN a través de una interfaz de túnel.
Cuando se asocia una interfaz de túnel a un túnel VPN, se puede establecer una
referencia a esa interfaz de túnel en una ruta hacia un destino determinado
y después hacer referencia a ese destino en una o más directivas. Este método
permite un control muy detallado del flujo de tráfico a través del túnel. También
permite el enrutamiento dinámico para el tráfico VPN. Cuando no hay ninguna
interfaz de túnel asociada a un túnel VPN, se debe especificar el túnel mismo en la
directiva y elegir tunnel como acción. Dado que la acción tunnel lleva implícito un
permiso, no se puede rechazar específicamente el tráfico procedente de un túnel
VPN.
Debe asociar un túnel VPN basado en rutas a una interfaz de túnel para que el
dispositivo de seguridad pueda dirigir el tráfico entrante y saliente. Un túnel VPN
basado en rutas se puede asociar a una interfaz de túnel numerada (con dirección
IP y máscara de red) o no numerada (sin dirección IP y máscara de red). Si la
interfaz de túnel no está numerada, debe especificar una interfaz que preste a la
interfaz de túnel una dirección IP. El dispositivo de seguridad solamente utiliza la
dirección IP prestada como dirección de origen cuando el dispositivo de seguridad
mismo genera tráfico (como el de los mensajes OSPF) a través del túnel. La interfaz
de túnel puede tomar prestada la dirección IP de otra interfaz en la misma zona de
seguridad, o bien de una interfaz en otra zona, siempre que ambas zonas se
encuentren en el mismo dominio de enrutamiento.
Se puede alcanzar un control muy fiable del enrutamiento del tráfico VPN
asociando todas las interfaces de túnel no numeradas a una zona, que se encuentra
en su propio dominio de enrutamiento virtual, y tomando la dirección IP de una
interfaz de bucle invertido asociada a la misma zona. Por ejemplo, se pueden
asociar todas las interfaces de túnel no numeradas a una zona definida definida por
el usuario llamada “VPN” y configurarlas para que tomen su dirección IP de la
interfaz loopback.1, también asociada a la zona VPN. La zona VPN se encuentra en
un dominio de enrutamiento definido por el usuario llamado “vpn-vr”. Usted
pondrá todas las direcciones de destino a las que conducen los túneles en la zona
VPN. Sus rutas a estas direcciones apuntan a las interfaces de túnel, y sus directivas
controlan el tráfico VPN entre otras zonas y la zona VPN, consulte Figura 17.
Tipos de interfaces 37
Manual de referencia de ScreenOS: Conceptos y ejemplos
Poner todas las interfaces de túnel en una zona de estas características es muy
seguro porque no hay posibilidad de que, por un fallo de la VPN (que provocaría la
desactivación de la ruta hacia la interfaz de túnel asociada), el tráfico destinado al
túnel sea desviado hacia una ruta sin túnel, como la ruta predeterminada. (Para ver
varias sugerencias sobre cómo evitar este problema, consulte “Consideraciones
sobre seguridad en redes privadas virtuales basadas en rutas” en la página 5-74).
También puede asociar una interfaz de túnel a una zona de túnel. En tal caso, debe
tener una dirección IP. La finalidad de asociar una interfaz de túnel a una zona de
túnel es que los servicios de NAT estén disponibles para los túneles VPN basados en
directivas. Consulte la Figura 18 en la página 39.
38 Tipos de interfaces
Capítulo 3: Interfaces
Cuando una interfaz de túnel se encuentra en una zona de seguridad, debe asociarse un túnel
Numerada o Seguridad VPN a la interfaz de túnel. Esto permite crear una configuración de VPN basada en rutas. La
Túnel VPN interfaz de túnel puede estar numerada o no numerada. Si no está numerada, la interfaz de túnel
no numerada
toma prestada la dirección IP de la interfaz predeterminada de la zona de seguridad en la que fue
Zona creada.
Nota: Sólo una interfaz de túnel con una dirección IP y una máscara de red puede admitir NAT
basada en directivas.
Seguridad Cuando una interfaz de túnel numerada se encuentra en una zona de seguridad y es la única
Túnel VPN
Numerada interfaz en esa zona, no es necesario crear una interfaz de zona de seguridad. En este caso, la
Zona zona de seguridad admite tráfico VPN a través de la interfaz de túnel, pero ningún otro tipo de
tráfico.
Túnel Túnel VPN Cuando una interfaz de túnel está asociada a una zona de túnel, la interfaz de túnel debe tener
Numerada una dirección IP y una máscara de red. Esto permite definir conjuntos de DIP y direcciones MIP
en esa interfaz. Si asocia un túnel VPN a una zona de túnel, no puede asociarlo también a una
Zona interfaz de túnel. En tales casos, debe crear una configuración de VPN basada en directivas.
NOTA: Para ver cómo asociar una interfaz de túnel a un túnel, consulte los ejemplos de
VPN basada en rutas en “Redes privadas virtuales de punto a punto” en la
página 5-81 y “Redes privadas virtuales de acceso telefónico” en la página 5-163.
Tipos de interfaces 39
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
1. Eliminar la directiva 10, con referencias al conjunto de DIP 8
Policy > Policies (From: Trust, To: Untrust): Haga clic en Remove para la
directiva con ID 10.
4. Eliminar tunnel.2
Network > Interfaces: Haga clic en Remove para tunnel.2.
CLI
1. Eliminar la directiva 10, con referencias al conjunto de DIP 8
unset policy 10
2. Eliminar el rango DIP 8, vinculado a tunnel.2
unset interface tunnel.2 dip 8
40 Tipos de interfaces
Capítulo 3: Interfaces
Visualización de interfaces
Puede visualizar una tabla que muestre todas las interfaces existentes en su
dispositivo de seguridad. Al estar predefinidas, las interfaces físicas aparecen en la
lista tanto si se configuran como si no. Las subinterfaces e interfaces de túnel
solamente aparecen después de crearlas y configurarlas.
Para visualizar la tabla de interfaces en WebUI, haga clic en Network > Interfaces.
Puede especificar los tipos de interfaces que desea mostrar en la lista desplegable
“List Interfaces”.
Zone: Este campo identifica las zonas a las que está asociada la interfaz.
Type: Este campo indica el tipo de interfaz: capa 2, capa 3, túnel, redundante,
agregada, VSI.
Link: Este campo identifica si la interfaz está en línea (Up) o fuera de línea
(Down).
Visualización de interfaces 41
Manual de referencia de ScreenOS: Conceptos y ejemplos
Crear subinterfaces
Eliminar subinterfaces
NOTA: Para obtener más información sobre cómo establecer el ancho de banda para una
interfaz, consulte “Asignación de tráfico” en la página 195. Para obtener más
información sobre las opciones de administración y otras opciones de servicios
disponibles para cada interfaz, consulte “Control del tráfico administrativo” en la
página 3-29.
WebUI
Network > Interfaces > Edit (para ethernet0/5): Seleccione Trust en la lista
desplegable Zone Name, luego haga clic en Apply.
CLI
set interface ethernet0/5 zone trust
save
WebUI
Network > Interfaces > Edit (para ethernet0/3): Seleccione Null en la lista
desplegable Zone Name, luego haga clic en Apply.
Network > Interfaces > Edit (para ethernet0/4): Seleccione Null en la lista
desplegable Zone Name, luego haga clic en Apply.
Network > Interfaces > Edit (para bgroup1): Seleccione DMZ en la lista
desplegable Zone Name, luego haga clic en Apply.
CLI
set interface ethernet0/3 zone null
set interface ethernet0/4 zone null
set interface bgroup1 port ethernet0/3
set interface bgroup1 port ethernet0/4
set interface bgroup1 zone DMZ
save
WebUI
Network > Interfaces > Edit (para ethernet0/3): Introduzca los siguientes
datos y haga clic en OK:
CLI
set interface ethernet0/3 ip 0.0.0.0/0
set interface ethernet0/3 zone null
save
WebUI
Network > Interfaces > Edit (para bgroup1) > Bind Port: Cancele la selección
de ethernet0/3 en la columna Bind to Current Bgroup, luego haga clic
en Apply.
Network > Interfaces > Edit (para ethernet0/3): Seleccione Trust en la lista
desplegable Zone Name, luego haga clic en Apply.
CLI
unset interface bgroup1 port ethernet0/3
set interface ethernet0/3 zone trust
save
NOTA: Para ver ejemplos de configuraciones de los modos NAT y rutas, consulte el
“Modos de las interfaces” en la página 79.
Los dos tipos básicos de direcciones IP que pueden utilizarse para asignar
direcciones de interfaces son:
NOTA: Cuando agrega una dirección IP a una interfaz, el dispositivo de seguridad verifica
mediante una petición de ARP si la dirección IP existe en la red local. (El enlace
físico debe estar en línea en ese momento). Si la dirección IP ya existe, se genera
un aviso.
Direcciones IP públicas
Si una interfaz se conecta a una red pública, debe tener una dirección IP pública.
Asimismo, si una zona de seguridad L3 en untrust-vr se conecta a una red pública
y las interfaces de las zonas en trust-vr están en moto de rutas, todas las direcciones
de las zonas en trust-vr (para las interfaces y para los hosts) también deben ser
direcciones públicas. Los direcciones IP públicas se dividen en tres clases: A, B, y C,
como se muestra en la Tabla 4.
NOTA: También existen direcciones de las clases D y E, reservadas para fines especiales.
Una dirección IP se compone de cuatro octetos, cada uno compuesto por 8 bits. En
una dirección de clase A, los primeros 8 bits indican la identificación de la red y los
24 bits finales indican la identificación del host (rrr.hhh.hhh.hhh). En una dirección
de clase B, los primeros 16 bits indican la identificación de la red y los 16 bits
finales indican la identificación del host (nnn.nnn.hhh.hhh). En una dirección de
clase C, los primeros 24 bits indican la identificación de la red y los 8 bits finales
indican la identificación del host (nnn.nnn.nnn.hhh).
Direcciones IP privadas
Si una interfaz se conecta a una red privada, un administrador de la red local puede
asignarle cualquier dirección, aunque es usual utilizar una dirección del rango de
direcciones reservado para uso privado (10.0.0.0/8, 172.16.0.0 – 172.31.255.255,
192.168.0.0/16) según se define en RFC 1918, Asignación de direcciones para
Internet privadas.
WebUI
Network > Interfaces > Edit (para ethernet0/5): Introduzca los siguientes
datos y haga clic en OK:
IP Address/Netmask: 210.1.1.1/24
Manage IP: 210.1.1.5
CLI
set interface ethernet0/5 ip 210.1.1.1/24
set interface ethernet0/5 manage-ip 210.1.1.5
save
Dirección de IP de administración.
(Interfaz física) Ajustes del ancho de banda del tráfico (consulte “Asignación de
tráfico” en la página 195).
(Interfaces L3) Bloquee el tráfico que entra y sale por la misma interfaz,
incluyendo el tráfico entre una subred principal y secundaria o entre subredes
secundarias (esto se realiza mediante el comando CLI set interface con la
opción route-deny).
WebUI
Network > Interfaces > Edit (para ethernet0/1): Realice las modificaciones
siguientes, luego haga clic en OK:
CLI
set interface ethernet0/1 manage-ip 10.1.1.12
set interface ethernet0/1 manage ssh
set interface ethernet0/1 manage ssl
unset interface ethernet0/1 manage telnet
unset interface ethernet0/1 manage web
save
En este ejemplo creará una subinterfaz para la zona Trust en el sistema raíz.
Configurará la subinterfaz en ethernet0/1, que está asociada a la zona Trust.
Asociará la subinterfaz a una zona definida por el usuario llamada “contabilidad”,
que se encuentra en trust-vr. Le asignará la identificación de subinterfaz 3, dirección
IP 10.2.1.1/24 e identificación 3 de etiqueta VLAN. El modo de la interfaz es NAT.
WebUI
Network > Interfaces > New Sub-IF: Introduzca los siguientes datos y haga clic
en OK:
CLI
set interface ethernet0/1.3 zone contabilidad
set interface ethernet0/1.3 ip 10.2.1.1/24 tag 3
save
WebUI
Network > Interfaces: Haga clic en Remove para ethernet0/1.1.
CLI
unset interface ethernet0/1.1
save
WebUI
Network > Interfaces > Edit (para ethernet0/1) > Secondary IP: Introduzca
los siguientes datos y haga clic en Add:
IP Address/Netmask: 192.168.2.1/24
CLI
set interface ethernet0/1 ip 192.168.2.1/24 secondary
save
Seguimiento de IP
Seguimiento de túnel-if
Supervisión de rutas
WebUI
1. Configurar interfaces
Network > Interfaces > (para ethernet0/0) Edit > Monitor > Add: Introduzca
los siguientes datos y haga clic en Apply:
Network > Interfaces > Backup: Introduzca los siguientes datos y haga clic
en Apply:
IP Address/Netmask: 0.0.0.0/0
interface (seleccione): ethernet0/0
Network > Routing > Destination > trust-tr New: Introduzca los siguientes
datos y haga clic en Apply:
IP Address/Netmask: 0.0.0.0/0
interface (seleccione): dialer1
CLI
1. Configurar interfaces
set interface ethernet0/0 monitor track-ip
set interface ethernet0/0 monitor track-ip threshold 100
set interface ethernet0/0 monitor trackip ip 10.1.1.1 interval 2
set interface ethernet0/0 monitor trackip ip 10.1.1.1 threshold 5
set interface ethernet0/0 monitor trackip ip 10.1.1.1 weight 200
set interface ethernet0/0 backup interface dialer1 type track-ip
2. Configure las rutas
set route 0.0.0.0/0 interface ether0/0
set route 0.0.0.0/0 interface dialer1
save
NOTA: Debido a que este ejemplo es largo, únicamente la configuración CLI se incluye en
su totalidad. La sección WebUI detalla las rutas navegacionales a las páginas desde
las que puede establecer los diversos elementos de la configuración. Puede ver
qué necesita para establecerlos consultando los comandos CLI.
2. Configurar VPN
VPNs > AutoKey IKE > New
2. Configurar direcciones
Policy > Policy Elements > Addresses > List > New
3. Configurar VPN
VPNs > AutoKey IKE > New
5. Configurar ruta
Network > Routing > Destination > trust-vr
6. Configurar directiva
Policy > Policies (de Untrust a trust) > New
WebUI
1. Configurar interfaces
Network > Routing > Destination > trust-vr > New: Introduzca los siguientes
datos y haga clic en Apply:
IP Address/Netmask: 5.5.5.0/24
Gateway: (seleccione)
Interface: (seleccione) ethernet0/0
Gateway IP Address: 10.10.10.1
Network > Interfaces > Backup: Introduzca los siguientes datos y haga clic
en Apply:
Gateway: 10.10.10.1
Network > Routing > Destination (para trust-vr) > New: Introduzca los
siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr route 5.5.5.0/24 interface ethernet0/0 gateway 10.10.10.1
set interface ethernet0/0 backup interface dialer1 type route vrouter trust-vr
5.5.5.0/24
set route 0.0.0.0/0 interface ethernet0/0 gateway 10.10.10.1
set route 0.0.0.0/0 interface dialer1
save
NOTA: El valor máximo de núm_id que se puede especificar depende de cada plataforma.
Después de definir una interfaz de bucle invertido, puede definir otras interfaces
como miembros de su grupo. El tráfico puede alcanzar una interfaz de bucle
invertido si llega a través de una de las interfaces de su grupo. Cualquier tipo de
interfaz puede ser miembro de un grupo de interfaces de bucle invertido: interfaz
física, subinterfaz, interfaz de túnel, interfaz redundante o VSI.
Después de crear una interfaz de bucle invertido, puede utilizarla igual que una
interfaz física:
NOTA: No puede asociar una interfaz de bucle invertido a una zona HA ni configurar una
interfaz de bucle invertido para el funcionamiento de la capa 2, ni como interfaz
redundante o agregada. En interfaces de bucle invertido no se pueden configurar
las siguientes características: NTP, DNS, VIP, IP secundaria, seguimiento de IP
o WebAuth.
Cuando una interfaz de bucle invertido se utiliza como interfaz de salida en una
configuración VPN, la interfaz de bucle invertido debe estar en la misma zona que
la interfaz física de salida.
Puede definir una MIP en una interfaz de bucle invertido. Esto permite que la MIP
sea accesible por un grupo de interfaces; esta capacidad es exclusiva de las
interfaces de bucle invertido. Para obtener más información sobre cómo usar la
interfaz de bucle invertido con MIPs, consulte “MIP y la interfaz de bucle invertido”
en la página 8-74.
WebUI
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos
y haga clic en OK:
CLI
set interface loopback.1 zone untrust
set interface loopback.1 ip 1.1.1.27
save
WebUI
Network > Interfaces > loopback.1 > Edit: Seleccione todas las opciones de
administración y haga clic en OK.
CLI
set interface loopback.1 manage
save
NOTA: Para habilitar BGP en la interfaz de bucle invertido, primero debe crear una
instancia de BGP para el enrutador virtual al que planea asociar la interfaz. Para
obtener más información sobre cómo configurar BGP en dispositivos de seguridad
de Juniper Networks, consulte el Volumen 7: Enrutamiento.
WebUI
Network > Interfaces > loopback.1 > Edit: Seleccione Protocol BGP y haga
clic en OK.
CLI
set interface loopback.1 protocol bgp
save
WebUI
Network > Interfaces > New VSI IF: Introduzca los siguientes datos y haga clic
en OK:
CLI
set interface loopback.1:1 ip 1.1.1.1/24
save
WebUI
Configuration > Report Settings > Syslog: Introduzca los siguientes datos
y haga clic en Apply:
CLI
set syslog config 10.1.1.1 log all
set syslog src-interface loopback.1
set syslog enable
save
Estado Descripción
Físicamente en Para interfaces Ethernet físicas que operan en la capa 2 (modo transparente)
línea o en la capa 3 (moto de rutas) en el modelo de interconexión de sistemas
abiertos (“Open Systems Interconnection” u OSI). Una interfaz está
físicamente en línea cuando está cableada a otro dispositivo de red y puede
establecer un enlace a ese dispositivo.
Lógicamente en Tanto para interfaces físicas como para interfaces lógicas (subinterfaces,
línea interfaces redundantes e interfaces agregadas). Una interfaz está
lógicamente en línea cuando el tráfico que la atraviesa puede alcanzar los
dispositivos especificados (en las direcciones IP supervisadas) de una red.
Físicamente fuera Una interfaz está físicamente fuera de línea cuando no está cableada a otro
de línea dispositivo de la red o cuando, aún estando cableada, no puede establecer
un enlace. También puede forzar que una interfaz esté físicamente fuera de
línea ejecutando el comando CLI siguiente: set interface interface phy
link-down.
Lógicamente fuera Una interfaz está lógicamente fuera de línea cuando el tráfico que la
de línea atraviesa no puede alcanzar los dispositivos especificados (en las direcciones
IP marcadas) de una red.
El estado físico de una interfaz tiene prioridad sobre su estado lógico. Una interfaz
puede estar físicamente en línea y, al mismo tiempo, lógicamente en línea o fuera
de línea. Cuando una interfaz está físicamente fuera de línea, su estado lógico es
irrelevante.
Cuando el estado de una interfaz es en línea, todas las rutas que utilizan esa interfaz
permanecen activas y utilizables. Cuando el estado de una interfaz es fuera de línea,
el dispositivo de seguridad desactiva todas las rutas que utilizan esa interfaz
aunque, dependiendo de si la interfaz está físicamente o lógicamente fuera de
línea, el tráfico podría seguir atravesando una interfaz fuera de línea (consulte
“Interfaces fuera de línea y flujo de tráfico” en la página 73). Para compensar la
pérdida de rutas que implica la pérdida de una interfaz, puede configurar rutas
alternativas utilizando una interfaz alternativa.
Una interfaz puede supervisar objetos en cuanto al menos uno de los eventos
siguientes. Consulte la Figura 21 en la página 61. Cada uno de estos eventos,
individual o combinado, puede provocar que el estado de la interfaz supervisora
cambie de en línea a fuera de línea o viceversa:
Desconexión/reconexión física
Desconexión
física
Fallo del
seguimiento
de IP ...entonces la interfaz de supervisión
queda fuera de línea.
Fallo de la interfaz
supervisada
Interfaz
supervisora
Los fallos de seguimiento de IP exceden
el umbral.
Zona de seguridad
Fallo de la zona
supervisada
Si, después de fallar, un objeto supervisado tiene éxito (la interfaz se reconecta o el
seguimiento de IP vuelve a tener éxito), la interfaz supervisora vuelve a activarse.
Existe un retraso de un segundo aproximadamente entre la supervisióni del objeto
y la reactivación de la interfaz de supervisión.
Puede ver el estado de una interfaz en la columna “State” del resultado del
comando get interface y en la columna “Link” de la página “Network > Interfaces”
de WebUI. Puede estar en línea ("up") o fuera de línea (“down”).
Puede ver el estado de una ruta en el campo de estado del comando get route id
número y en la página “Network > Routing > Destination” de WebUI. Un asterisco
indica que la ruta está activa. Si no hay asterisco, está inactiva.
Seguimiento de direcciones IP
El dispositivo de seguridad puede realizar un seguimiento de direcciones IP
específicas a través de una interfaz, de forma que cuando una o varias de ellas
queden inaccesibles, el dispositivo de seguridad pueda desactivar todas las rutas
asociadas a esa interfaz, aunque la conexión física siga activa. Una ruta desactivada
se vuelve a activar después de que el dispositivo de seguridad retoma el contacto
con esas direcciones IP.
NOTA: En ciertos dispositivos con ScreenOS, esta acción también hace que se conmute
por error a la interfaz de respaldo asociada a la misma zona que la interfaz en la
que se configuró el seguimiento de IP (consulte “Cambio en caso de fallo de
interfaces con seguimiento de IP” en la página 11-51).
Puede definir el seguimiento de IP en las siguientes interfaces para las que haya
configurado una dirección IP de administración:
Interfaz física asociada a una zona de seguridad (no las zonas funcionales HA
o MGT)
Subinterfaz
Interfaz redundante
Interfaz agregada
NOTA: Aunque la interfaz puede ser una interfaz redundante o una interfaz agregada, no
puede ser un miembro de una interfaz redundante o agregada.
NOTA: Desde un vsys, puede establecer la supervisión de una interfaz compartida desde
una interfaz que pertenezca al vsys. Sin embargo, desde dentro del vsys no se
puede establecer la supervisión de interfaces desde una interfaz compartida. Para
obtener más información, consulte “Supervisión de interfaces” en la página 67.
Las direcciones IP de seguimiento no tienen por qué estar en la misma subred que
la interfaz. Por cada dirección IP que desee someter a seguimiento, se puede
especificar lo siguiente:
Peso de la conexión IP fallida (una vez que la suma de pesos de todas las
conexiones IP fallidas supera un umbral determinado, se desactivan las rutas
asociadas a la interfaz).
10.1.1.0/24 Internet
ethernet0/4 2.2.2.1/24
Enrutador 2.2.2.250
WebUI
Network > Interfaces > Edit (para ethernet0/3) > Monitor: Introduzca los
siguientes datos y haga clic en Apply:
CLI
set interface ethernet0/3 monitor track-ip ip 1.1.1.250 weight 10
set interface ethernet0/3 monitor track-ip threshold 5
set interface ethernet0/3 monitor track-ip
save
El comando get route indica que la ruta predeterminada que atraviesa ethernet0/4
está activa en estos momentos; todas las rutas que pasan por ethernet0/3 han
dejado de estar activas.
Recuerde que aunque las rutas que pasan por ethernet0/3 no estén activas, el
seguimiento de IP utiliza las rutas asociadas a ethernet0/3 para continuar enviando
peticiones de eco a la dirección IP de destino. Cuando el seguimiento de IP puede
acceder de nuevo a 1.1.1.250, la ruta predeterminada que atraviesa ethernet0/3 se
vuelve a convertir en la ruta activa del dispositivo de seguridad. Al mismo tiempo,
la ruta predeterminada que pasa por ethernet0/4 se convierte en ruta inactiva, ya
que su nivel de prioridad es inferior al de la ruta predeterminada que pasa por
ethernet0/3.
Supervisión de interfaces
Un dispositivo de seguridad puede supervisar el estado físico y lógico de las
interfaces y ejecutar una determinada acción en función de los cambios
observados, consulte la Figura 26. Por ejemplo, si el estado de una interfaz
supervisada cambia de en línea a fuera de línea, puede ocurrir lo siguiente, como se
muestra en la Tabla 6.
Si: Después:
El estado físico de una El cambio de estado puede provocar que también quede fuera de
interfaz cambia de en línea otra interfaz que esté supervisando a la que acaba de quedar
línea a fuera de línea fuera de línea. Puede especificar si la segunda interfaz debe quedar
física o lógicamente fuera de línea.
El cambio de estado de la interfaz que se está poniendo fuera de línea
físicamente, o el peso combinado de ambas interfaces
desactivándose físicamente juntas, puede desencadenar un fallo de
NSRP. Un cambio en caso de error del dispositivo NSRP o del grupo
VSD sólo se puede producir como resultado de un cambio en el
estado físico de una interfaz.
El estado lógico de una El cambio de estado puede provocar que también quede fuera de
interfaz cambia de en línea otra interfaz que esté supervisando a la que acaba de quedar
línea a fuera de línea fuera de línea. Aunque la primera interfaz esté lógicamente inactiva,
como resultado de un puede especificar si el estado fuera de línea de la segunda interfaz
fallo en el seguimiento debe ser lógico o físico.
de IP
ethernet0/3 ethernet0/2
IP 1.1.1.1 IP 2.1.1.1
WebUI
Network > Interfaces > Edit (para la interfaz que desee supervisar) > Monitor
> Edit Interface: Introduzca los siguientes datos y haga clic en Apply:
CLI
set interface interfaz1 monitor interface interfaz2 [ weight number ]
save
Interfaces de dispositivo de
seguridad
ethernet0/1 – ethernet0/8 1 2 3 4 5 6 7 8
Interfaces supervisadas:
ethernet0/1, peso 8
ethernet0/2, peso 8
Umbral de fallos de supervisión: 16
WebUI
Network > Interfaces > Edit (para ethernet0/3) > Monitor > Edit Interface:
Introduzca los siguientes datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet0/3) > Monitor: Introduzca 16 en el
campo “Monitor Threshold”, luego haga clic en Apply.
CLI
set interface ethernet0/3 monitor interface ethernet0/1 weight 8
set interface ethernet0/3 monitor interface ethernet0/2 weight 8
set interface ethernet0/3 monitor threshold 16
save
Interfaces de dispositivo de
seguridad
ethernet0/1 – ethernet0/8
1 2 3 4 5 6 7 8
ethernet0/1 y ethernet0/3 Si ethernet0/1 y ethernet0/3 quedan fuera de línea, las rutas que se refieren a
se supervisan entre sí. esas interfaces también quedan inactivas. Entonces, el dispositivo de
Dado que el peso de la Bucle de interfaz supervisora: seguridad redirige el tráfico a través de ethernet0/2 y ethernet0/4.
interfaz supervisada es
igual al umbral de error de ethernet0/1 y ethernet0/3
supervisión, el error de Rutas
cualquier interfaz hace que Peso de la interfaz supervisada: 8
la otra falle también. Umbral de fallos de supervisión: 8 set route 10.1.0.0/16 interface ethernet0/1 gateway 10.1.1.250 metric 10
set route 10.1.0.0/16 interface ethernet0/2 gateway 10.1.2.250 metric 12
set route 0.0.0.0/0 interface ethernet0/3 gateway 1.1.1.250 metric 10
set route 0.0.0.0/0 interface ethernet0/4 gateway 1.1.2.250 metric 12
WebUI
1. Seguimiento de IP
Network > Interfaces > Edit (para ethernet0/1) > Monitor: Introduzca los
siguientes datos y haga clic en Apply.
NOTA: Para controlar si el estado de una interfaz se vuelve lógica o físicamente fuera de
línea (o en línea), debe utilizar el comando CLI set interface interfaz monitor
threshold número action { down | up } { logically | physically }. Sólo se pueden
poner en línea o fuera de línea físicamente las interfaces físicas asociadas a
cualquier zona de seguridad distinta de la zona Null.
> Monitor Track IP ADD: Introduzca los siguientes datos y haga clic
en Add:
Static: (seleccione)
Track IP: 10.1.1.250
Weight: 8
Interval: 3 Seconds
Threshold: 10
Network > Interfaces > Edit (para ethernet0/3) > Monitor: Introduzca los
siguientes datos y haga clic en Apply.
> Monitor Track IP ADD: Introduzca los siguientes datos y haga clic
en Add:
Static: (seleccione)
Track IP: 1.1.1.250
Weight: 8
Interval: 3 Seconds
Threshold: 10
2. Supervisión de interfaces
Network > Interfaces > Edit (para ethernet0/1) > Monitor > Edit Interface:
Introduzca los siguientes datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet0/3) > Monitor > Edit Interface:
Introduzca los siguientes datos y haga clic en Apply:
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
CLI
1. Seguimiento de IP
set interface ethernet0/1 track-ip ip 10.1.1.250 weight 8
set interface ethernet0/1 track-ip threshold 8
set interface ethernet0/1 track-ip weight 8
set interface ethernet0/1 track-ip
set interface ethernet0/3 track-ip ip 1.1.1.250 weight 8
set interface ethernet0/3 track-ip threshold 8
set interface ethernet0/3 track-ip weight 8
set interface ethernet0/3 track-ip
2. Supervisión de interfaces
set interface ethernet0/1 monitor interface ethernet0/3 weight 8
set interface ethernet0/1 monitor threshold 8 action down physically
set interface ethernet0/3 monitor interface ethernet0/1 weight 8
set interface ethernet0/3 monitor threshold 8 action down physically
3. Rutas
set vrouter trust-vr route 10.1.0.0/16 interface ethernet0/1 gateway 10.1.1.250
metric 10
set vrouter trust-vr route 10.1.0.0/16 interface ethernet0/2 gateway 10.1.2.250
metric 12
set vrouter trust-vr route 0.0.0.0/0 interface ethernet0/3 gateway 1.1.1.250
metric 10
set vrouter trust-vr route 0.0.0.0/0 interface ethernet0/4 gateway 1.1.2.250
metric 12
save
Para configurar una interfaz de modo que supervise una zona de seguridad, ejecute
cualquiera de los siguientes procedimientos:
WebUI
Network > Interfaces > Edit (para la interfaz que desee supervisar) > Monitor
> Edit Zone: Introduzca los siguientes datos y haga clic en Apply:
CLI
set interface interfaz monitor zone zone [ weight número ]
La sección “Error en la interfaz de salida” describe los diversos contextos en los que
falla el seguimiento de IP en la interfaz de salida y en la interfaz de entrada y, en el
caso de la última, qué ocurre cuando se utiliza el comando set arp always-on-dest.
NOTA: Primero hay que crear dos rutas que conduzcan al Host B y ambas interfaces de
salida deben encontrarse en la misma zona para que se aplique la misma directiva
al tráfico antes y después del redireccionamiento.
2
Zona Untrust
Zona Trust Consulta de Consulta Consulta de
sesiones de rutas directivas
10.1.1.1/24 3 Host B
10.1.1.0/24
4
1
Host A Respondedor
10.1.1.5 Iniciador
3 Zona Untrust
Zona Trust Actualización
de sesiones
10.1.1.1/24
10.1.1.0/24
2 Host B
2.2.2.2
1
4
Host A
10.1.1.5 Iniciador Respondedor
1
Zona Untrust
Zona Trust Cambio Actualización
de ruta de sesiones
10.1.1.1/24 3
10.1.1.0/24 4 Host B
2.2.2.2
2
Host A
10.1.1.5 Iniciador Respondedor
Puertas de
Segunda interfaz de salida enlace: 1.1.1.254
ethernet0/3 1.1.2.254
1.1.2.1/24
Zona Untrust
Zona Trust Consulta de Consulta Consulta de
directivas de rutas sesiones
10.1.1.1/24 Host B
10.1.1.0/24
1 2.2.2.2
3
Host A
10.1.1.5 Respondedor Iniciador
Puertas de
enlace:
Segunda interfaz de salida 1.1.1.254
ethernet0/3 1.1.2.254
1.1.2.1/24
2
Zona Untrust
Zona Trust Consulta de
sesiones
10.1.1.1/24 3 Host B
10.1.1.0/24
4 2.2.2.2
1
Host A
10.1.1.5 Respondedor Iniciador
2. El dispositivo de seguridad realiza una consulta de sesiones. Como se trata de una respuesta, el dispositivo de seguridad la
relaciona con una sesión existente y actualiza la entrada de la tabla de sesiones.
3. Utilizando la dirección MAC de la puerta de enlace en 1.1.1.254 guardada en caché o realizando una consulta ARP para averiguar la
dirección MAC, el dispositivo reenvía el paquete a través de ethernet0/2 a la puerta de enlace.
4. Cuando la puerta de enlace en 1.1.1.254 recibe la respuesta, la redirecciona al siguiente salto. El enrutamiento continúa hasta que el
host B recibe el paquete.
Si falla el seguimiento de IP en ethernet0/2, el dispositivo de seguridad desactiva las
rutas que utilicen ethernet0/2 y utiliza ethernet0/3 para el tráfico saliente destinado
al host B. Sin embargo, las peticiones del host B al host A pueden seguir llegando a
través de ethernet0/2, y el dispositivo de seguridad las reenvía a través de
ethernet0/1 al host A. El flujo de datos para las peticiones del host B al host A sigue
teniendo el mismo aspecto después de que se produzca un fallo de seguimiento de
IP. Sin embargo, las respuestas del host A pueden tomar una de dos rutas distintas,
dependiendo de la aplicación del comando set arp always-on-dest.
1 2
Zona Untrust
Zona Trust Cambio Actualización
de ruta de sesiones
10.1.1.1/24 Host B
10.1.1.0/24 2.2.2.2
3
Host A
10.1.1.5 Respondedor Iniciador
Puertas de
enlace: 1.1.1.254
Segunda interfaz de salida 1.1.2.254
ethernet0/3
1.1.2.1/24
2
Zona Untrust
Zona Trust Consulta de
sesiones
10.1.1.1/24 3
10.1.1.0/24 4 Host B
2.2.2.2
Segunda interfaz de
1 salida ethernet0/3
1.1.2.1/24
Host A
10.1.1.5 Puertas de
Respondedor Iniciador enlace: 1.1.1.254
1.1.2.254
NOTA: Aunque puede definir el modo de funcionamiento para una interfaz asociada
a cualquier zona de capa 3 como podría ser NAT, el dispositivo de seguridad
solamente ejecuta NAT en tráfico que pasa a través de esa interfaz en dirección
hacia la zona Untrust. ScreenOS no lleva a cabo NAT en el tráfico destinado para
cualquier zona que no sea la zona Untrust. Asimismo, observe que ScreenOS le
permite establecer una interfaz de zona Untrust en modo NAT; sin embargo,
realizar esto no activa ninguna de las operaciones de NAT.
Modo transparente
Cuando una interfaz está en modo transparente, el dispositivo de seguridad filtra
los paquetes que atraviesan el cortafuegos sin modificar ninguna información de
origen ni de destino en el encabezado de los paquetes IP. Todas las interfaces se
comportan como si fuesen parte de la misma red, con el dispositivo de seguridad
actuando en gran medida como conmutador o puente de capa 2 (“Layer 2”). En el
modo transparente, las direcciones IP de las interfaces se establecen en 0.0.0.0,
haciendo que el dispositivo de seguridad parezca “transparente” (o “invisible”) a los
usuarios. Consulte la Figura 37.
Modo transparente 79
Manual de referencia de ScreenOS: Conceptos y ejemplos
209.122.30.3
209.122.30.2
209.122.30.2 209.122.30.4
209.122.30.1
209.122.30.5
Zona Trust
Conmutador
Espacio de
direcciones
público
Zona Untrust
Enrutador externo
A Internet
Ajustes de zona
De forma predeterminada, ScreenOS crea una zona de función, la zona VLAN,
y tres zonas de seguridad L2: V1-Trust, V1-Untrust y V1-DMZ.
Zona VLAN
La zona VLAN contiene la interfaz VLAN1, que tiene la misma configuración y las
mismas posibilidades de administración que una interfaz física. Cuando el
dispositivo de seguridad está en modo transparente, se utiliza la interfaz VLAN1
para administrar el dispositivo y terminar con el tráfico VPN. Puede configurar la
interfaz VLAN1 para permitir que los hosts en las zonas de seguridad L2 puedan
administrar el dispositivo. Para ello, debe establecer la dirección IP de la interfaz
VLAN1 en la misma subred que los hosts de las zonas de seguridad L2.
80 Modo transparente
Capítulo 4: Modos de las interfaces
NOTA: Para ver qué interfaces físicas están previamente asociadas con las zonas L2 para
cada plataforma de seguridad de las redes de Juniper Networks, consulte el
manual del instalador de esa plataforma.
Reenvío de tráfico
Un dispositivo de seguridad que opera en la capa 2 (L2) no permite ningún tráfico
interzonal ni intrazonal a menos que exista una directiva configurada en el
dispositivo. Para obtener más información sobre directivas de configuración,
consulte “Directivas” en la página 2-161. Una vez configurada una directiva en el
dispositivo de seguridad, éste hace lo siguiente:
Para permitir que todo el tráfico L2 no IP pueda pasar por el dispositivo, ejecute
el comando set interface vlan1 bypass-non-ip.
Modo transparente 81
Manual de referencia de ScreenOS: Conceptos y ejemplos
Para permitir que un dispositivo de seguridad pase tráfico IPSec sin intentar
terminar con el mismo, utilice el comando set interface vlan1
bypass-others-ipsec. El dispositivo de seguridad permitirá que el tráfico IPSec
pase a través de otros extremos remotos de la VPN.
82 Modo transparente
Capítulo 4: Modos de las interfaces
Esta situación puede surgir cuando un dispositivo envía un paquete unicast con una
dirección MAC de destino, que se encuentra en caché ARP, pero que el dispositivo
de seguridad no tiene registrada en su tabla de redireccionamiento. Por ejemplo, el
dispositivo NetScreen borra su tabla de redireccionamiento cada vez que se reinicia.
(También el usuario podría haber borrado la tabla de reenvíos con el comando CLI
clear arp.) Cuando un dispositivo de seguridad en modo transparente recibe un
paquete unicast para el cual no tiene ninguna entrada en su tabla de
redireccionamiento, éste puede tomar una de estas dos opciones:
Método de inundación
El método de inundación redirecciona paquetes de la misma manera que la
mayoría de conmutadores de la capa 2. Un conmutador actualiza una tabla de
redireccionamiento que contiene direcciones MAC y sus puertos asociados para
cada dominio de la capa 2. La tabla también contiene la interfaz correspondiente
a través de la cual el conmutador puede reenviar tráfico a cada dispositivo. Cada
vez que un paquete llega con una nueva dirección MAC de origen en su encabezado
de trama, el conmutador agrega la dirección MAC a su tabla de reenvíos. También
detecta a través de qué interfaz llegó el paquete. Si la dirección MAC de destino es
desconocida para el conmutador, éste duplica el paquete y lo inunda saliendo por
todas las interfaces (a excepción de la interfaz por la que llegó el paquete).
Memoriza la dirección MAC (desconocida hasta ese momento) y la interfaz
correspondiente cuando recibe una respuesta con esa dirección MAC en una de sus
interfaces.
Modo transparente 83
Manual de referencia de ScreenOS: Conceptos y ejemplos
El paquete llega a
ethernet0/1. Zona
V1-DMZ
Zona V1-Trust Enrutador
ethernet0/2 ethernet0/3
IP 0.0.0.0/0 IP 0.0.0.0/0
Zona V1-Untrust
Zona
L2-Finanzas
WebUI
Network > Interfaces > Edit (para VLAN1): Para las opciones de multidifusión
(“broadcast”), seleccione Flood y haga clic en OK.
CLI
set interface vlan1 broadcast flood
save
Método ARP/Trace-Route
Cuando habilita el método ARP con la opción trace-route y el dispositivo de
seguridad recibe una trama de Ethernet con una dirección MAC de destino que no
consta en su tabla de MAC, el dispositivo de seguridad realiza la siguiente serie de
acciones:
84 Modo transparente
Capítulo 4: Modos de las interfaces
NOTA: De hecho, trace-route devuelve las direcciones IP y MAC de todos los enrutadores
en la subred. El dispositivo de seguridad compara entonces la dirección MAC de
destino del paquete inicial con la dirección MAC de origen en los paquetes arp-r
para determinar a qué enrutador dirigirse, y por lo tanto, qué interfaz utilizar para
alcanzar ese destino.
4. Al combinar la dirección MAC de destino que se obtuvo del paquete inicial con
la interfaz que conduce a esa dirección MAC, el dispositivo de seguridad agrega
una nueva entrada a su tabla de redireccionamiento.
WebUI
Network > Interfaces > Edit (para VLAN1): Para las opciones de difusión,
seleccione ARP entonces haga clic en OK.
Modo transparente 85
Manual de referencia de ScreenOS: Conceptos y ejemplos
CLI
set interface vlan1 broadcast arp
save
86 Modo transparente
Capítulo 4: Modos de las interfaces
Habilite Web, Telnet, SSH y Ping tanto en la interfaz VLAN1 como en la zona de
seguridad V1-Trust.
Modo transparente 87
Manual de referencia de ScreenOS: Conceptos y ejemplos
Agregue una ruta en el enrutador virtual trust (todas las zonas de seguridad de
capa 2 están en el dominio de enrutamiento trust-vr) para permitir que el
tráfico administrativo fluya entre el dispositivo de seguridad y una estación de
trabajo administrativa situada más allá de la subred inmediata del dispositivo
de seguridad. Todas las zonas de seguridad se encuentran en el dominio de
enrutamiento trust-vr.
Internet
IP de VLAN1
Zona V1-Trust 1.1.1.1/24 Zona V1-Untrust
WebUI
1. Interfaz VLAN1
Network > Interfaces > Edit (para VLAN1): Introduzca los siguientes datos
y haga clic en OK:
IP Address/Netmask: 1.1.1.1/24
Management Services: WebUI, Telnet, SSH (seleccione)
Other Services: Ping (seleccione)
2. Zona V1-Trust
Network > Zones > Edit (para V1-Trust): Introduzca los siguientes datos y haga
clic en OK:
CLI
1. Interfaz VLAN1
set interface vlan1 ip 1.1.1.1/24
set interface vlan1 manage web
set interface vlan1 manage telnet
set interface vlan1 manage ssh
set interface vlan1 manage ping
88 Modo transparente
Capítulo 4: Modos de las interfaces
2. Zona V1-Trust
set zone v1-trust manage web
set zone v1-trust manage telnet
set zone v1-trust manage ssh
set zone v1-trust manage ping
3. Ruta
set vrouter trust-vr route 1.1.2.0/24 interface vlan1 gateway 1.1.1.251 metric 1
save
Para aumentar la seguridad del tráfico administrativo, cambie el número del puerto
HTTP para la administración de WebUI de 80 a 5555, y el número de puerto Telnet
para la administración de CLI de 23 a 4646. Utilice la dirección IP de VLAN1
(1.1.1.1/24) para administrar el dispositivo de seguridad desde la zona de seguridad
V1-Trust. Se definen las direcciones para los servidores FTP y de correo. También
configura una ruta predeterminada al enrutador externo en 1.1.1.250, para que el
dispositivo de seguridad le pueda enviar tráfico VPN saliente. (La puerta de enlace
predeterminada en todos los hosts de la zona V1-Trust también será 1.1.1.250).
Espacio de direcciones
1.1.1.0/24
Internet
IP de VLAN1
Zona V1-Trust 1.1.1.1/24 Zona V1-Untrust
Modo transparente 89
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
1. Interfaz VLAN1
Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguientes
datos y haga clic en OK:
IP Address/Netmask: 1.1.1.1/24
Management Services: WebUI, Telnet (seleccione)
Other Services: Ping (seleccione)
2. Puerto HTTP
Configuration > Admin > Management: En el campo HTTP Port, escriba 5555,
y luego haga clic en Apply.
3. Interfaces
Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes
datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet0/3): Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
90 Modo transparente
Capítulo 4: Modos de las interfaces
6. Ruta
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
Policy > Policies > (From: V1-Untrust, To: V1-Trust) New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Mail_Server
Service: Mail
Action: Permit
Policy > Policies > (From: V1-Untrust, To: V1-Trust) New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), FTP_Server
Service: FTP-GET
Action: Permit
CLI
1. VLAN1
set interface vlan1 ip 1.1.1.1/24
set interface vlan1 manage web
set interface vlan1 manage telnet
set interface vlan1 manage ping
2. Telnet
set admin telnet port 4646
Modo transparente 91
Manual de referencia de ScreenOS: Conceptos y ejemplos
3. Interfaces
set interface ethernet0/1 ip 0.0.0.0/0
set interface ethernet0/1 zone v1-trust
set interface ethernet0/3 ip 0.0.0.0/0
set interface ethernet0/3 zone v1-untrust
4. Zona V1-Trust
set zone v1-trust manage web
set zone v1-trust manage telnet
set zone v1-trust manage ping
5. Direcciones
set address v1-trust FTP_Server 1.1.1.5/32
set address v1-trust Mail_Server 1.1.1.10/32
6. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 1.1.1.250 metric 1
7. Directivas
set policy from v1-trust to v1-untrust any any any permit
set policy from v1-untrust to v1-trust any Mail_Server mail permit
set policy from v1-untrust to v1-trust any FTP_Server ftp-get permit
save
Modo NAT
Cuando una interfaz de entrada está en el modo de traducción de direcciones de
red (NAT), el dispositivo de seguridad, actuando como conmutador (o enrutador) de
capa 3, traduce dos componentes del encabezado de un paquete IP saliente
destinado a la zona Untrust: su dirección IP de origen y el número del puerto de
origen. El dispositivo de seguridad reemplaza la dirección IP de origen del host de
origen con la dirección IP de la interfaz de la zona Untrust. También reemplaza el
número del puerto de origen con otro número de puerto generado aleatoriamente
por el dispositivo de seguridad.
92 Modo NAT
Capítulo 4: Modos de las interfaces
10.1.1.15
10.1.1.10 10.1.1.20
10.1.1.5
10.1.1.25
Zona Trust
Espacio de Interfaz de la
direcciones privado zona Trust
10.1.1.1/24
Interfaz de la
Espacio de zona Untrust
direcciones público 1.1.1.1/24
Enrutador externo
1.1.1.250
Zona Untrust
Internet
Modo NAT 93
Manual de referencia de ScreenOS: Conceptos y ejemplos
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
NOTA: Sólo se puede definir una dirección IP virtual (VIP) en una interfaz asociada a la
zona Untrust.
ethernet0/3
1. NAT basada en interfaces aplicada al tráfico de Zona Untrust 1.1.1.1/24
la zona Trust a la zona Untrust. Modo de rutas
MIP 1.1.1.10 – 10.1.1.10
2. NAT basada en interfaces aplicada al tráfico de MIP 1.1.1.20 Ð 10.1.2.20
la zona definida por el usuario a la zona Untrust. 1 2
(Nota: Esto sólo es posible si las zonas definida NAT NAT
por el usuario y Untrust se encuentran en
diferentes dominios de enrutamiento virtuales).
94 Modo NAT
Capítulo 4: Modos de las interfaces
NOTA: Para obtener más información sobre MIP, consulte “Direcciones IP asignadas” en
la página 8-63. Para obtener más información sobre VIP, consulte “Direcciones IP
virtuales” en la página 8-81.
Ajustes de interfaz
Para el modo NAT, defina los siguientes ajustes de interfaz, donde dir_ip1 y dir_ip2
representan los números de una dirección IP, máscara representa los números de
una máscara de red, núm_id_vlan representa el número de una etiqueta VLAN, zona
representa el nombre de una zona y número representa el tamaño del ancho de
banda en kbps:
NOTA: Compare la Figura 45 con la configuración para el modo de rutass en la Figura 47,
“Dispositivo en modo de rutas,” en la página 100.
Modo NAT 95
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes
datos y haga clic en Apply:
NOTA: De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará
en modo NAT. Por lo tanto, esta opción ya está habilitada para las interfaces
asociadas a la zona Trust.
Network > Interfaces > Edit (para ethernet0/3): Introduzca los siguientes
datos y haga clic en OK:
2. VIP
Network > Interfaces > Edit (para ethernet0/3) > VIP: Introduzca los
siguientes datos y haga clic en Add:
Network > Interfaces > Edit (para ethernet0/3) > VIP > New VIP Service:
Introduzca los siguientes datos y haga clic en OK:
Virtual Port: 25
Map to Service: Mail
Map to IP: 10.1.1.5
96 Modo NAT
Capítulo 4: Modos de las interfaces
NOTA: Para obtener más información sobre direcciones IP virtuales (VIP), consulte
“Direcciones IP virtuales” en la página 8-81.
3. Ruta
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Policy > Policies > (From: Untrust, To: Global) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), VIP(1.1.1.5)
Service: MAIL
Action: Permit
CLI
1. Interfaces
set interface ethernet0/1 zone trust
set interface ethernet0/1 ip 10.1.1.1/24
set interface ethernet0/1 nat
set interface ethernet0/3 zone untrust
set interface ethernet0/3 ip 1.1.1.1/24
set interface ethernet0/3 route
2. VIP
set interface ethernet0/3 vip 1.1.1.5 25 mail 10.1.1.5
Modo NAT 97
Manual de referencia de ScreenOS: Conceptos y ejemplos
3. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet0/3 gateway 1.1.1.250
4. Directivas
set policy from trust to untrust any any any permit
set policy from untrust to global any vip(1.1.1.5) mail permit
save
Modo de rutas
Cuando una interfaz está en modo de rutas, el dispositivo de seguridad enruta el
tráfico entre diferentes zonas sin realizar la NAT de origen (NAT-src); es decir, la
dirección de origen y el número de puerto en el encabezado del paquete IP
permanecen sin cambios mientras atraviesan el dispositivo de seguridad.
A diferencia de NAT-src, no es necesario establecer direcciones IP asignadas (MIP)
e IP virtuales (VIP) para permitir que el tráfico entrante llegue a los hosts cuando la
interfaz de la zona de destino está en modo de rutas. A diferencia del modo
transparente, las interfaces de cada zona se encuentran en subredes diferentes.
10.1.1.15
10.1.1.10 10.1.1.20
10.1.1.5
10.1.1.25
Zona Trust
Espacio de
direcciones privado Interfaz de la
zona Trust
10.1.1.1/24
Interfaz de la
Espacio de zona Untrust
direcciones público 1.1.1.1/24
Enrutador externo
1.1.1.250
Zona Untrust
Internet
98 Modo de rutas
Capítulo 4: Modos de las interfaces
NOTA: Para obtener más información sobre cómo configurar NAT-src basada en
directivas, consulte “Traducción de direcciones de red de origen” en la
página 8-13.
Ajustes de interfaz
Para el modo de rutas, defina los siguientes ajustes de interfaz, donde dir_ip1
y dir_ip2 representan los números de una dirección IP, máscara representa los
números de una máscara de red, núm_id_vlan representa el número de una
etiqueta VLAN, zona representa el nombre de una zona y número representa el
tamaño del ancho de banda en kbps:
Modo de rutas 99
Manual de referencia de ScreenOS: Conceptos y ejemplos
Servidor de Internet
correo
1.2.2.5
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet0/3): Introduzca los siguientes
datos y haga clic en OK:
2. Dirección
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
3. Ruta
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Policy > Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Mail Server
Service: MAIL
Action: Permit
CLI
1. Interfaces
set interface ethernet0/1 zone trust
set interface ethernet0/1 ip 1.2.2.1/24
set interface ethernet0/1 route
set interface ethernet0/3 zone untrust
set interface ethernet0/3 ip 1.1.1.1/24
set interface ethernet0/3 route
NOTA: El comando set interface ethernet número route establece que el dispositivo de
seguridad funcione en modo de rutas.
2. Dirección
set address trust mail_server 1.2.2.5/24
3. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet0/3 gateway 1.1.1.250
4. Directivas
set policy from trust to untrust any any any permit
set policy from untrust to trust any mail_server mail permit
save
Este capítulo explica los componentes, o bloques de construcción, a los que puede
hacerse referencia en las directivas. Incluye las siguientes secciones:
Direcciones
ScreenOS clasifica las direcciones de todos los demás dispositivos según su
ubicación y máscara de red. Cada zona posee su propia lista de direcciones y sus
grupos de direcciones.
Los hosts individuales solamente tienen definida una dirección IP, por lo que su
máscara de red debe tener el valor 255.255.255.255 (que enmascara todos los
hosts salvo el propio).
Las subredes tienen una dirección IP y una máscara de red (por ejemplo,
255.255.255.0 o 255.255.0.0).
NOTA: Para “Any” no es necesario crear entradas de direcciones. Este término se aplica
automáticamente a todos los dispositivos situados físicamente dentro de sus
zonas respectivas.
Direcciones 103
Manual de referencia de ScreenOS: Conceptos y ejemplos
Entradas de direcciones
Para poder establecer muchas de las funciones del cortafuegos de Juniper
Networks, de VPN y de asignación del tráfico, debe definir direcciones en una o
varias listas de direcciones. La lista de direcciones de una zona de seguridad incluye
las direcciones IP o nombres de dominios de los hosts o subredes cuyo tráfico está
permitido, bloqueado, encriptado o autentificado por el usuario.
NOTA: Para poder utilizar nombres de dominios para las entradas de direcciones es
necesario configurar el dispositivo de seguridad para los servicios del sistema de
nombres de dominios (DNS). Para obtener información sobre la configuración del
DNS, consulte “Compatibilidad con DNS (sistema de nombres de dominio)” en la
página 219.
WebUI
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
CLI
set address trust Sunnyvale_Eng 10.1.10.0/24
set address untrust Juniper www.juniper.net
save
104 Direcciones
Capítulo 5: Bloques para la construcción de directivas
WebUI
Policy > Policy Elements > Addresses > List > Edit (para Sunnyvale_Eng):
Cambie el nombre y la dirección IP por los siguientes datos, luego haga clic
en OK:
CLI
unset address trust Sunnyvale_Eng
set address trust Sunnyvale_SW_Eng 10.1.40.0/24
save
WebUI
Policy > Policy Elements > Addresses > List: Haga clic en Remove en la
columna “Configure” para “Sunnyvale_SW_Eng”.
CLI
unset address trust “Sunnyvale_SW_Eng”
save
Grupos de direcciones
En “Entradas de direcciones” en la página 104 se explica cómo crear, modificar y
eliminar las entradas en la libreta de direcciones correspondientes a los diferentes
hosts y subredes. Según se vayan agregando direcciones a una lista de direcciones,
se hará más difícil controlar cómo las directivas afectan a cada entrada de
dirección. ScreenOS le permite crear grupos de direcciones. En lugar de administrar
un gran número de entradas de direcciones, puede administrar un pequeño
número de grupos. Los cambios que efectúe al grupo se aplicarán a todas las
entradas de direcciones que lo componen.
Direcciones 105
Manual de referencia de ScreenOS: Conceptos y ejemplos
Directiva
Dirección
acceso
del nombre
Name
Name
Address
Directiva Name
Dirección Address
acceso Address
del nombre Directiva
acceso
Dirección Directiva
del nombre acceso
Puede crear grupos de direcciones con los usuarios existentes, o bien crear
grupos de direcciones vacíos e introducir posteriormente los usuarios.
ScreenOS aplica las directivas a cada miembro del grupo creando internamente
directivas individuales para cada miembro del grupo. Aunque usted solamente
tiene que crear una directiva para un grupo, en realidad ScreenOS crea una
directiva interna para cada miembro del grupo (así como para cada servicio
configurado para cada usuario).
106 Direcciones
Capítulo 5: Bloques para la construcción de directivas
WebUI
Policy > Policy Elements > Addresses > Groups > (para Zone: Trust) New:
Introduzca el siguiente nombre de grupo, mueva las siguientes direcciones y
haga clic en OK:
Direcciones 107
Manual de referencia de ScreenOS: Conceptos y ejemplos
CLI
set group address trust “Planta 2 Central” add “Ing Santa Clara”
set group address trust “Planta 2 Central” add “Publicaciones”
save
WebUI
Policy > Policy Elements > Addresses > Groups > (para Zone: Trust) Edit
(para “Planta 2 Central”): Mueva la siguiente dirección, luego haga clic en OK:
CLI
set group address trust “Planta 2 Central” add Asistencia
save
WebUI
Policy > Policy Elements > Addresses > Groups > (para Zone: Trust) Edit
(“Planta 2 Central”): Mueva la siguiente dirección, luego haga clic en OK:
Policy > Policy Elements > Addresses > Groups > (Zone: Trust): Haga clic
en Remove en la columna “Configure” para “Ventas”.
CLI
unset group address trust “Planta 2 Central” remove Asistencia
unset group address trust Ventas
save
108 Direcciones
Capítulo 5: Bloques para la construcción de directivas
Servicios
Los servicios son tipos de tráfico para los que existen estándares de protocolos.
Cada servicio tiene asociados un protocolo de transporte y uno o varios números de
puertos de destino, como el puerto TCP nº 21 para FTP y el puerto TCP nº 23 para
Telnet. Al crear una directiva se debe especificar un servicio para ella. Puede
seleccionar uno de los servicios predefinidos del libro de servicios, o bien un
servicio personalizado o grupo de servicios que haya creado. Puede ver el servicio
que puede utilizar en una directiva en la lista desplegable Service de la página de
configuración de directivas (WebUI) o al utilizar el comando get service (CLI).
Servicios predefinidos
Puede visualizar la lista de servicios predefinidos o personalizados o bien los grupos
de servicios en el dispositivo de seguridad mediante WebUI o CLI.
Mediante WebUI:
Mediante CLI:
NOTA: Cada servicio predefinido tiene un rango de puertos de origen entre 1 y 65535,
que abarca todo el conjunto de números de puerto válidos. Esto evita que posibles
atacantes obtengan acceso a través de un puerto de origen que se encuentre fuera
del rango. Si necesita utilizar un rango de puertos de origen distinto para cualquier
servicio predefinido, cree un servicio personalizado. Para obtener información,
consulte “Servicios personalizados” en la página 122.
Servicios 109
Manual de referencia de ScreenOS: Conceptos y ejemplos
110 Servicios
Capítulo 5: Bloques para la construcción de directivas
Nombre de mensajes
del ICMP Tipo Código Descripción
ICMP-ANY todos todos ICMP-ANY afecta a cualquier protocolo que utilice el ICMP.
Al rechazar ICMP-ANY se impide cualquier intento de ejecutar el comando ping o
de supervisar una red por medio del ICMP.
Al permitir ICMP-ANY se autorizan todos los mensajes del ICMP.
ICMP-ADDRESS-MASK La consulta de máscara de dirección del ICMP es utilizada por los sistemas que
Request (solicitud) 17 0 necesitan la máscara de la subred local de un servidor bootstrap.
Rechazar los mensajes de solicitud de máscara de direcciones de ICMP puede
Reply (respuesta) 18 0
afectar a los sistemas sin disco.
Al permitir los mensajes de solicitud de máscara de direcciones del ICMP puede
permitir que otros detecten la huella dactilar del sistema operativo de un host en su
red.
ICMP-DEST-UNREACH 3 0 El mensaje de error de destino inalcanzable del ICMP indica que el host de destino
está configurado para rechazar los paquetes.
Los códigos 0, 1, 4 ó 5 pueden provenir de una puerta de enlace. Los códigos 2 ó 3,
de un host (RFC 792).
Al rechazar los mensajes de error de destino inalcanzable del ICMP se impide que
otros usuarios puedan deducir que un host está en línea y en ejecución detrás del
dispositivo de seguridad.
Al permitir los mensajes de error de destino inalcanzable del ICMP, puede facilitar
que se deduzcan datos acerca de la red tales como los filtros de seguridad.
ICMP Fragment Needed 3 4 El mensaje de error de fragmentación del ICMP indica que es necesaria la
fragmentación pero no está establecido el indicador de fragmentos.
Se recomienda rechazar estos mensajes de Internet (untrust) hacia la red fiable.
ICMP Fragment 11 1 El error de tiempo excedido de reensamblaje del fragmento ICMP indica que un
Reassembly host excedió el tiempo en el reensamblaje de un fragmento y descartó el paquete.
Algunas veces se envía este mensaje.
Se recomienda rechazar estos mensajes de Internet (untrust) hacia la red fiable.
ICMP-HOST- 3 1 Los mensajes de error de host inalcanzable del ICMP indican que las entradas de la
UNREACH tabla de enrutamiento no enumeran un host particular, o lo enumeran como
infinito. Algunas veces este error lo envían las puertas de enlace que no pueden
fragmentar cuando reciben un paquete que necesita fragmentación.
Se recomienda rechazar estos mensajes de Internet (untrust) hacia la red fiable.
Al permitir estos mensajes se permite que otros puedan determinar las direcciones
IP de sus hosts internos por medio de un proceso de eliminación, o que realicen
deducciones acerca de las puertas de enlace y de la fragmentación.
ICMP-INFO Los mensajes de consulta de ICMP-INFO permiten que los sistemas de host sin
Request (solicitud) 15 0 disco consulten la red y se configuren a sí mismos.
Rechazar los mensajes de solicitud de máscara de direcciones de ICMP puede
Reply (respuesta) 16 0
afectar de manera desfavorable a los sistemas sin disco.
Si se permiten los mensajes de consulta de máscara de direcciones de ICMP, otros
pueden transmitir consultas de información hacia un segmento de red para
determinar el tipo de computadora.
ICMP-PARAMETER- 12 0 Los mensajes de error de problemas de parámetros de ICMP avisan cuando hay
PROBLEM parámetros incorrectos de encabezado y provocan que se descarte un paquete.
Se recomienda rechazar estos mensajes de Internet (untrust) hacia una red fiable.
Si se permiten mensajes de error de problemas de parámetros de ICMP, otros
usuarios pueden deducir datos acerca de su red.
Servicios 111
Manual de referencia de ScreenOS: Conceptos y ejemplos
Nombre de mensajes
del ICMP Tipo Código Descripción
ICMP-PORT-UNREACH 3 3 Los mensajes de error de puerto inalcanzable indican que los datagramas de
procesamiento de puertas de enlace que solicitan determinados puertos, no están
disponibles o no son compatibles en la red.
Se recomienda rechazar estos mensajes de Internet (untrust) hacia la red fiable.
Si se permiten los mensajes de error de puerto inalcanzable, otros pueden
determinar los puertos que se utilizan para determinados protocolos.
ICMP-PROTOCOL- 3 2 Los mensajes de error de protocolo ICMP indican que los datagramas de
UNREACH procesamiento de puertas de enlace que solicitan determinados protocolos, no
están disponibles o no son compatibles en la red.
Se recomienda rechazar estos mensajes de Internet (untrust) hacia la red fiable.
Si se permiten los mensajes de error de protocolo inalcanzable de ICMP, otros
pueden determinar los protocolos que su red está ejecutando.
ICMP-REDIRECT 5 0 Los enrutadores envían los mensajes de error de red de desvío de ICMP.
Se recomienda rechazar estos mensajes de Internet (untrust) hacia la red fiable.
ICMP-REDIRECT-HOST 5 1 Los mensajes de desvío de ICMP indican los datagramas destinados para que un
host específico los envíe por otra ruta.
ICMP-REDIRECT-TOS- 5 3 ICMP Redirect Type of Service (TOS) y Host Error son un tipo de mensaje.
HOST
ICMP-REDIRECT-TOS- 5 2 ICMP Redirect Type of Service (TOS) y Host Error son un tipo de mensaje.
NET
ICMP-SOURCE- 4 0 El mensaje de error de desconexión de origen de ICMP indica que un enrutador no
QUENCH tiene el espacio de búfer disponible para aceptar, consultar y enviar los paquetes
en el siguiente salto.
Rechazar estos mensajes no ayudará ni impedirá el funcionamiento interno de la
red.
Si se permiten estos mensajes, otros pueden saber que un enrutador se encuentra
congestionado y lo convierte en objetivo viable de ataque.
ICMP-SOURCE-ROUTE- 3 5 Mensaje de error de ruta de origen con fallo de ICMP
FAIL Se recomienda rechazar estos mensajes de Internet (untrust).
ICMP-TIME-EXCEEDED 11 0 El mensaje de error de tiempo de vida (TTL) excedido de ICMP indica que el ajuste
del TTL del paquete llegó a cero antes de que el paquete llegara a su destino. Esto
garantiza que los paquetes anteriores se desechen antes de que se procesen los
reenviados.
Se recomienda rechazar estos mensajes de una red fiable hacia la Internet.
ICMP-TIMESTAMP Los mensajes de consulta ICMP-TIMESTAMP proporcionan el mecanismo para
Request (solicitud) 13 0 sincronizar la hora y coordinar la distribución de la hora en una red amplia y
diversa.
Reply (respuesta) 14 0
112 Servicios
Capítulo 5: Bloques para la construcción de directivas
Nombre de mensajes
del ICMP Tipo Código Descripción
Ping (ICMP ECHO) 8 0 El capturador de paquetes de Internet (Groper) es una utilidad para determinar si
un host específico es accesible por medio de su respuesta de eco de la dirección
0/0.
Si se rechaza la funcionalidad del comando ping, se elimina su capacidad para
verificar si un host está activo.
Si se permite el comando ping, otros pueden ejecutar una denegación de servicio
(DoS) o un ataque Smurf.
ICMP-ECHO- 11 1 El mensaje de error Fragment Echo Reassembly Time Expired de ICMP indica que
FRAGMENT-ASSEMBLY- se superó el tiempo de reensamblaje.
EXPIRE Se recomienda rechazar estos mensajes.
Traceroute Traceroute es una utilidad para indicar la ruta para acceder a un host específico.
Forward (reenviar) 30 0 Se recomienda rechazar esta utilidad de Internet (untrust) hacia su red (trust)
interna.
Discard (descartar) 30 1
Los mensajes de ICMP pasan sin descartar las sesiones. Sin embargo, los
paquetes se descartan en cada sesión.
Servicios 113
Manual de referencia de ScreenOS: Conceptos y ejemplos
114 Servicios
Capítulo 5: Bloques para la construcción de directivas
Servicios 115
Manual de referencia de ScreenOS: Conceptos y ejemplos
10f24e8e-0fa6-11d2-a910-00c04f990f3b
1544f5e0-613c-11d1-93df-00c04fd7bd09
MS-EXCHANGE-MTA 9e8ee830-4459-11ce-979b-00aa005ffebe Servicio Exchange MTA de Microsoft
38a94e72-a9bc-11d2-8faf-00c04fa378ff
MS-EXCHANGE-STORE 99e66040-b032-11d0-97a4-00c04fd6551d Servicio de almacén de Microsoft Exchange
89742ace-a9ed-11cf-9c0c-08002be7ae86
a4f1db00-ca47-1067-b31e-00dd010662da
a4f1db00-ca47-1067-b31f-00dd010662da
MS-EXCHANGE-SYSATD 67df7c70-0f04-11ce-b13f-00aa003bac6c Servicio System Attendant de Microsoft Exchange
f930c514-1215-11d3-99a5-00a0c9b61b04
83d72bf0-0d89-11ce-b13f-00aa003bac6c
469d6ec0-0d87-11ce-b13f-00aa003bac6c
06ed1d30-d3d3-11cd-b80e-00aa004b9c30
MS-FRS f5cc59b4-4264-101a-8c59-08002b2f8426 Servicio de replicación de archivos de Microsoft
d049b186-814f-11d1-9a3c-00c04fc9b232
a00c021c-2be2-11d2-b678-0000f87a8f8e
MS-IIS-COM 70b51430-b6ca-11d0-b9b9-00a0c922e750 Servicio COM GUID/UUID de Microsoft Internet
a9e69612-b80d-11d0-b9b9-00a0c922e70 Information Server
1088a980-eae5-11d0-8d9b-00a02453c33
5b5b3580-b0e0-11d1-b92d-0060081e87f0
41208ee0-e970-11d1-9b9e-00e02c064c39
116 Servicios
Capítulo 5: Bloques para la construcción de directivas
Protocolo de enrutamiento
dinámico Puerto Descripción
RIP 520 RIP es un protocolo de enrutamiento de vector de
distancia común.
OSPF 89 OSPF es un protocolo de enrutamiento de estado
de conexión común.
BGP 179 BGP es un protocolo de enrutamiento exterior/entre
dominios.
Vídeo de secuencias
La Tabla 12 enumera por nombre cada servicio de vídeo de secuencias compatible
e incluye el puerto predeterminado y la descripción. Es posible elegir si permite o
rechaza alguno o todos estos servicios, y dependerá de sus requisitos de red.
NetMeeting TCP origen 1-65535; TCP destino 1720, Microsoft NetMeeting utiliza TCP para proporcionar servicios de
1503, 389, 522 teleconferencias (vídeo y sonido) sobre Internet.
UDP origen 1719
Real media TCP origen 1-65535; TCP destino 7070 Real Media es una tecnología de sonido y vídeo de secuencias.
RTSP 554 El protocolo de secuencias en tiempo real (RTSP) para aplicaciones
de medios de secuencias.
SIP 5056 El protocolo de inicio de sesión (SIP) es un protocolo de control del
nivel de aplicación para crear, modificar y terminar sesiones.
VDO Live TCP origen 1-65535; TCP destino 7000-7010 VDOLive es una tecnología de secuencia de vídeos con posibilidad
de ampliación.
Servicios 117
Manual de referencia de ScreenOS: Conceptos y ejemplos
Números del
Servicio programa Nombre completo
SUN-RPC-PORTMAPPER 111 Protocolo de asignación de puertos RPC de
100000 Sun
SUN-RPC-ANY ANY Cualquier servicio Sun RPC
SUN-RPC-PROGRAM-MOUNTD 100005 Demonio de montaje Sun RPC Mount
Daemon
SUN-RPC-PROGRAM-NFS 100003 Sistema de archivos en red Sun RPC
100227 Network File System
118 Servicios
Capítulo 5: Bloques para la construcción de directivas
Servicios 119
Manual de referencia de ScreenOS: Conceptos y ejemplos
Servicios de administración
La Tabla 17 enumera los servicios predefinidos de administración. Cada entrada
incluye el nombre del servicio, el puerto predeterminado o asignado y una
descripción del servicio.
120 Servicios
Capítulo 5: Bloques para la construcción de directivas
Servicios de correo
La Tabla 18 enumera los servicios predefinidos de correo. Cada entrada incluye el
nombre del servicio, el puerto predeterminado o asignado y una descripción del
servicio.
Servicios UNIX
La Tabla 19 enumera los servicios predefinidos de UNIX. Cada entrada incluye el
nombre del servicio, el puerto predeterminado o asignado y una descripción del
servicio.
Servicios 121
Manual de referencia de ScreenOS: Conceptos y ejemplos
Servicios varios
La Tabla 20 enumera los servicios predefinidos de otro tipo. Cada entrada incluye el
nombre del servicio, el puerto predeterminado o asignado y una descripción del
servicio.
Servicios personalizados
En lugar de utilizar servicios predefinidos, puede crear fácilmente servicios
personalizados. Puede asignar a cada servicio personalizado los atributos
siguientes:
Nombre
Protocolo de transporte
Números de los puertos de origen y de destino para los servicios que utilizan
TCP o UDP
122 Servicios
Capítulo 5: Bloques para la construcción de directivas
Si el servicio utiliza el protocolo TCP o UDP u otro protocolo compatible con las
especificaciones de Internet. En este ejemplo, el protocolo es TCP.
WebUI
Policy > Policy Elements > Services > Custom > New: Introduzca los
siguientes datos y haga clic en OK:
CLI
set service cust-telnet protocol tcp src-port 1-65535 dst-port 23000-23000
set service cust-telnet timeout 30
save
Servicios 123
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
Policy > Policy Elements > Services > Custom > Edit (para cust-telnet):
Introduzca los siguientes datos y haga clic en OK:
CLI
set service cust-telnet clear
set service cust-telnet + tcp src-port 1-65535 dst-port 23230-23230
save
WebUI
Policy > Policy Elements > Services > Custom: Haga clic en Remove en la
columna “Configure” para “cust-telnet”.
CLI
unset service cust-telnet
save
124 Servicios
Capítulo 5: Bloques para la construcción de directivas
Los servicios que incluyen varias entradas de reglas comparten el mismo valor de
tiempo de espera. Si hay varios servicios que comparte el mismo protocolo y rango
de puertos de destino, todos los servicios comparten el último valor de tiempo de
espera configurado.
Tiempo de espera
Protocolo predeterminado (minutos)
TCP 30
UDP 1
ICMP 1
OSPF 1
Otro 30
Para los grupos de servicios, incluso los grupos ocultos y creados en configuraciones
de directivas de células múltiples, y para el servicio predefinido “ANY” (si no está
establecido el tiempo de espera), la consulta del tiempo de espera del servicio
procede de la siguiente forma:
Servicios 125
Manual de referencia de ScreenOS: Conceptos y ejemplos
Contingencias
Cuando se establecen los tiempos de espera, se debe poner atención en lo
siguiente:
set service ftp-1 protocol tcp src 0-65535 dst 2121-2121 timeout 10
set service telnet-1 protocol tcp src 0-65535 dst 2100-2148 timeout 20
126 Servicios
Capítulo 5: Bloques para la construcción de directivas
y luego modifica el tiempo de espera del BGP del servicio predefinido según
sigue:
Ejemplo
En el siguiente ejemplo cambiará el umbral del tiempo de espera del servicio
predefinido FTP a 75 minutos:
WebUI
Policy > Policy Elements > Services > Predefined > Edit (FTP): Introduzca los
siguientes datos y haga clic en OK:
CLI
set service FTP timeout 75
save
Servicios 127
Manual de referencia de ScreenOS: Conceptos y ejemplos
NOTA: Para obtener más información sobre los tipos y códigos de ICMP, consulte
RFC 792, Protocolo de mensajes de control de Internet.
Los tipos de mensajes ICMP también pueden tener un código de mensaje. El código
proporciona información más específica acerca del mensaje, como se muestra en la
Tabla 22.
WebUI
Policy > Policy Elements > Services > Custom: Introduzca los siguientes datos
y haga clic en OK:
CLI
set service host-unreachable protocol icmp type 5 code 0
set service host-unreachable timeout 2
save
128 Servicios
Capítulo 5: Bloques para la construcción de directivas
Los dispositivos de seguridad de Juniper Networks admiten Sun RPC como servicio
predefinido, lo que permite y rechaza el tráfico basándose en una directiva que
usted configure. La puerta de enlace de la capa de aplicación (“application layer
gateway” o ALG) proporciona la funcionalidad necesaria para que los dispositivos de
seguridad puedan manejar el mecanismo dinámico de negociación de direcciones
de transporte de Sun RPC y para asegurar el cumplimiento de las directivas de
cortafuegos basadas en el número de programa. Se puede definir una directiva de
cortafuegos para permitir o denegar todas las peticiones RPC, o bien para permitir
o denegar determinados números de programa. ALG también admite el modo de
rutas y NAT para las peticiones entrantes y salientes.
Un cliente también puede utilizar el mensaje CALLIT para llamar al servicio remoto
directamente sin conocer el número de puerto del servicio. En este caso, el
procedimiento es el siguiente:
Servicios 129
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
Policy > Policy Elements > Services > Sun RPC Services > New: Introduzca
los siguientes datos y haga clic en Apply:
CLI
set service my-sunrpc-nfs protocol sun-rpc program 100003-100003
set service my-sunrpc-nfs + sun-rpc program 100227-100227
save
130 Servicios
Capítulo 5: Bloques para la construcción de directivas
0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde
1453c42c-0fa6-11d2-a910-00c04f990f3b
10f24e8e-0fa6-11d2-a910-00c04f990f3b
1544f5e0-613c-11d1-93df-00c04fd7bd09
WebUI
Policy > Policy Elements > Services > MS RPC: Introduzca los siguientes
datos y haga clic en Apply:
CLI
set service my-ex-info-store protocol ms-rpc uuid
0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde
set service my-ex-info-store + ms-rpc uuid
1453c42c-0fa6-11d2-a910-00c04f990f3b
set service my-ex-info-store + ms-rpc uuid
10f24e8e-0fa6-11d2-a910-00c04f990f3b
set service my-ex-info-store + ms-rpc uuid
1544f5e0-613c-11d1-93df-00c04fd7bd09
save
Servicios 131
Manual de referencia de ScreenOS: Conceptos y ejemplos
La Figura 49 en la página 133 muestra una sesión RTSP típica. El cliente inicia una
sesión (por ejemplo, cuando el usuario hace clic en el botón de reproducción de
RealPlayer), establece una conexión TCP al servidor RTSP en el puerto 554 y envía
el mensaje OPTIONS (los mensajes también se denominan métodos) para descubrir
qué funciones de audio y vídeo soporta el servidor. El servidor responde al mensaje
OPTIONS especificando el nombre y la versión del servidor, así como un
identificador de sesión, por ejemplo 24256-1. (Para obtener más información sobre
métodos, consulte “Métodos de petición del protocolo SIP” en la página 6-14 y la
norma RFC 2326, sección 11).
132 Servicios
Capítulo 5: Bloques para la construcción de directivas
Servicios 133
Manual de referencia de ScreenOS: Conceptos y ejemplos
134 Servicios
Capítulo 5: Bloques para la construcción de directivas
La Tabla 25 enumera todos los códigos de estado definidos para RTSP 1.0 y las
frases de motivo recomendadas. Las frases de motivo se pueden revisar o redefinir
sin que ello afecte al funcionamiento del protocolo.
Código de Código de
estado Frase del motivo estado Frase del motivo
100 Continue 414 Request-URI Too Large
200 OK 415 Unsupported Media Type
201 Created 451 Unsupported Media Type
250 Low on Storage Space 452 Conference Not Found
Servicios 135
Manual de referencia de ScreenOS: Conceptos y ejemplos
Código de Código de
estado Frase del motivo estado Frase del motivo
300 Multiple Choices 453 Not Enough Bandwidth
301 Moved Permanently 454 Session Not Found
303 See Other 455 Method Not Valid in This State
304 Not Modified 456 Header Field Not Valid for Resource
305 Use Proxy 457 Invalid Range
400 Bad Request 458 Parameter is Read-Only
401 Unauthorized 459 Aggregate operation not allowed
402 Payment Required 460 Only aggregate operation allowed
403 Forbidden 461 Unsupported transport
404 Not Found 462 Destination unreachable
405 Method Not Allowed 500 Internal Server Error
406 Not Acceptable 501 Not Implemented
407 Proxy Authentication 502 Bad Gateway
Required
408 Request Time-out 503 Service Unavailable
410 Gone 504 Gateway Time-out
411 Length Required 505 RTSP Version not supported
412 Precondition Failed 551 Option not supported
413 Request Entity Too Large
NOTA: Para ver las definiciones completas de los códigos de estado, consulte RFC 2326,
Protocolo de secuencias en tiempo real (Real Time Streaming Protocol o RTSP).
LAN LAN
Dispositivo virtual
Servidor de medios MIP en ethernet0/3 Client1.1.1.5
10.1.1.3 1.1.1.3 -> 10.1.1.3
136 Servicios
Capítulo 5: Bloques para la construcción de directivas
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet0/3): Introduzca los siguientes
datos y haga clic en Apply:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), cliente
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.3)
Service: RTSP
Action: Permit
Servicios 137
Manual de referencia de ScreenOS: Conceptos y ejemplos
CLI
1. Interfaces
set interface ethernet0/1 trust
set interface ethernet0/1 ip 10.1.1.1
set interface ethernet0/3 untrust
set interface ethernet0/3 ip 1.1.1.1
2. Direcciones
set address trust media_server 10.1.1.3/24
set address untrust client 1.1.1.5
3. MIP
set interface ethernet0/3 mip (1.1.1.3) host 10.1.1.3
4. Directiva
set policy from untrust to trust client mip(1.1.1.3) rtsp permit
save
Conjunto de DIP
Cliente en ethernet0/3 Servidor de medios
10.1.1.3 1.1.1.5 a 1.1.1.50 1.1.1.3
WebUI
1. Interfaz
Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet0/3): Introduzca los siguientes
datos y haga clic en Apply:
138 Servicios
Capítulo 5: Bloques para la construcción de directivas
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
ID: 5
IP Address Range: (seleccione) 1.1.1.5 ~ 1.1.1.50
Port Translation: (seleccione)
4. Directiva
Policy > Policies > (From: Trust, To: Untrust} > New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry (seleccione): client
Destination Address:
Address Book Entry (seleccione): media_server
Service: RTSP
Action: Permit
NAT:
Source Translation: (seleccione)
(DIP on): 5 (1.1.1.5-1.1.1.50)/port-xlate
CLI
1. Interface
set interface ethernet0/1 zone trust
set interface ethernet0/1 ip 10.1.1.1
set interface ethernet0/3 zone untrust
set interface ethernet0/3 ip 1.1.1.1/24
2. Direcciones
set address trust client ip 10.1.1.3/24
set address untrust media_server ip 1.1.1.3/24
3. Conjunto de DIP
set interface ethernet0/3 dip 5 1.1.5 1.1.1.50
Servicios 139
Manual de referencia de ScreenOS: Conceptos y ejemplos
4. Directiva
set policy from trust to untrust client media_server rtsp nat dip 5 permit
save
Grupos de servicios
Un grupo de servicios es un conjunto de servicios agrupados bajo un nombre. Una
vez creado un grupo que contenga varios servicios, se pueden aplicar servicios a las
directivas a nivel de grupo, simplificando la administración.
Se puede hacer referencia a cada entrada del libro de servicios en uno o más
grupos de servicios.
Los grupos de servicios no pueden llamarse igual que los servicios; por ejemplo,
si existe un servicio llamado “FTP”, no puede existir un grupo de servicios con
el mismo nombre.
WebUI
Policy > Policy Elements > Services > Groups > New: Introduzca el siguiente
nombre de grupo, mueva los siguientes servicios y haga clic en OK:
140 Servicios
Capítulo 5: Bloques para la construcción de directivas
CLI
set group service grp1
set group service grp1 add ike
set group service grp1 add ftp
set group service grp1 add ldap
save
WebUI
Policy > Policy Elements > Services > Groups > Edit (para grp1): Mueva los
siguientes servicios, luego haga clic en OK:
Seleccione IKE y utilice el botón >> para mover el servicio de la columna
“Group Members” a la columna “Available Members”.
Seleccione FTP y utilice el botón >> para mover el servicio de la columna
“Group Members” a la columna “Available Members”.
Seleccione LDAP y utilice el botón >> para mover el servicio de la
columna “Group Members” a la columna “Available Members”.
Seleccione HTTP y utilice el botón << para mover el servicio de la
columna “Available Members” a la columna “Group Members”.
Seleccione Finger y utilice el botón << para mover el servicio de la
columna “Available Members” a la columna “Group Members”.
Seleccione IMAP y utilice el botón << para mover el servicio de la
columna “Available Members” a la columna “Group Members”.
CLI
unset group service grp1 clear
set group service grp1 add http
set group service grp1 add finger
set group service grp1 add imap
save
Servicios 141
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
Policy > Policy Elements > Services > Groups: Haga clic en Remove (para
grp1).
CLI
unset group service grp1
save
Conjuntos de IP dinámicas
Un conjunto de IP dinámicas (DIP) es un rango de direcciones IP del cual el
dispositivo de seguridad toma direcciones de forma dinámica o determinista para
aplicar la traducción de direcciones de red a la dirección IP de origen (NAT-src) en
los encabezados de paquetes IP. (Para obtener más información sobre la traducción
determinista de direcciones de origen, consulte “NAT-Src desde un conjunto de DIP
con desplazamiento de direcciones” en la página 8-20). Si el rango de direcciones
de un conjunto de DIP pertenece a la misma subred que la dirección IP de la
interfaz, el conjunto debe excluir la dirección IP de la interfaz, las direcciones IP del
enrutador y cualquier dirección IP asignada (MIP) o virtual (VIP) que pueda haber
en esa misma subred. Si el rango de direcciones se encuentra en la subred de una
interfaz extendida, el conjunto debe excluir la dirección IP extendida de la interfaz.
A la zona Untrust
Túneles VPN
A la zona Trust
Pared de fuego
Conjuntos de DIP
Interfaces
Los administradores del sitio remoto también deberán crear una interfaz de túnel
con una dirección IP en un espacio de direcciones neutral, tal como 10.20.2.1/24,
y configurar una dirección IP asignada (MIP) a su servidor FTP, como 10.20.2.5
hacia el host 10.1.1.5.
WebUI
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 10.10.1.2 ~ 10.10.1.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
CLI
set interface tunnel.1 zone untrust-tun
set interface tunnel.1 ip 10.10.1.1/24
set interface tunnel.1 dip 5 10.10.1.2 10.10.1.2
save
NOTA: Dado que PAT está habilitada de forma predeterminada, no existe ningún
argumento para habilitarla. Para crear el mismo conjunto de DIP según lo definido
anteriormente, pero sin PAT (es decir, con números de puerto fijos), haga lo
siguiente:
(WebUI) Network > Interfaces > Edit (para tunnel.1) > DIP > New: Borre la
casilla de verificación de Port Translation, luego haga clic en OK.
NOTA: No hay directivas que utilicen este conjunto de DIP en particular. Para que una
directiva utilice un conjunto de DIP, primero debe eliminar la directiva o
modificarla para que no pueda utilizar el conjunto de DIP antes de que usted lo
haya modificado.
WebUI
Network > Interfaces > Edit (para tunnel.1) > DIP > Edit (para ID 5):
Introduzca los siguientes datos y haga clic en OK:
CLI
unset interface tunnel.1 dip 5
set interface tunnel.1 dip 5 10.20.1.2 10.20.1.10
save
NOTA: Para los conjuntos de DIP que no realizan la traducción de puertos, el dispositivo
de seguridad asigna una dirección IP a todas las sesiones simultáneas del mismo
host.
Por ejemplo, es importante tener la misma dirección IP para varias sesiones cuando
se utiliza el cliente AOL Instant Messaging (AIM). Creará una sesión durante el inicio
de su sesión y otra por cada chat. Para que el servidor AIM pueda verificar que un
nuevo chat pertenece a un usuario autenticado, debe comparar la dirección IP de
origen del inicio de sesión con la dirección de la sesión de chat. Si son diferentes
(posiblemente porque hubiesen sido asignadas aleatoriamente desde un conjunto
de DIP durante el proceso NAT), el servidor AIM rechazará la sesión de chat.
En este ejemplo, dos sucursales tienen líneas punto a punto con la sede central. La
oficina central les exige utilizar solamente las direcciones IP autorizadas que les ha
asignado. Sin embargo, las oficinas reciben de su proveedor de servicios (“ISP”)
otras direcciones IP para el tráfico de Internet. Para la comunicación con la oficina
central, utilizará la opción de interfaz extendida para configurar el dispositivo de
seguridad en cada sucursal de modo que traduzca la dirección IP de origen a la
dirección autorizada en todos los paquetes enviados a la oficina central. Las
direcciones IP autorizadas y asignadas para las sucursales A y B son las siguientes:
En ambos sitios, los dispositivos de seguridad tienen una zona Trust y una zona
Untrust. Todas las zonas de seguridad se encuentran en el dominio de enrutamiento
trust-vr. Enlazará ethernet0/1 a la zona Trust y le asignará la dirección
IP 10.1.1.1/24. Enlazará ethernet0/3 a la zona Untrust y le asignará la dirección IP
generada por los correspondientes ISP: 195.1.1.1/24 para la Oficina A y
201.1.1.1/24 para la Oficina B. A continuación, creará una interfaz extendida con
un conjunto de DIP que contendrá la dirección IP autorizada en ethernet0/3:
Oficina
central (HQ)
Nota: Las líneas arrendadas conectan las
sucursales A y B directamente a la sede central.
200.1.1.1 Zona Untrust
Zona Untrust
ISP
Línea Línea
arrendada arrendada
Internet
Zona Untrust, ethernet0/3 Zona Untrust, ethernet0/3
El ISP asigna 195.1.1.1/24 El ISP asigna 201.1.1.1/24
(interfaz física) (interfaz física)
ISP ISP
La central autoriza HQ autoriza 211.20.1.1/24
211.10.1.1/24 (interfaz (interfaz extendida)
extendida) Puerta de enlace
Puerta de enlace predeterminada 201.1.1.254
predeterminada 195.1.1.254
Zona Trust, ethernet0/1 Oficina A Oficina B Zona Trust, ethernet0/1
10.1.1.1/24 10.1.1.1/24
Zona Trust Zona Untrust
NOTA: Para poder utilizar una línea punto a punto, cada ISP debe establecer una ruta para
el tráfico destinado al sitio que se encuentra en el extremo de esa línea. Los ISP
desviarán a Internet cualquier otro tráfico que reciban de un dispositivo de
seguridad local.
WebUI (sucursal A)
1. Interfaces
Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes
datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet0/3): Introduzca los siguientes
datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet0/3) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 211.10.1.1 ~ 211.10.1.1
Port Translation: (seleccione)
Extended IP/Netmask: 211.10.1.10/255.255.255.0
2. Dirección
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: HQ
IP Address/Domain Name:
IP/Netmask: (seleccione), 200.1.1.1/32
Zone: Untrust
3. Ruta
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Policy > Policies > (From: Trust, To: Untrust} New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), HQ
Service: ANY
Action: Permit
Position at Top: (seleccione)
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): 5 (211.10.1.1-211.10.1.1)/X-late
WebUI (sucursal B)
1. Interfaces
Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes
datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet0/3): Introduzca los siguientes
datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet0/3) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 211.20.1.1 ~ 211.20.1.1
Port Translation: (seleccione)
Extended IP/Netmask: 211.20.1.10/255.255.255.0
2. Dirección
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: HQ
IP Address/Domain Name:
IP/Netmask: (seleccione), 200.1.1.1/32
Zone: Untrust
3. Ruta
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Policy > Policies > (From: Trust, To: Untrust} New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), HQ
Service: ANY
Action: Permit
Position at Top: (seleccione)
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
DIP On: (seleccione), 5 (211.20.1.1-211.20.1.1)/X-late
CLI (sucursal A)
1. Interfaces
set interface ethernet0/1 zone trust
set interface ethernet0/1 ip 10.1.1.1/24
set interface ethernet0/1 nat
set interface ethernet0/3 zone untrust
set interface ethernet0/3 ip 195.1.1.1/24
set interface ethernet0/3 route
set interface ethernet0/3 ext ip 211.10.1.10 255.255.255.0 dip 5 211.10.1.1
2. Dirección
set address untrust hq 200.1.1.1/32
3. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet0/3 gateway 195.1.1.254
4. Directivas
set policy from trust to untrust any any any permit
set policy top from trust to untrust any hq any nat src dip 5 permit
save
CLI (sucursal B)
1. Interfaces
set interface ethernet0/1 zone trust
set interface ethernet0/1 ip 10.1.1.1/24
set interface ethernet0/1 nat
set interface ethernet0/3 zone untrust
set interface ethernet0/3 ip 201.1.1.1/24
set interface ethernet0/3 route
set interface ethernet0/3 ext ip 211.20.1.10 255.255.255.0 dip 5 211.20.1.1
2. Dirección
set address untrust hq 200.1.1.1/32
3. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet0/3 gateway 201.1.1.254
4. Directivas
set policy from trust to untrust any any any permit
set policy top from trust to untrust any hq any nat src dip 5 permit
save
NOTA: Para obtener más información sobre interfaces de bucle invertido, consulte
“Interfaces de bucle invertido (o “loopback”)” en la página 57.
Host A Host B
IP de origen IP de destino 10.1.1.5 10.1.1.6 IP de origen IP de destino
10.1.1.5 2.2.2.2 DATOS 10.1.1.6 2.2.2.2 DATOS
Asociará estas interfaces a la zona Untrust y después les asignará las direcciones IP
indicadas anteriormente. También asociará ethernet0/1 a la zona Trust y le asignará
la dirección IP 10.1.1.1/24.
Definirá rutas a dos puertas de enlace para que el tráfico saliente las utilice. Dado
que no tiene ninguna preferencia por una ruta u otra, no incluirá ninguna métrica
en ninguna de ellas. El tráfico saliente podrá seguir cualquier ruta.
NOTA: Para indicar una ruta preferente, incluya métricas en ambas rutas y asigne a su
ruta preferida una métrica más alta, es decir, un valor más cercano a 1.
Por último, creará una directiva que aplicará la traducción de direcciones de red de
origen (NAT-src) al tráfico saliente hacia la oficina remota. La directiva hará
referencia al conjunto de DIP con la identificación 10.
WebUI
1. Interfaces
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes
datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet0/2): Introduzca los siguientes
datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet0/3): Introduzca los siguientes
datos y haga clic en OK:
ID: 5
IP Address Range: 1.3.3.2 ~ 1.3.3.2
Port Translation: (seleccione)
3. Dirección
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
4. Rutas
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), ofi_remota
Service: ANY
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
DIP On: (seleccione), 10 (1.3.3.2-1.3.3.2)/port-xlate
CLI
1. Interfaces
set interface loopback.1 zone untrust
set interface loopback.1 ip 1.3.3.1/30
set interface ethernet0/1 zone trust
set interface ethernet0/1 ip 10.1.1.1/24
set interface ethernet0/1 nat
set interface ethernet0/2 zone untrust
set interface ethernet0/2 ip 1.1.1.1/24
set interface ethernet0/2 loopback-group loopback.1
set interface ethernet0/3 zone untrust
set interface ethernet0/3 ip 1.2.2.1/24
set interface ethernet0/3 loopback-group loopback.1
2. Conjunto de DIP
set interface loopback.1 dip 10 1.3.3.2 1.3.3.2
3. Dirección
set address untrust ofi_remota 2.2.2.2/32
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet0/2 gateway 1.1.1.250
set vrouter trust-vr route 0.0.0.0/0 interface ethernet0/3 gateway 1.2.2.250
5. Directiva
set policy from trust to untrust any ofi_remota any nat src dip-id 10 permit
save
Zona Untrust
VSD de VSD
respaldo 0 Dispositivo B maestro 1
Para solucionar este problema, cree dos conjuntos de DIP (uno en la VSI de la zona
Untrust por cada grupo VSD) y combine ambos conjuntos de DIP en un grupo de
DIP, al que luego hará referencia en la directiva. Cada VSI utiliza su propio conjunto
de VSD incluso aunque en la directiva se especifique el grupo de DIP.
ethernet0/3 ethernet0/3:1
VSI de la 1.1.1.1/24 1.1.1.2/24
Grupo de DIP 9
VSD VSD de
Dispositivo A respaldo 1
maestro 0
Clúster NSRP Grupo VSD: 0 Grupo VSD: 1
VSD de VSD
respaldo 0 Dispositivo B maestro 1
WebUI
1. Conjuntos de DIP
Network > Interfaces > Edit (para ethernet0/3) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 1.1.1.20 – 1.1.1.29
Port Translation: (seleccione)
Network > Interfaces > Edit (para ethernet0/0/3) > DIP > New: Introduzca
los siguientes datos y haga clic en OK:
ID: 6
IP Address Range: 1.1.1.30 – 1.1.1.39
Port Translation: (seleccione)
NOTA: En el momento de publicar esta versión, los grupos de DIP solamente pueden
definirse desde la CLI.
2. Directiva
Policy > Policies > (From: Trust, To: Untrust} New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
DIP On: (seleccione), 7
CLI
1. Conjuntos de DIP
set interface ethernet0/3 dip 5 1.1.1.20 1.1.1.29
set interface ethernet0/3:1 dip 6 1.1.1.30 1.1.1.39
2. Grupos de DIP
set dip group 7 member 5
set dip group 7 member 6
3. Directiva
set policy from trust to untrust any any any nat src dip-id 7 permit
save
Para definir una tarea programada, introduzca los valores de los parámetros
siguientes:
Recurring: Habilite esta opción cuando desee que el programa se repita con
una periodicidad semanal.
Start and End Times: Debe configurar tanto la hora de comienzo como la de
fin. Puede especificar hasta dos periodos de un mismo día.
Once: Habilite esta opción cuando desee que la tarea programada se ejecute y
termine una sola vez.
mm/dd/aaaa hh:mm: Debe introducir las fechas y las horas tanto de inicio
como de fin.
En este ejemplo hay un empleado a tiempo parcial llamado Tom que utiliza el
acceso a Internet de la empresa para asuntos personales después del trabajo. Usted
creará una tarea programada para el horario no comercial que asociará a una
directiva para denegar el tráfico TCP/IP saliente generado por el equipo de ese
trabajador (10.1.1.5/32) fuera del horario de oficina normal.
WebUI
1. Tarea programada
Policy > Policy Elements > Schedules > New: Introduzca los siguientes datos
y haga clic en OK:
Period 2:
2. Dirección
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Tom
Comment: Temp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/32
Zone: Trust
3. Directiva
Policy > Policies > (From: Trust, To: Untrust} New: Introduzca los siguientes
datos y haga clic en OK:
Name: No Net
Source Address:
Address Book Entry: (seleccione), Tom
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
Action: Deny
Schedule: Horas no laborables
CLI
1. Tarea programada
set schedule “horas no laborables” recurrent sunday start 00:00 stop 23:59
set schedule “horas no laborables” recurrent monday start 00:00 stop 06:00
start 17:00 stop 23:59
set schedule “horas no laborables” recurrent tuesday start 00:00 stop 06:00
start 17:00 stop 23:59
set schedule “horas no laborables” recurrent wednesday start 00:00 stop 06:00
start 17:00 stop 23:59
set schedule “horas no laborables” recurrent thursday start 00:00 stop 06:00
start 17:00 stop 23:59
set schedule “horas no laborables” recurrent friday start 00:00 stop 06:00 start
17:00 stop 23:59
set schedule “horas no laborables” recurrent saturday start 00:00 stop 23:59
comment “Horario de oficina cerrada”
2. Dirección
set address trust tom 10.1.1.5/32 “temp”
3. Directiva
set policy from trust to untrust tom any http deny schedule “horas no laborables”
save
161
Manual de referencia de ScreenOS: Conceptos y ejemplos
Elementos básicos
Una directiva permite, deniega o encapsula los tipos de tráfico especificados de
forma unidireccional entre dos puntos. El tipo de tráfico (o “servicio”), la ubicación
de los dos puntos finales y la acción invocada componen los elementos básicos de
una directiva. Aunque puede haber otros componentes, los elementos requeridos,
que juntos constituyen el núcleo de una directiva, se describen en la Tabla 27.
Elemento Descripción
Sentido El sentido del tráfico entre dos zonas de seguridad (desde una zona de
origen a una zona de destino)
Dirección de origen La dirección desde la cual se inicia el tráfico
Dirección de destino La dirección a la cual se envía el tráfico
Servicio El tipo de tráfico transmitido
Acción La acción que realiza el dispositivo de seguridad en el momento de recibir
el tráfico que cumple los cuatro principales criterios: denegar, permitir,
rechazar o tunelizar
Nota: La acción “tunnel” (túnel VPN o L2TP) contiene de manera implícita
el concepto “permit”.
Directivas interzonales
Las directivas interzonales permiten controlar el tráfico entre zonas de seguridad.
Puede establecer directivas interzonales para denegar, permitir, rechazar o tunelizar
el tráfico desde una zona a otra. Por medio del uso de técnicas de inspección activa,
un dispositivo de seguridad actualiza una tabla de sesiones del TCP activas y de
“supuestas” sesiones del UDP activas de manera que pueda permitir respuestas a
las solicitudes de servicio. Por ejemplo, si tiene una directiva que permite enviar
solicitudes de HTTP del host A de la zona Trust al servidor B de la zona Untrust,
cuando el dispositivo de seguridad recibe respuestas de HTTP del servidor B para el
host A, el dispositivo de seguridad compara el paquete recibido con el contenido de
su tabla. Si detecta que el paquete es una respuesta a una solicitud HTTP aprobada,
el dispositivo de seguridad permite al paquete del servidor B de la zona Untrust
cruzar el cortafuegos hacia el host A en la zona Trust. Para permitir el tráfico
iniciado por el servidor B hacia el host A (no sólo respuestas al tráfico iniciado por el
host A), debe crear una segunda directiva del servidor B en la zona Untrust al host A
en la zona Trust.
Nota: El dispositivo de seguridad deniega la petición HTTP del servidor B porque no hay ninguna directiva que lo permita.
Directivas intrazonales
Las directivas intrazonales permiten controlar el tráfico entre interfaces asociadas a
la misma zona de seguridad. Las direcciones de origen y de destino se encuentran
en la misma zona de seguridad, pero llegaron al dispositivo de seguridad a través de
diferentes interfaces. Igual que las directivas interzonales, las directivas intrazonales
controlan el tráfico que fluye unidireccionalmente. Para permitir el tráfico iniciado
en cualquier extremo de una ruta de datos, debe crear dos directivas, una para cada
sentido.
set policy from trust to trust “host A” “servidor B” any permit ethernet0/1 ethernet0/4
set policy from trust to trust “servidor B” “host A” any permit 10.1.1.1/24 10.1.2.1/24
Conmutadores de capa 2
Host A Servidor B
10.1.1.5 LAN 1 LAN
10.1.1.0/24 10.1.2.0/24 10.1.2.30
Zona Trust
Directivas globales
A diferencia de las directivas interzonales e intrazonales, las directivas globales no
hacen referencia a zonas de origen y de destino específicas. Las directivas globales
hacen referencia a direcciones de la zona Global definidas por el usuario o a la
dirección “any” de la zona predefinida Global. Estas direcciones pueden pasar por
varias zonas de seguridad. Por ejemplo, si desea proporcionar acceso hacia o desde
varias zonas, puede crear una directiva global con la dirección “any” de la zona
Global, la cual abarca todas las direcciones en todas las zonas.
Cuando el dispositivo de seguridad recibe un paquete que inicia una nueva sesión,
éste detecta la interfaz de entrada y de este modo se informa de a qué zona de
origen está unida esa interfaz. A continuación, el dispositivo de seguridad realiza
una consulta de rutas para determinar la interfaz de salida y, por lo tanto,
determina a qué zona de destino está unida esa interfaz. Por medio del uso de las
zonas de origen y de destino, el dispositivo de seguridad puede realizar una
consulta de directivas, consultando las listas de conjuntos de directivas en el
siguiente orden:
(o bien)
(o bien)
Definición de directivas
Un cortafuegos representa el límite de una red con un solo punto de entrada y de
salida. Como todo el tráfico debe pasar a través de este punto, puede supervisarlo y
dirigirlo implementando listas de conjuntos de directivas (para directivas
interzonales, directivas intrazonales y directivas globales).
NOTA: Para los dispositivos de seguridad que admiten sistemas virtuales, las directivas
que se establecen en el sistema raíz no afectan a las directivas que se establecen
en los sistemas virtuales.
Directivas y reglas
Una sola directiva definida por el usuario produce internamente una o más reglas
lógicas, y cada regla lógica consta de un conjunto de componentes: la dirección de
origen, la dirección de destino y el servicio. Los componentes consumen recursos
de memoria. Las reglas lógicas que se refieren a los componentes no.
Estos 15 componentes se combinan de varias maneras para producir las 125 reglas
lógicas generadas por la directiva única. Al permitir que varias reglas lógicas utilicen
el mismo conjunto de componentes en diferentes combinaciones, el dispositivo de
seguridad consume muchos menos recursos que si cada regla lógica tuviera una
relación “uno a uno” con sus componentes.
Servicios
Aplicación
Nombre
Encapsulamiento VPN
Encapsulamiento L2TP
Deep Inspection
Autenticación de usuarios
Filtrado de Web
Registro
Recuento
Tareas programadas
Análisis antivirus
Asignación de tráfico
ID
Cada directiva tiene un número de identificación, bien porque el usuario lo defina,
bien porque el dispositivo de seguridad lo asigne automáticamente. Solamente se
puede definir un número de identificación para una directiva ejecutando el
comando “set policy” de CLI: set policy id número … Una vez conocido el número
de identificación, puede entrar en el contexto de la directiva para ejecutar otros
comandos con el fin de modificarla. (Para obtener más información sobre
contextos de directivas, consulte “Introducción del contexto de una directiva” en la
página 187).
Zonas
Una zona puede ser un segmento del espacio de red al que se aplican medidas de
seguridad (zona de seguridad), un segmento lógico que tiene asociada una interfaz
de túnel VPN (zona de túnel), o una entidad física o lógica que realiza una función
específica (zona de función). Una directiva permite que el tráfico fluya entre dos
zonas de seguridad (directiva interzonal) o entre dos interfaces asociadas a la
misma zona (directiva intrazonal). (Para obtener más información, consulte
“Zonas” en la página 25, “Directivas interzonales” en la página 163 y “Directivas
intrazonales” en la página 163).
Direcciones
Las direcciones son objetos que identifican dispositivos de red tales como hosts y
redes por su ubicación en relación al cortafuegos (en una de las zonas de
seguridad). Los hosts individuales se especifican utilizando la máscara
255.255.255.255, que indica que los 32 bits de la dirección son significativos. Las
redes se especifican utilizando su máscara de subred para indicar qué bits son
significativos. Para crear una directiva para direcciones específicas, primero debe
crear entradas para los hosts y redes correspondientes en la libreta de direcciones.
También puede crear grupos de direcciones y aplicarles directivas como haría con
otras entradas en la libreta de direcciones. Cuando utilice grupos de direcciones
como elementos de directivas, tenga presente que, debido a que el dispositivo de
seguridad aplica la directiva a cada dirección en el grupo, el número de reglas
lógicas internas disponibles y de componentes que conforman esas reglas se puede
agotar más rápidamente de lo esperado. Esto supone un peligro, especialmente
cuando se utilizan grupos de direcciones tanto para el origen como para el destino.
(Para obtener más información, consulte “Directivas y reglas” en la página 166).
Servicios
Los servicios son objetos que identifican los protocolos de aplicación usando la
información de la capa 4, como por ejemplo los números de puerto estándar y
aceptados de TCP y UDP para los servicios de aplicaciones como Telnet, FTP, SMTP
y HTTP. ScreenOS incluye servicios básicos de Internet predefinidos. También se
pueden definir servicios personalizados.
Acción
Una acción es un objeto que describe el tratamiento que el cortafuegos debe dar al
tráfico que recibe.
NOTA: Para L2TP sobre IPSec, las direcciones de origen y de destino del túnel VPN IPSec
deben ser iguales que las del túnel L2TP.
Aplicación
La opción de la aplicación especifica la aplicación de la capa 7 que asigna el servicio
de la capa 4 al que se hace referencia en una directiva. Un servicio predefinido ya
dispone de una asignación a una aplicación de la capa 7. Sin embargo, para los
servicios personalizados es necesario vincular explícitamente el servicio a una
aplicación, especialmente si desea que la directiva aplique al servicio personalizado
una puerta de enlace de la capa de aplicación (ALG) o la inspección minuciosa
(Deep Inspection).
NOTA: ScreenOS admite ALG para varios servicios, que incluyen: DNS, FTP, H.323, HTTP,
RSH, SIP, Telnet y TFTP.
Para obtener más información sobre cómo aplicar Deep Inspection a un servicio
personalizado, consulte “Asignación de servicios personalizados a aplicaciones” en
la página 4-156.
Nombre
Puede dar a una directiva un nombre descriptivo para permitir identificar
fácilmente su finalidad.
Encapsulamiento VPN
Puede aplicar una sola o varias directivas a cualquier túnel VPN que tenga
configurado. En WebUI, la opción “VPN Tunnel” abre una lista desplegable de todos
esos túneles. En CLI puede consultar todos los túneles disponibles ejecutando el
comando get vpn. (Para obtener más información, consulte “Redes privadas
virtuales de punto a punto” en la página 5-81 y “Redes privadas virtuales de acceso
telefónico” en la página 5-163).
Cuando las configuraciones VPN de ambos extremos de un túnel VPN utilizan NAT
basada en directivas, los administradores de ambos dispositivos de puerta de
enlace necesitan crear una directiva de tráfico saliente y otra de tráfico entrante
(cuatro directivas en total). Cuando las directivas de VPN coinciden en un par (es
decir, todo lo que se encuentra en las configuraciones de las directivas de tráfico
entrante y de tráfico saliente son iguales, salvo que las direcciones de origen y de
destino están invertidas), puede configurar una directiva y seleccionar la casilla de
verificación Modify matching bidirectional VPN policy para crear
automáticamente una segunda directiva para el sentido opuesto. Para la
configuración de una nueva directiva, la casilla de verificación “Matching VPN
Policy” está desactivada de forma predeterminada. Para la modificación de una
directiva existente que sea un miembro de un par coincidente, la casilla de
verificación está activada de forma predeterminada, y cualquier cambio realizado
en una directiva se realizará en la otra.
NOTA: Esta opción solamente está disponible a través de WebUI. No puede haber
múltiples entradas para ninguno de los componentes de directiva siguientes:
dirección de origen, dirección de destino o servicio.
Encapsulamiento L2TP
Puede aplicar una sola directiva o varias a cualquier túnel del protocolo de
encapsulamiento de la capa 2 (L2TP) que haya configurado. En WebUI, la opción
L2TP proporciona una lista desplegable de todos esos túneles. En la interfaz CLI,
puede visualizar el estado de los túneles L2TP activos mediante el comando get
l2tp cadena_túnel active y ver todos los túneles disponibles mediante el comando
get l2tp all. También puede combinar un túnel VPN con un túnel L2TP (si ambos
tienen el mismo punto final) para crear un túnel que combine las características de
cada uno. Esto se llama “L2TP-over-IPSec” (L2TP sobre IPSec).
Deep Inspection
Deep Inspection (DI; inspección minuciosa) es un mecanismo para filtrar el tráfico
permitido en las capas de red y de transporte, ya que no solamente examina estas
capas, sino también las características de contenido y protocolo en la capa de
aplicación. El objetivo de DI es la detección y prevención de cualquier ataque o
comportamiento anómalo que pudiera existir en el tráfico que permite el
cortafuegos de Juniper Networks.
Para configurar una directiva para la protección frente a ataques, debe elegir dos
opciones: qué grupo (o grupos) de ataque utilizar y qué acción tomar si se detecta
un ataque. (Para obtener más información, consulte “Deep Inspection” en la
página 4-119).
Autenticación de usuarios
Seleccionar esta opción requiere que el usuario de autenticación en la dirección de
origen autentique su identidad proporcionando un nombre de usuario y la
contraseña antes de permitir al tráfico atravesar el cortafuegos o introducirse en el
túnel de VPN. El dispositivo de seguridad puede utilizar la base de datos local o un
servidor de autenticación RADIUS, SecurID o LDAP externo para realizar la
comprobación de la autenticación.
NOTA: Si una directiva que requiere autenticación puede aplicarse a una subred de
direcciones IP, se requerirá autenticación para cada dirección IP de esa subred.
Para la petición de conexión inicial, la directiva debe incluir uno o todos los
servicios siguientes: Telnet, HTTP o FTP. Sólo una directiva con uno o todos estos
servicios puede iniciar el proceso de autenticación. En una directiva que implique
autenticación de usuario se puede utilizar cualquiera de los siguientes servicios:
Un grupo de servicios que incluye el servicio o los servicios que desea, más
como mínimo uno de los tres servicios requeridos para iniciar el proceso de
autenticación (Telnet, FTP o HTTP). Por ejemplo, puede crear un grupo de
servicios personalizado denominado “Inic_ses” que proporcione los servicios
FTP, NetMeeting y H.323. Luego, cuando cree la directiva, especifique
“inic_ses” como el servicio.
Para cualquier conexión que sigue a una autenticación correcta, todos los servicios
especificados en la directiva son válidos.
NOTA: Una directiva con la autenticación habilitada no admite DNS (puerto 53) como
servicio.
NOTA: Para obtener más información sobre estos dos métodos de autenticación de
usuarios, consulte “Referencias a usuarios autenticados en directivas” en la
página 9-48.
NOTA: ScreenOS vincula los privilegios de autenticación a la dirección IP del host desde
la cual se conecta el usuario de autenticación. Si el dispositivo de seguridad
autentica a un usuario de un host situado detrás de un dispositivo de NAT que
utilice una sola dirección IP para todas las asignaciones de NAT, los usuarios de
otros hosts situados detrás de ese dispositivo de NAT recibirán automáticamente
los mismos privilegios.
Filtrado de Web
El filtrado de Web, denominado también filtrado de URL, le permite administrar el
acceso a Internet y evitar el acceso a contenido de Web inapropiado. Para obtener
más información, consulte “Filtrado de Web” en la página 4-100.
Registro
Cuando se habilita el registro en una directiva, el dispositivo de seguridad registra
todas las conexiones a las que esa directiva en particular aplique. Los registros se
pueden visualizar con WebUI o CLI. En WebUI, haga clic en Reports > Policies >
Logging (para la directiva cuyo registro desee consultar). En CLI, utilice el comando
get log traffic policy núm_id.
Recuento
Cuando se habilita el recuento en una directiva, el dispositivo de seguridad cuenta
el número total de bytes de tráfico para los que esa directiva se aplica y registra la
información en gráficos de historial. Para visualizar los gráficos de historial de una
directiva en WebUI, haga clic en Reports > Policies > Counting (para la directiva
cuyo recuento de tráfico desea consultar).
NOTA: Para obtener más información sobre alarmas de tráfico, consulte “Alarmas de
tráfico” en la página 3-73.
Tareas programadas
Asociando una programación a una directiva se puede determinar cuándo debe
activarse esa directiva. Puede configurar programaciones repetitivas y como evento
único. Las programaciones proporcionan una potente herramienta para controlar el
flujo de tráfico de la red e implementar seguridad en ésta. Como ejemplo de esto
último, si le preocupa que algunos empleados puedan transmitir datos importantes
fuera de la empresa, puede establecer una directiva que bloquee los tipos de tráfico
saliente FTP-Put y MAIL después del horario de oficina normal.
En WebUI, defina tareas programadas en la página Policy > Policy Elements >
Schedules. En CLI, ejecute el comando set schedule.
NOTA: En WebUI, las directivas programadas aparecen con un fondo gris para indicar que
la hora actual no está dentro de la programación definida. Cuando una directiva
programada se activa, aparece con un fondo blanco.
Análisis antivirus
Algunos dispositivos de seguridad de Juniper Networks admiten un analizador
antivirus interno que puede configurar para filtrar el tráfico FTP, HTTP, IMAP, POP3
y SMTP. Si el analizador AV incorporado detecta un virus, descarta el paquete y
envía un mensaje al cliente que inició el tráfico para informarle sobre dicho virus.
NOTA: Para obtener más información sobre el análisis antivirus, consulte “Análisis
antivirus” en la página 175.
Asignación de tráfico
Puede establecer los parámetros de control y asignación del tráfico para cada
directiva. La Tabla 28 describe los parámetros de asignación de tráfico.
Parámetro Descripción
Guaranteed Tasa de transferencia garantizada en kilobits por segundo (kbps). El tráfico que
Bandwidth no alcanza este umbral pasa con la prioridad más alta sin ser sometido a ningún
mecanismo de administración o asignación del tráfico.
Maximum Ancho de banda garantizado disponible para el tipo de conexión en kilobits por
Bandwidth segundo (kbps). El tráfico más allá de este umbral se regula y descarta.
Parámetro Descripción
DiffServ Differentiated Services (DiffServ) es un sistema para etiquetar (o “marcar”) el
Codepoint tráfico de una posición dentro de una jerarquía de prioridades. Puede asignar
Marking los ocho niveles de prioridad de ScreenOS al sistema DiffServ. De forma
predeterminada, la prioridad más alta (prioridad 0) del sistema ScreenOS se
asigna a los tres primeros bits (111) en el campo DiffServ (consulte la norma
RFC 2474) o bien al campo de precedencia de IP en el byte TOS (consulte la
norma RFC 1349), en el encabezado de paquete de IP. La prioridad más baja
(prioridad 7) en ScreenOS asigna (000) en el sistema DiffServ de TOS. Cuando
habilita DSCP, ScreenOS sobrescribe los primeros 3 bits en el byte de ToS con la
prioridad de preferencia de IP. Cuando habilita DSCP y establece un value
dscp-byte, ScreenOS sobrescribe los primeros 6 bits del byte de ToS con el valor
de DSCP.
NOTA: Para averiguar más sobre la administración y asignación del tráfico, consulte
“Asignación de tráfico” en la página 195.
donde número0 corresponde a la prioridad 0 (la prioridad más alta del sistema
DiffServ de TOS), número1 corresponde a la prioridad 1 y así sucesivamente.
Directivas aplicadas
Esta sección describe la administración de directivas: visualización, creación,
modificación, ordenación y reordenación y eliminación de directivas.
Visualización de directivas
Para visualizar directivas a través de WebUI, haga clic en Policies. Puede clasificar
las directivas que se muestran por zonas de origen y de destino eligiendo los
nombres de zonas de las listas desplegables From y To, y, posteriormente hacer clic
en Go. En la CLI, utilice el comando get policy [ all | from zona to zona | global | id
número ].
Creación de directivas
Para permitir el flujo de tráfico entre dos zonas, debe crear directivas para permitir,
denegar, rechazar o tunelizar el tráfico entre esas zonas. También puede crear
directivas para controlar el tráfico dentro de la misma zona si el dispositivo de
seguridad es el único dispositivo de red capaz de enrutar el tráfico intrazonal entre
las direcciones de origen y de destino a las que se hace referencia en la directiva.
También puede crear directivas globales que utilizan direcciones de origen y de
destino en la libreta de direcciones de la zona Global.
Para permitir tráfico bidireccional entre dos zonas (por ejemplo, entre la zona Trust
y la zona Untrust) se necesita crear una directiva para el tráfico de Trust a Untrust y
otra para el tráfico de Untrust a Trust. Dependiendo de sus necesidades, las
directivas pueden utilizar la misma dirección IP o bien direcciones diferentes,
invirtiendo las direcciones de origen y destino.
Se pueden definir directivas entre cualesquiera zonas situadas dentro del mismo
sistema, ya sea raíz o virtual. Para definir una directiva entre el sistema raíz y un
sistema virtual (vsys), una de las zonas debe ser compartida. (Para obtener más
información sobre las zonas compartidas en lo referente a los sistemas virtuales,
consulte el Volumen 10: Sistemas virtuales).
La primera directiva permite a los usuarios internos de la zona Trust enviar y recibir
correo electrónico de un servidor de correo local situado en la zona DMZ. Esta
directiva permitirá a los servicios MAIL (es decir, SMTP) y POP3 generados por los
usuarios internos atravesar el cortafuegos de Juniper Networks para alcanzar el
servidor de correo local.
Sin embargo, antes de crear directivas para controlar tráfico entre diferentes zonas
de seguridad, debe diseñar el entorno en el que aplicar esas directivas. Primero
asociará interfaces a zonas y les asignará direcciones IP de interfaces:
Una vez completados los pasos del 1 al 4, puede crear las directivas necesarias para
permitir la transmisión, recuperación y entrega de correo electrónico dentro y fuera
de su red protegida.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet0/2): Introduzca los siguientes
datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet0/3): Introduzca los siguientes
datos y haga clic en OK:
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
4. Ruta
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp_net
Destination Address:
Address Book Entry: (seleccione), mail_svr
Service: Mail-POP3
Action: Permit
Policy > Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), mail_svr
Destination Address:
Address Book Entry: (seleccione), r-mail_svr
Service: MAIL
Action: Permit
Policy > Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), r-mail_svr
Destination Address:
Address Book Entry: (seleccione), mail_svr
Service: MAIL
Action: Permit
CLI
1. Interfaces
set interface ethernet0/1 zone trust
set interface ethernet0/1 ip 10.1.1.1/24
set interface ethernet0/2 zone dmz
set interface ethernet0/2 ip 1.2.2.1/24
set interface ethernet0/3 zone untrust
set interface ethernet0/3 ip 1.1.1.1/24
2. Direcciones
set address trust corp_net 10.1.1.0/24
set address dmz mail_svr 1.2.2.5/32
set address untrust r-mail_svr 2.2.2.5/32
3. Grupo de servicios
set group service MAIL-POP3
set group service MAIL-POP3 add mail
set group service MAIL-POP3 add pop3
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet0/3 gateway 1.1.1.250
5. Directivas
set policy from trust to dmz corp_net mail_svr MAIL-POP3 permit
set policy from dmz to untrust mail_svr r-mail_svr MAIL permit
set policy from untrust to dmz r-mail_svr mail_svr MAIL permit
save
ABC Design También tiene una zona DMZ para sus servidores de Web y correo
electrónico.
“Ing” puede utilizar todos los servicios de tráfico saliente salvo FTP-Put, IMAP,
MAIL y POP3.
Todos los usuarios de la zona Trust pueden acceder a los servidores de web y de
correo electrónico en la zona DMZ.
Zona Untrust
Internet
www.abc.com
mail.abc.com
Enrutador externo
Dispositivo de seguridad
Enrutador interno
Zona DMZ
Zona Trust
WebUI
1. De Trust a Untrust
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Ing
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Oficina
Destination Address:
Address Book Entry: (seleccione), Any
Service: Internet
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Authentication: (seleccione)
WebAuth: (seleccione)
NOTA: “Internet” es un grupo de servicios con los siguientes miembros: FTP-Get, HTTP y
HTTPS.
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Com
Action: Reject
Position at Top: (seleccione)
NOTA: “Com” es un grupo de servicios con los siguientes miembros: FTP-Put, MAIL,
IMAP y POP3.
2. De Untrust a DMZ
Policy > Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), mail.abc.com
Service: MAIL
Action: Permit
Policy > Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), www.abc.com
Service: Web
Action: Permit
NOTA: “Web” es un grupo de servicios con los siguientes miembros: HTTP y HTTPS.
3. De Trust a DMZ
Policy > Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), mail.abc.com
Service: correo electrónico
Action: Permit
NOTA: “e-mail” es un grupo de servicios con los siguientes miembros: MAIL, IMAP y
POP3.
Policy > Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), www.abc.com
Service: Internet
Action: Permit
Policy > Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), sys-admins
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
4. De DMZ a Untrust
Policy > Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), mail.abc.com
Destination Address:
Address Book Entry: (seleccione), Any
Service: MAIL
Action: Permit
CLI
1. De Trust a Untrust
set policy from trust to untrust eng any any permit
set policy from trust to untrust oficina any Internet permit webauth
set policy top from trust to untrust any any Com reject
NOTA: “Internet” es un grupo de servicios con los siguientes miembros: FTP-Get, HTTP y
HTTPS.
2. De Untrust a DMZ
set policy from untrust to dmz any mail.abc.com mail permit
set policy from untrust to dmz any www.abc.com Web permit
NOTA: “Web” es un grupo de servicios con los siguientes miembros: HTTP y HTTPS.
3. De Trust a DMZ
set policy from trust to dmz any mail.abc.com e-mail permit
set policy from trust to dmz any www.abc.com Internet permit
set policy from trust to dmz sys-admins any any permit
NOTA: “e-mail” es un grupo de servicios con los siguientes miembros: MAIL, IMAP y
POP3.
4. De DMZ a Untrust
set policy from dmz to untrust mail.abc.com any mail permit
save
WebUI
1. Zona Trust: interfaces y bloqueo
Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes
datos y haga clic en Apply:
Network > Zones > Edit (para Trust): Introduzca los siguientes datos y haga
clic en OK:
2. Direcciones
Directiva > Elementos de directiva > Direcciones > Lista > Nuevo:
Introduzca los siguientes datos y haga clic en OK:
Directiva > Elementos de directiva > Direcciones > Lista > Nuevo:
Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), contabilidad
Destination Address:
Address Book Entry: (seleccione), Hamilton
Service: ANY
Action: Permit
CLI
1. Zona Trust: interfaces y bloqueo
set interface ethernet0/1 zone trust
set interface ethernet0/1 ip 10.1.1.1/24
set interface ethernet0/1 nat
set interface ethernet0/2 zone trust
set interface ethernet0/2 ip 10.1.5.1/24
set interface ethernet0/2 nat
set zone trust block
2. Direcciones
set address trust Hamilton 10.1.1.100/32
set address trust contabilidad 10.1.5.0/24
3. Directiva
set policy from trust to trust contabilidad Hamilton any permit
save
NOTA: Para utilizar un nombre de dominio en lugar de una dirección IP, asegúrese de
tener configurado el servicio DNS en el dispositivo de seguridad.
WebUI
1. Dirección global
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), servidor1
Service: HTTP
Action: Permit
CLI
1. Dirección global
set address global servidor1 www.juniper.net
2. Directiva
set policy global any servidor1 http permit
save
set policy id 1 from trust to untrust host1 servidor1 HTTP permit attack
HIGH:HTTP:SIGS action close
set policy id 1
device(policy:1)-> set src-address host2
device(policy:1)-> set dst-address servidor2
device(policy:1)-> set service FTP
device(policy:1)-> set attack CRITICAL:HTTP:SIGS
Dirección de origen
Dirección de destino
Servicio
Grupo de ataque
WebUI
Para agregar más direcciones y servicios, haga clic en el botón Multiple junto al
componente al que desea agregar más elementos. Para agregar más grupos de
ataque, haga clic en el botón Attack Protection. Seleccione un elemento en la
columna “Available Members” y utilice la tecla << para moverlo a la columna
“Active Members”. Puede repetir esta acción con otros elementos. Cuando haya
terminado, haga clic en OK para regresar a la página de configuración de
directivas.
CLI
Entre al contexto de la directiva con el comando siguiente:
En este ejemplo creará una directiva intrazonal que permitirá a todas las
direcciones de la zona Trust acceder a todos los servidores FTP salvo a un
determinado servidor FTP llamado “vulcan”, que los miembros del departamento
de ingeniería utilizan para intercambiar especificaciones funcionales entre sí.
Sin embargo, antes de crear la directiva deberá diseñar el entorno en el cual desea
aplicarlo. Primero habilitará el bloqueo intrazonal para la zona Trust. El bloqueo
intrazonal requiere efectuar una consulta de directivas antes de que el dispositivo
de seguridad pueda pasar tráfico entre dos interfaces unidas a la misma zona.
En segundo lugar, asociará dos interfaces a la zona Trust y les asignará direcciones
IP:
Tercero, creará una dirección (10.1.2.5/32) para el servidor FTP llamado “vulcan”
en la zona Trust.
Después de completar estos dos pasos, podrá crear las directivas intrazonales.
NOTA: No es necesario crear una directiva para que el departamento de ingeniería pueda
llegar a su servidor FTP, ya que los ingenieros también se encuentran en la subred
10.1.2.0/24 y no necesitan cruzar el cortafuegos de Juniper Networks para llegar a
su propio servidor.
ethernet0/1 ethernet0/4
10.1.1.1/24 10.1.2.1/24
Conmutadores internos
10.1.1.0/24 10.1.2.0/24
(Resto de la empresa) (Ingeniería)
Zona Trust
Bloqueo intrazonal habilitado Servidor FTP
“vulcan” 10.1.2.5
WebUI
1. Bloqueo intrazonal
Network > Zones > Edit (para Trust): Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para ethernet0/4): Introduzca los siguientes
datos y haga clic en Apply:
4. Directiva
Policy > Policies > (From: Trust, To: Trust) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), vulcan
> Haga clic en Multiple, seleccione Negate Following y después haga clic
en OK para regresar a la página de configuración básica de directivas.
Service: FTP
Action: Permit
CLI
1. Bloqueo intrazonal
set zone trust block
2. Interfaces de la zona Trust
set interface ethernet0/1 zone trust
set interface ethernet0/1 ip 10.1.1.1/24
set interface ethernet0/1 nat
set interface ethernet0/4 zone trust
set interface ethernet0/4 ip 10.1.2.1/24
set interface ethernet0/4 nat
3. Dirección
set address trust vulcan 10.1.2.5/32
4. Directiva
set policy from trust to trust any !vulcan ftp permit
save
WebUI
Directivas: Desactive la casilla de verificación Enable de la columna Configure
para la directiva que desee desactivar.
CLI
set policy id núm_id disable
save
Verificación de directivas
ScreenOS ofrece una herramienta para verificar si el orden de las directivas dentro
de la lista de directivas es válido. Existe la posibilidad de que una directiva puede
eclipsar u “ocultar” otra directiva. Considere el ejemplo siguiente:
Para corregir el ejemplo antedicho, basta con invertir el orden de las directivas,
poniendo la más específica en primer lugar:
Por supuesto, este ejemplo tan simple sólo pretende ilustrar el concepto básico. En
casos donde hay docenas o incluso centenares de directivas, la detección de
directivas eclipsadas por otras directivas puede no resultar tan sencilla. Para
comprobar si hay alguna directiva oculta en su lista de directivas, ejecute el
siguiente comando CLI:
Reordenamiento de directivas
El dispositivo de seguridad compara todos los intentos de atravesar el cortafuegos
con las directivas, comenzando por la primera que aparece en el conjunto de
directivas de la lista correspondiente (consulte “Listas de conjuntos de directivas”
en la página 164) y avanzando en la lista. Debido a que el dispositivo de seguridad
aplica la acción especificada en la directiva a la primera directiva que coincide en la
lista, es necesario reordenar las directivas desde la más específica a la más general.
(Aunque una directiva específica no impide la aplicación de una directiva más
general situada más abajo en la lista, una directiva general situada más arriba que
una específica sí lo impide).
Para mover una directiva a otra posición dentro de la lista, ejecute cualquiera de los
siguientes procedimientos:
WebUI
Hay dos maneras de reordenar directivas en WebUI: haciendo clic en las flechas
circulares o haciendo clic en la flecha de la columna “Configure”
correspondiente a la directiva que desee mover.
CLI
set policy move núm_id { before | after } número
save
T3–45 Mbps
Marketing: 10 Mbps de entrada,
10 Mbps de salida
Internet
Enrutador Enrutador
Ventas: 5 Mbps de entrada,
10 Mbps de salida
DMZ para
servidores Zona DMZ
Asistencia: 5 Mbps de entrada,
5 Mbps de salida
WebUI
1. Ancho de banda en interfaces
Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes
datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet0/3): Introduzca los siguientes
datos y haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes
datos y haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes
datos y haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Policy > Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes
datos y haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Policy > Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes
datos y haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Policy > Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes
datos y haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
CLI
Para habilitar la asignación de tráfico por cada directiva, haga lo siguiente:
Tráfico
Tráfico saliente Tráfico entrante combinado
garantizado garantizado garantizado Prioridad
Asistencia 5 5 10 High
Ventas 2,5 3,5 6 2
Marketing 2,5 1,5 4 3
Total 10 10 20
T3–45 Mbps
Asistencia: 5 Mbps de salida, 5 Mbps
de entrada, alta prioridad
Internet
Enrutador Enrutador
Ventas: 2,5 Mbps de salida, 3,5 Mbps de
entrada, 2da prioridad
DMZ para
servidores Zona DMZ
Marketing: 2.5 Mbps de salida, 1.5 Mbps
de entrada, 3era prioridad
WebUI
1. Ancho de banda en interfaces
Interfaces > Edit (para ethernet0/1): Introduzca los siguientes datos y haga clic
en OK:
Interfaces > Edit (para ethernet0/3): Introduzca los siguientes datos y haga clic
en OK:
Name: Sup-out
Source Address:
Address Book Entry: (seleccione), Asistencia
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes
datos y haga clic en OK:
Name: Sal-out
Source Address:
Address Book Entry: (seleccione), Ventas
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes
datos y haga clic en OK:
Name: Mar-out
Source Address:
Address Book Entry: (seleccione), Marketing
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Policy > Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes
datos y haga clic en OK:
Name: Sup-in
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Asistencia
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Policy > Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes
datos y haga clic en OK:
Name: Sal-in
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Ventas
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Policy > Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes
datos y haga clic en OK:
Name: Mar-in
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Marketing
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
CLI
1. Ancho de banda en interfaces
set interface ethernet0/1 bandwidth 40000
set interface ethernet0/3 bandwidth 40000
2. Ancho de banda en directivas
set policy name sup-out from trust to untrust Asistencia any any permit traffic gbw
5000 priority 0 mbw 40000 enable
set policy name sal-out from trust to untrust Ventas any any permit traffic gbw
2500 priority 2 mbw 40000 dscp enable
set policy name mar-out from trust to untrust marketing any any permit traffic gbw
2500 priority 3 mbw 40000 dscp enable
set policy name sup-in from untrust to trust any Asistencia any permit traffic gbw
5000 priority 0 mbw 40000 dscp enable
set policy name sal-in from untrust to trust any Ventas any permit traffic gbw 3500
priority 2 mbw 40000 dscp enable
set policy name mar-in from untrust to trust any marketing any permit traffic gbw
1500 priority 3 mbw 40000 dscp enable
save
Directivas de entrada
La directiva de entrada controla el tráfico en la entrada del dispositivo de seguridad.
Al limitar el flujo de tráfico en el punto de entrada, el tráfico que supera el ajuste del
ancho de banda se descarta a través de un proceso mínimo y se conservan los
recursos del sistema. Puede configurar la directiva de entrada a nivel de interfaz y
en las directivas de seguridad.
set policy mi_ftp from untrust to trust any any ftp permit traffic pbw 10000
ethernet0/1
mbw 10000
ethernet0/1.1 ethernet0/1.2
gbw 5000 - mbw 7000 gbw 2000 - mbw 5000
Interfaces virtuales
Al trabajar con interfaces virtuales, se deben tener en cuenta las siguientes reglas de
jerarquía de interfaz:
set interface ethernet0/4.1 bandwidth egress gbw 1000 mbw 2000 ingress mbw
2000
set policy from trust to untrust any any ftp permit traffic gbw 1000 pbw 2000
Observe que este comando utiliza la palabra clave del ancho de banda de directiva
(pbw). Se pueden utilizar los valores de pbw o mbw en una directiva, pero no
ambos. La ventaja de utilizar pbw es que el tráfico se descarta en la entrada del
dispositivo de seguridad, lo que reduce el procesamiento y conserva los recursos del
sistema. (Consulte “Directivas de entrada” en la página 205.)
En la WebUI, después de crear una directiva, haga clic en el botón Advanced para
configurar los parámetros de asignación de tráfico.
A pesar de que se debe activar el modo de asignación de tráfico (on) para asignar el
tráfico en las interfaces, no es necesario activar la asignación de tráfico cuando se
asigna el tráfico en las directivas. Esto se debe a que el modo de asignación de
tráfico está establecido en auto de forma predeterminada. Cuando una sesión se
activa y una consulta de directivas descubre la asignación de tráfico, ScreenOS
activa la asignación de tráfico para esa sesión.
Flujo de paquetes
La Figura 65 ilustra la parte del flujo de paquetes a través del dispositivo de
seguridad a la que afecta la directiva y la asignación de tráfico. (Consulte
“Secuencia de flujo de paquetes” en la página 10 para ver el funcionamiento
completo del flujo de paquetes.) Los paquetes que sobrepasan el pbw (o el mbw
configurado en la interfaz) se descartan en el paso 9; la asignación y el marcado
DSP se llevan a cabo en el paso 10 y los paquetes que sobrepasan el mbw
(configurado en una directiva) se descartan en el paso 11.
Tabla de sesiones
d 977 vsys id 0, flag 000040/00, Interfaz de entrada Asigne y marque DSCP Continúe con todas las
pid -1, did 0, time 180 en el paquete, luego interfaces de salida en el
o bien
13 (01) 10.10.10.1/1168 -> colóquelo en cola en la dispositivo y transmita los
211.68.1.2/80, 6, 002be0c0066b, Directiva interfaz de salida paquetes en cola
subif 0, tun 0
Clientes
Servidor
IP Address/Netmask: 10.1.1.1/24
Zone: Trust
Network > Interfaces > Sub-IF > New: Introduzca los siguientes datos y haga
clic en Apply:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
2. Ruta
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
VPNs > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
IP Address/Netmask: 10.2.0.2/24
Zone: Trust
Network > Interfaces > Sub-IF > New: Introduzca los siguientes datos y haga
clic en Apply:
Network > Interfaces > Tunnel IF > New: Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para tunnel.1): Introduzca los siguientes datos y
haga clic en OK:
3. Ruta
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
VPNs > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
5. Directivas
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes
datos y haga clic en OK:
Service: Any
Action: Permit
Policy > Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes
datos y haga clic en OK:
Service: Any
Action: Permit
ethernet0/2, ethernet0/2,
ethernet0/1, 2.1.1.1 10.2.2.1 ethernet0/1,
10.1.1.1.1 1.1.1.2
Clientes
Servidor
IP Address/Netmask: 10.1.1.1/24
Zone: Trust
Interface Mode: (seleccione) NAT
Network > Interfaces > Edit (para ethernet0/2): Introduzca los siguientes
datos y haga clic en OK:
IP Address/Netmask: 2.1.1.1/24
Zone: Untrust
Interface Mode: (seleccione) Route
2. IKE VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
VPNs > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
4. Enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en OK:
Name: 1
Service: FTP
Action: Tunnel
Tunnel VPN: (seleccione), device2_vpn
Modify matching bidirectional VPN policy: (seleccione)
IP Address/Netmask: 1.1.1.1/24
Zone: Trust
Interface Mode: (seleccione) Route
Network > Interfaces > Edit (para ethernet0/2): Introduzca los siguientes
datos y haga clic en OK:
IP Address/Netmask: 10.2.2.1/24
Zone: Untrust
Interface mode: (seleccione) NAT
2. IKE VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
VPNs > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
Name: 1
Service: FTP
Action: Tunnel
Tunnel VPN: (seleccione), device1_vpn
Modify matching bidirectional VPN policy: (seleccione)
Se puede asignar tráfico en una directiva que utiliza el marcado DSCP o se puede
utilizar el marcado DSCP independientemente de la asignación de tráfico. La
asignación de tráfico permite controlar la forma en que se procesa el tráfico en el
dispositivo de seguridad y se puede configurar al nivel de interfaz o en las
directivas. El marcado DSCP que se establece a nivel de directiva, permite controlar
la forma en que procesan el tráfico los enrutadores en sentido descendente.
set policy from trust to untrust any any any permit traffic priority 2 dscp enable
Pero si se le da al DSCP un value dscp-byte de, por ejemplo, 46 (la prioridad más
alta), el dispositivo de seguridad seguirá poniendo en cola el tráfico de la interfaz de
salida en prioridad 2 pero sobrescribirá los primeros 6 bits del byte ToS con el valor
del DSCP.
set policy from trust to untrust any any any permit traffic priority 2 dscp enable
value 46
Descripción Acción
Paquete de texto legible sin marca en la Sin marca.
directiva.
Paquete de texto legible marcado en la Se marca el paquete según la directiva.
directiva.
Paquete marcado previamente sin marca en la Conservar la marca del paquete.
directiva.
Paquete marcado previamente con marcado en Sobrescribir la marca del paquete según la
la directiva. directiva.
Descripción Acción
Paquete de texto legible en una VPN basada en Sin marca.
directivas sin marca en la directiva.
Paquete de texto legible en una VPN basada en Se marcan tanto el paquete interno como el
directivas con marca en la directiva. encabezado de la ESP, según la directiva.
Paquete marcado previamente en una VPN Copiar la marca del paquete interno en el
basada en directivas sin marca en la directiva. encabezado de la ESP, se conserva la marca en
el paquete interno.
Paquete marcado previamente en una VPN Sobrescribir la marca en el paquete interno
basada en directivas con marca en la directiva. según la directiva y copiar la marca del paquete
interno en el encabezado de la ESP.
Libreta de direcciones
Syslog
Correo electrónico
WebTrends
Websense
LDAP
SecurID
RADIUS
NetScreen-Security Manager
Consulta DNS
El dispositivo de seguridad actualiza todas las entradas de su tabla DNS
comprobándolas en un servidor DNS especificado en los momentos siguientes:
Además del método existente de establecer una hora para la actualización diaria y
automática de la tabla DNS, también puede definir un intervalo de tiempo entre 4 y
24 horas.
El dispositivo de seguridad debe realizar una nueva consulta una vez al día, que
puede programar para que se realice a una hora específica.
WebUI
Network > DNS > Host: Introduzca los siguientes datos y haga clic en Apply:
CLI
set dns host schedule cadena_nombre
save
WebUI
Network > DNS > Host > Show DNS Lookup Table
CLI
get dns host report
Internet
WebUI
Network > DNS > Host: Introduzca los siguientes datos y haga clic en Apply:
CLI
set dns host dns1 24.0.0.3
set dns host dns2 24.1.64.38
set dns host schedule 23:00
save
WebUI
Network > DNS > Host: Introduzca los siguientes datos y haga clic en Apply:
CLI
set dns host schedule 0:01:00 interval 4
save
Dispositivo de
seguridad
(enrutador CPE)
Internet Zona Trust
Servidor DDNS
ethernet7
dyndns.org o ddo.jp
WebUI
Network > DNS > DDNS > New: Introduzca los siguientes datos y haga clic
en OK:
ID: 12
Server Settings
Server Type: dyndns
Server Name: dyndns.org
Refresh Interval: 24
Minimum Update Interval: 15
Account Settings
Username: espada
Password: ad93lvb
Bind to Interface: ethernet7
Host Name: www.my_host.com
CLI
set dns ddns
set dns ddns enable
set dns ddns id 12 server dyndns.org server-type dyndns refresh-interval 24
minimum-update-interval 15
set dns ddns id 12 src-interface ethernet7 host-name www.my_host.com
set dns ddns id 12 username espada password ad93lvb
save
WebUI
Network > DNS > DDNS > New: Introduzca los siguientes datos y haga clic
en OK:
ID: 25
Server Settings
Server Type: ddo
Server Name: juniper.net
Refresh Interval: 24
Minimum Update Interval: 15
Account Settings
Username: my_host
Password: ad93lvb
Bind to Interface: ethernet7
CLI
set dns ddns
set dns ddns enable
set dns ddns id 25 server ddo.jp server-type ddo refresh-interval 24
minimum-update-interval 15
set dns ddns id 25 src-interface ethernet7
set dns ddns id 25 username my_host password ad93lvb
save
Los comandos siguientes crean dos entradas DNS por proxy que reenvían
selectivamente las consultas DNS a diferentes servidores.
tunnel.1
*
acme.com
Servidores DNS
corporativos
2.1.1.21
acme_eng.com 2.1.1.34
Por ejemplo, si un host envía una consulta DNS para resolver www.acme.com,
el dispositivo dirige automáticamente la consulta a este servidor. (Asumamos
que el servidor resuelve la consulta y devuelve la dirección IP 3.1.1.2.)
Todas las demás consultas DNS (marcadas con un asterisco) evitan a los
servidores corporativos y salen a través de la interfaz ethernet0/3 al servidor
DNS en la dirección IP 1.1.1.23.
WebUI
1. Network > DNS > Proxy: Introduzca los siguientes datos, luego haga clic en Apply:
Initialize DNS Proxy: Enable
Enable DNS Proxy: Enable
2. Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic en OK:
Domain Name: acme.com
Outgoing Interface: tunnel.1
Primary DNS Server: 2.1.1.21
3. Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic en OK:
Domain Name: acme_eng.com
Outgoing Interface: tunnel.1
Primary DNS Server: 2.1.1.34
4. Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic en OK:
Domain Name: *
Outgoing Interface: ethernet0/3
Primary DNS Server: 1.1.1.23
CLI
set dns proxy
set dns proxy enable
set interface ethernet0/3 proxy dns
set dns server-select domain acme.com outgoing-interface tunnel.1 primary-server
2.1.1.21
set dns server-select domain acme_eng.com outgoing-interface tunnel.1
primary-server 2.1.1.34
set dns server-select domain * outgoing-interface ethernet0/3 primary-server
1.1.1.23
save
Función Descripción
Cliente DHCP Algunos dispositivos de seguridad pueden actuar como clientes de DHCP,
recibiendo una dirección IP asignada dinámicamente para cualquier
interfaz física en cualquier zona.
Servidor DHCP Algunos dispositivos de seguridad también pueden actuar como servidores
de DHCP, asignando direcciones IP dinámicas a hosts (que actúan como
clientes de DHCP) en cualquier interfaz física o VLAN de cualquier zona.
Nota: Aunque utilice el módulo del servidor DHCP para asignar direcciones
a hosts tales como las estaciones de trabajo de una zona, también puede
utilizar direcciones IP fijas para otros equipos, como servidores de correo y
servidores WINS.
Agente de Algunos dispositivos de seguridad también pueden actuar como agentes de
retransmisión de retransmisión de DHCP, recibiendo información de un servidor DHCP y
DHCP retransmitiéndola a los hosts de cualquier interfaz física o VLAN en
cualquier zona.
Función Descripción
Cliente/servidor/age Algunos dispositivos de seguridad pueden actuar simultáneamente como
nte de cliente, servidor y agente de retransmisión de DHCP. En una sola interfaz
retransmisión solamente se puede configurar una función de DHCP. Por ejemplo, en la
DHCP misma interfaz no se pueden configurar el cliente y el servidor DHCP.
Opcionalmente, se puede configurar el módulo de cliente DHCP para que
reenvíe los ajustes TCP/IP que recibe al módulo de servidor DHCP, que los
utilizará para proporcionar ajustes TCP a los hosts de la zona Trust que
actúen como clientes DHCP.
NOTA: En los dispositivos que pueden tener varias interfaces asociadas a la zona Trust, la
interfaz predeterminada es la primera interfaz asociada a esa zona a la que se
haya asignado una dirección IP.
172.16.10.10 a 172.16.10.19
172.16.10.120 a 172.16.10.129
172.16.10.210 a 172.16.10.219
Conjunto de direcciones
172.16.10.120 – 172.16.10.129
IP reservada
172.16.10.11
MAC: 12:34:ab:cd:56:78
Servidores SMTP y POP3
Direcciones IP fijas
IP reservada 172.16.10.25 y 172.16.10.10
172.16.10.112
MAC: ab:cd:12:34:ef:gh
WebUI
1. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
NOTA: Si deja los campos Gateway y Netmask como 0.0.0.0, el módulo de servidor
DHCP envía la dirección IP y la máscara de red establecida para ethernet0/1 a sus
clientes (172.16.10.1 y 255.255.255.0 en este ejemplo). Sin embargo, si habilita el
módulo de cliente DHCP para que redireccione ajustes de TCP/IP al módulo del
servidor DHCP (consulte “Propagación de ajustes TCP/IP” en la página 242),
después deberá introducir manualmente 172.16.10.1 y 255.255.255.0 en los
campos Gateway y Netmask, respectivamente.
WINS#2: 0.0.0.0
DNS#2: 172.16.10.241
DNS#3: 0.0.0.0
SMTP: 172.16.10.25
POP3: 172.16.10.110
NEWS: 0.0.0.0
NetInfo Server # 1: 0.0.0.0
NetInfo Server # 2: 0.0.0.0
NetInfo Tag: (deje el campo vacío)
Domain Name: dynamic.com
> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.10.10
IP Address End: 172.16.10.19
> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.10.120
IP Address End: 172.16.10.129
> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.10.210
IP Address End: 172.16.10.219
> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Reserved: (seleccione)
Dirección IP: 172.16.10.11
Ethernet Address: 1234 abcd 5678
> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Reserved: (seleccione)
Dirección IP: 172.16.10.112
Ethernet Address: abcd 1234 efgh
CLI
1. Direcciones
set address trust dns1 172.16.10.240/32 “primary dns server”
set address trust dns2 172.16.10.241/32 “secondary dns server”
set address trust snmp 172.16.10.25/32 “snmp server”
set address trust pop3 172.16.10.110/32 “pop3 server”
2. Servidor DHCP
set interface ethernet0/1 dhcp server option domainname dynamic.com
set interface ethernet0/1 dhcp server option lease 0
set interface ethernet0/1 dhcp server option dns1 172.16.10.240
set interface ethernet0/1 dhcp server option dns2 172.16.10.241
set interface ethernet0/1 dhcp server option smtp 172.16.10.25
set interface ethernet0/1 dhcp server option pop3 172.16.10.110
set interface ethernet0/1 dhcp server ip 172.16.10.10 to 172.16.10.19
set interface ethernet0/1 dhcp server ip 172.16.10.120 to 172.16.10.129
set interface ethernet0/1 dhcp server ip 172.16.10.210 to 172.16.10.219
set interface ethernet0/1 dhcp server ip 172.16.10.11 mac 1234abcd5678
set interface ethernet0/1 dhcp server ip 172.16.10.112 mac abcd1234efgh
set interface ethernet0/1 dhcp server service
save
NOTA: Si no establece una dirección IP para la puerta de enlace o una máscara de red, el
módulo del servidor DHCP envía a sus clientes la dirección IP y máscara de red
para ethernet0/1 (172.16.10.1 y 255.255.255.0 en este ejemplo). Sin embargo, si
habilita el módulo de cliente DHCP para reenviar ajustes TCP/IP al módulo del
servidor DHCP (consulte “Propagación de ajustes TCP/IP” en la página 242),
deberá establecer manualmente estas opciones: set interface ethernet0/1 dhcp
server option gateway 172.16.10.1 y set interface ethernet0/1 dhcp server
option netmask 255.255.255.0.
Los siguientes son servicios DHCP predefinidos, según se describe en RFC 2132,
Opciones de DHCP y extensiones de proveedores de BOOTP.
Código de
Terminología Terminología CLI ScreenOS opción
Máscara de subred netmask 1
Opción del enrutador gateway 3
Servidor del sistema de dns1, dns2, dns3 6
nombres de dominio (DNS)
Nombre de dominio domainname 15
Opción de NetBIOS a través wins1, wins2 44
de TCP/IP en el servidor de
nombres
Tiempo de arrendamiento de lease 51
la dirección IP
Opción del servidor SMTP smtp 69
Opción del servidor POP3 pop3 70
Opción del servidor NNTP news 71
(N/D) nis1, nis2 112
(N/D) nistag 113
En situaciones en las que las opciones predefinidas del servidor no son adecuadas,
puede definir opciones de servidor DHCP personalizadas. Por ejemplo, para
determinadas configuraciones de voz sobre IP (VoIP), es necesario enviar
información adicional de configuración que no es admitida por las opciones
predefinidas del servidor. En tales casos, debe definir opciones personalizadas
apropiadas.
CLI
1. Direcciones
set address trust dns1 172.16.10.240/32 “primary dns server”
set address trust dns2 172.16.10.241/32 “secondary dns server”
2. Servidor DHCP
set interface ethernet0/1 dhcp server option domainname dynamic.com
set interface ethernet0/1 dhcp server option lease 0
set interface ethernet0/1 dhcp server option dns1 172.16.10.240
set interface ethernet0/1 dhcp server option dns2 172.16.10.241
set interface ethernet0/1 dhcp server option custom 444 string “Server 4”
set interface ethernet0/1 dhcp server option custom 66 ip 1.1.1.1
set interface ethernet0/1 dhcp server option custom 160 integer 2004
set interface ethernet0/1 dhcp server ip 172.16.10.10 to 172.16.10.19
WebUI
Network > DHCP > Edit (para ethernet0/1) > DHCP Server: Introduzca los
siguientes datos y haga clic en OK:
CLI
set interface ethernet0/1 dhcp server auto
save
WebUI
Network > DHCP > Edit (para ethernet0/1) > DHCP Server: Introduzca los
siguientes datos y haga clic en OK:
CLI
set interface ethernet0/1 dhcp server enable
save
NOTA: Al emitir el comando CLI set interface interfaz dhcp server service se activa el
servidor DHCP. Si el modo de detección del servidor DHCP establecido para la
interfaz es Auto, el servidor DHCP del dispositivo de seguridad solamente se inicia
si no encuentra un servidor existente en la red. Con el comando unset interface
interfaz dhcp server service se desactiva el servidor DHCP en el dispositivo de
seguridad y también se elimina cualquier configuración DHCP existente.
Petición Petición
Host Servidor
DHCP
Asignación Asignación
Host Servidor
DHCP
Petición Petición
Dispositivo de
seguridad local
Agente de retransmisión
de DHCP
WebUI
1. Interfaces
Interfaces > Edit (para ethernet0/1): Introduzca los siguientes datos y haga clic
en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 180.10.10.1/24
Interfaces > Edit (para ethernet0/3): Introduzca los siguientes datos y haga clic
en OK:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
2. Dirección
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
3. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Security Level:
User Defined: Custom (seleccione)
Phase1 Proposal: rsa-g2-3des-sha
Mode (Initiator): Main (Protección de la identificación)
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NOTA: Establecer una ruta al enrutador externo designado como puerta de enlace
predeterminada es esencial tanto para el tráfico VPN saliente como para el de red.
En este ejemplo, el dispositivo de seguridad envía tráfico VPN encapsulado a este
enrutador como primer salto a lo largo de su ruta al dispositivo de seguridad
remoto. En la Figura 73, el concepto se presenta por medio de una descripción del
túnel que pasa a través del enrutador.
6. Directivas
Policy > Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), DHCP Server
Service: DHCP-Relay
Action: Zona
Tunnel VPN: to_dhcp
Modify matching outgoing VPN policy: (seleccione)
CLI
1. Interfaces
set interface ethernet0/1 zone trust
set interface ethernet0/1 ip 180.10.10.1/24
set interface ethernet0/1 route
set interface ethernet0/3 zone untrust
set interface ethernet0/3 ip 1.1.1.1/24
2. Dirección
set address untrust dhcp_server 194.2.9.10/32
3. VPN
set ike gateway “dhcp server” ip 2.2.2.2 main outgoing-interface ethernet0/3
proposal rsa-g2-3des-sha
set vpn to_dhcp gateway “dhcp server” proposal g2-esp-3des-sha
4. Agente de retransmisión de DHCP
set interface ethernet0/1 dhcp relay server-name 194.2.9.10
set interface ethernet0/1 dhcp relay vpn
5. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet0/3 gateway 1.1.1.250
6. Directivas
set policy from trust to untrust any dhcp_server dhcp-relay tunnel vpn to_dhcp
set policy from untrust to trust dhcp_server any dhcp-relay tunnel vpn to_dhcp
save
En casos comunes de PXE (como se muestra en la Figura 74), por lo menos dos
servidores DHCP sirven a los clientes. Cuando los servidores DHCP reciben una
solicitud del cliente DHCP, uno de los servidores, DHCP Server1, proporciona
información de la dirección DHCP al cliente mientras el DHCP Server 2 (como MS
RIS) proporciona la información de PXE. Esta versión de ScreenOS permite que el
dispositivo de seguridad redireccione todos los paquetes de DHCP al cliente.
Figura 74: Retransmisión de todos los paquetes DHCP desde múltiples servidores DHCP
2. y 3. El dispositivo de seguridad retransmite el mensaje a todos los Servidor PXE: (MS RIS)
servidores DHCP.
IP del siguiente
servidor Descripción
Ninguna siaddr = 0.0.0.0 (predeterminada)
(predeterminada)
Interface siaddr = la interfaz IP unida al servidor DHCP
Option66 siaddr = option66
(identifica al servidor TFTP para admitir PC sin discos)
Entrada siaddr = dirección IP personalizada
WebUI
Network > DHCP > Edit (Servidor DHCP): Seleccione uno de los siguientes
datos y haga clic en Apply:
CLI
set interface ethernet0/1 dhcp server enable
set interface ethernet0/1 dhcp server option custom 66 ip 10.10.10.1
set interface ethernet0/1 dhcp server config next-server-ip option66
save
LAN interna
2. Dirección IP asignada
ISP
(servidor DHCP)
2.2.2.5
Internet
Zona Untrust
NOTA: Antes de establecer un sitio para servicio DHCP, debe contar con una línea de
abonado digital (DSL) y una cuenta con un proveedor de servicios de Internet
(ISP).
WebUI
Network > Interfaces > Edit (para ethernet0/3): Seleccione Obtain IP using
DHCP y haga clic en OK.
CLI
set interface ethernet0/3 dhcp client
set interface ethernet0/3 dhcp settings server 2.2.2.5
save
DNS (3)
WINS (2)
NetInfo (2)
SMTP (1)
POP3 (1)
News (1)
Zona Untrust
ISP
Servidor DHCP
Ajustes TCP/IP y dirección IP
de la interfaz de la zona Untrust
Clientes de DHCP
Zona Trust
Para propagar todos los ajustes TCP/IP que reciba del módulo de cliente DHCP,
puede configurar el módulo del servidor DHCP ejecutando el comando set
interface interfaz dhcp-client settings update-dhcpserver. También puede dar
preferencia a cualquier ajuste sobre otro.
Configurará el módulo de servidor DHCP para hacer lo siguiente con los ajustes
TCP/IP que reciba del módulo de cliente DHCP:
SMTP: 211.1.8.150
POP3: 211.1.8.172
WebUI
CLI
1. Cliente DHCP
set interface ethernet0/3 dhcp-client settings server 211.3.1.6
set interface ethernet0/3 dhcp-client settings update-dhcpserver
set interface ethernet0/3 dhcp-client settings autoconfig
set interface ethernet0/3 dhcp-client enable
2. Servidor DHCP
set interface ethernet0/1 dhcp server option gateway 10.1.1.1
set interface ethernet0/1 dhcp server option netmask 255.255.255.0
set interface ethernet0/1 dhcp server option wins1 10.1.2.42
set interface ethernet0/1 dhcp server option wins2 10.1.5.90
set interface ethernet0/1 dhcp server option pop3 211.1.8.172
set interface ethernet0/1 dhcp server option smtp 211.1.8.150
set interface ethernet0/1 dhcp server ip 10.1.1.50 to 10.1.1.200
set interface ethernet0/1 dhcp server service
save
Cliente DHCP
3. Configure una ruta estática para permitir que el servidor DHCP en el sistema
raíz obtenga acceso al vsys.
Configuración de PPPoE
El ejemplo siguiente describe la manera de definir la interfaz no fiable de un
dispositivo de seguridad para conexiones PPPoE y la manera de iniciar el servicio
PPPoE.
Dispositivo de seguridad
Módem DSL
ISP
DSLAM
Concent CA
rador Internet
Línea DSL
Principal
Servidor DNS
Antes de configurar el sitio de este ejemplo para el servicio PPPoE, debe disponer
de los siguientes medios:
WebUI
1. Interfaces y PPPoE
Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes
datos y haga clic en OK:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 172.16.30.10/24
Network > Interfaces > Edit (para ethernet0/3): Introduzca los siguientes
datos y haga clic en OK:
Zone: Untrust
Obtain IP using PPPoE: (seleccione)
User Name/Password: nombre/contraseña
Network > Interfaces > Edit (para ethernet0/3): Para verificar su conexión
PPPoE, haga clic en Connect.
NOTA: Cuando se inicia una conexión PPPoE, su ISP proporciona automáticamente las
direcciones IP para la interfaz de la zona Untrust y para los servidores del sistema
de nombres de dominio (DNS). Cuando el dispositivo de seguridad recibe
direcciones DNS a través de PPPoE, los nuevos ajustes de DNS sobrescriben de
forma predeterminada los ajustes locales. Si no desea que los nuevos ajustes de
DNS reemplacen los ajustes locales, puede utilizar el comando CLI unset pppoe
dhcp-updateserver para desactivar este comportamiento.
Si utiliza una dirección IP estática para la interfaz de la zona Untrust, debe obtener
las direcciones IP de los servidores DNS e introducirlas manualmente en el
dispositivo de seguridad y en los hosts de la zona Trust.
2. Servidor DHCP
Network > Interfaces > Edit (para ethernet0/1) > DHCP: Seleccione DHCP
Server y haga clic en Apply.
Network > Interfaces > Edit (para ethernet0/1) > DHCP: Introduzca los
siguientes datos y haga clic en Apply:
Lease: 1 hour
Gateway: 0.0.0.0
Netmask: 0.0.0.0
DNS#1: 0.0.0.0
> Advanced: Introduzca los siguientes datos, luego haga clic en Return:
DNS#2: 0.0.0.0
Domain Name: (dejar en blanco)
Network > Interfaces > DHCP (para ethernet0/1) > New Address: Introduzca
los siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.30.2
IP Address End: 172.16.30.5
3. Activación de PPPoE en el dispositivo de seguridad
1. Apague el módem DSL, el dispositivo de seguridad y las tres estaciones de
trabajo.
NOTA: Cuando utiliza DHCP para asignar direcciones IP a los hosts de la zona Trust, el
dispositivo de seguridad redirecciona automáticamente las direcciones IP de los
servidores DNS que recibe del ISP a los hosts.
Cada conexión TCP/IP que establece un host de la zona Trust hacia la zona
Untrust pasa automáticamente por el proceso de encapsulado PPPoE.
CLI
1. Interfaces y PPPoE
set interface ethernet0/1 zone trust
set interface ethernet0/1 ip 172.16.30.10/24
set interface ethernet0/3 zone untrust
set pppoe interface ethernet0/3
set pppoe username cadena_nombre password cadena_contraseña
Cada conexión TCP/IP que establece un host de la zona Trust hacia la zona
Untrust pasa automáticamente por el proceso de encapsulado PPPoE.
WebUI
1. Configuración de PPPoE para la interfaz ethernet0/2
Network > PPP > PPPoE Profile> New: Introduzca los siguientes datos y haga
clic en OK:
CLI
1. Configuración de PPPoE para la interfaz ethernet0/3
set pppoe name eth3-pppoe username user1 password 123456
set pppoe name eth3-pppoe ac ac-11
set pppoe name eth3-pppoe authentication any
set pppoe name eth3-pppoe interface ethernet0/3
2. Configuración de PPPoE para la interfaz ethernet0/2
set pppoe name eth2-pppoe username user2 password 654321
set pppoe name eth2-pppoe ac ac-22
set pppoe name eth2-pppoe authentication any
set pppoe name eth2-pppoe interface ethernet0/2
save
Para admitir una sesión PPPoE, la subinterfaz no debe estar etiquetada. Una
interfaz sin etiqueta utiliza encap (no una etiqueta de VLAN) para identificar una
VLAN correspondiente a una subinterfaz. Encap enlaza la subinterfaz al
encapsulado PPPoE. Al hospedar múltiples subinterfaces, una sola interfaz física
puede hospedar múltiples instancias PPPoE. Puede configurar cada instancia de
modo que acceda al concentrador de accesos (AC) especificado, permitiendo que
entidades independientes tales como ISP administren sesiones PPPoE a través de
una sola interfaz. Para obtener más información sobre VLAN y etiquetas VLAN,
consulte el Volumen 10: Sistemas virtuales.
isp_1 e7 isp_1ac
Tres instancias PPPoE isp_2 e7.1 isp_2ac
Tres sesiones PPPoE
isp_3 e7.2 isp_3ac
isp_2ac
isp_3ac
WebUI
1. Interfaz y subinterfaces
Network > Interfaces > Edit (para ethernet7):
2. Instancias PPPoE y CA
Network > PPP > PPPoE Profile> New:
Network > PPP > PPPoE Profile > Connect (para isp_2)
Network > PPP > PPPoE Profile > Connect (para isp_3)
CLI
1. Interfaz y subinterfaces
set interface ethernet7 zone untrust
set interface ethernet7.1 encap pppoe zone untrust
set interface ethernet7.2 encap pppoe zone untrust
2. Instancias PPPoE y CAs
set pppoe name isp_1 username usuario1@dominio1 password espada
set pppoe name isp_1 interface ethernet7
set pppoe name isp_1 ac isp_1ac
set pppoe name isp_2 username usuario2@dominio2 password emperador
set pppoe name isp_2 interface ethernet7.1
set pppoe name isp_2 ac isp_2ac
set pppoe name isp_3 username usuario3@dominio3 password trucha
set pppoe name isp_3 interface ethernet7.2
set pppoe name isp_3 ac isp_3ac
save
Claves de licencia
La función de la clave de licencia permite ampliar las capacidades de su dispositivo
de seguridad de Juniper Networks sin tener que actualizarse a otro dispositivo o
imagen del sistema. Puede adquirir los siguientes tipos de claves:
Avanzada
Capacidad
Extendida
Virtualización
GTP
Vsys
IDP
WebUI
Configuration > Update > ScreenOS/Keys > SelectLicense Key Update
(funciones) > haga clic en Browse > seleccione el archivo que contiene la
clave de licencia, a continuación haga clic en Apply.
CLI
exec license-key núm_clave
Registrar la suscripción
Servicio de prueba
Para permitir el uso de los servicios de AV, DI, antispam o filtrado de Web, el
dispositivo de seguridad proporciona un período de prueba. Durante este tiempo, el
dispositivo puede obtener servicios temporalmente. Para descargar las claves de
licencia de prueba correspondientes desde el servidor de autorización, utilice el
comando CLI para pruebas de actualización exec license-key.
Antispam.
La clave vence
NOTA: Para eliminar una sola clave de licencia del archivo de claves, ejecute el comando
CLI exec license-key delete cadena_nombre.
http://tools.juniper.net/subreg
Ahora puede configurar el dispositivo para que realice la descarga de los servicios
de firma de forma automática o manual. Para obtener instrucciones sobre la
configuración de estos servicios en su dispositivo de seguridad, consulte las
siguientes secciones:
Fecha y hora
Para poner el reloj en hora con la fecha y hora actuales, puede utilizar WebUI o CLI.
A través de WebUI, esta operación se efectúa sincronizando el reloj del sistema con
el reloj de su computadora:
1. Configuration > Date/Time: Haga clic en el botón Sync Clock with Client.
2. Haga clic en Yes para sincronizar el reloj del sistema y ajustarlo según DST,
o bien, en No para sincronizarlo sin el ajuste de DST.
Horario de verano
El horario de verano (DST) es un sistema que se utiliza en muchos países para
ajustar la hora local oficial durante los meses de verano a fin de ahorrar energía y
dejar más luz diurna para las actividades laborales y escolares.
El horario de verano se sigue de manera diferente en cada país. Por este motivo, el
sisteme permite seleccionar los ajustes apropiados de DST que se apliquen a su
país.
Puede establecer el ajuste de DST para recurrir a un programa laboral (por ejemplo,
el último domingo de marzo) o en una fecha específica. También puede establecer
que el ajuste de DST no sea recurrente de un año para otro, sino que se ajuste
solamente para un único año.
Huso horario
El huso horario se establece especificando el número de horas de adelanto o de
retraso de la hora local del dispositivo de seguridad con respecto a GMT (hora
media de Greenwich). Por ejemplo, si la zona horaria local del dispositivo es la hora
estándar del Pacífico, tendrá un retraso de 8 horas con respecto a GMT. Por lo tanto,
deberá poner el reloj en -8.
device -> set clock timezone número (un número entre -12 y 12)
o bien
device -> set ntp timezone número (un número entre -12 y 12)
La sincronización manual del reloj del sistema solamente se puede hacer mediante
CLI, pudiendo especificarse un servidor NTP determinado o ninguno. Si especifica
un servidor NTP, el dispositivo de seguridad solamente consultará a ese servidor. Si
no especifica ningún servidor NTP, el dispositivo consultará a cada servidor NTP
configurado en el dispositivo, de manera secuencial. Puede especificar un servidor
NTP utilizando su dirección IP o su nombre de dominio.
WebUI
Configuration > Date/Time: Introduzca los siguientes datos y haga clic
en Apply:
CLI
set ntp server 1.1.1.1
set ntp server backup1 1.1.1.2
set ntp server backup2 1.1.1.3
set ntp server src-interface trust
set ntp server backup1 src-interface trust
set ntp server backup2 src-interface trust
set ntp server key-id 10 pre-share-key !2005abc
set ntp server backup1 key-id 10 pre-share-key !2005abc
set ntp server backup2 key-id 10 pre-share-key !2005abc
save
NOTA: Al emitir consultas mediante la CLI, puede cancelar la solicitud actual presionando
Ctrl-C en el teclado.
WebUI
Configuration > Date/Time: Introduzca los siguientes datos y haga clic
en Apply:
CLI
set clock ntp
set ntp server 1.1.1.1
set ntp server backup1 1.1.1.2
set ntp server backup2 1.1.1.3
set ntp interval 5
set ntp max-adjustment 2
save
Para habilitar la autenticación del tráfico NTP, debe asignar un identificador de clave
y una clave previamente compartida exclusivas a cada servidor NTP que configure
en un dispositivo de seguridad. El identificador de clave y la clave previamente
compartida sirven para generar una suma de comprobación con la que el
dispositivo de seguridad y el servidor NTP pueden autenticar los datos.
Tipo Descripción
Required Cuando lo selecciona, el dispositivo de seguridad debe incluir la información de
(necesario) autenticación (identificador de clave y suma de comprobación) en cada paquete
que envía a un servidor NTP y debe autenticar todos los paquetes NTP que recibe
de un servidor NTP. Para poder establecer la autenticación entre un dispositivo de
seguridad y un servidor NTP, los administradores del dispositivo de seguridad y del
servidor NTP deben intercambiar primero un identificador de clave y una clave
previamente compartida. Tienen que intercambiarlas manualmente, para lo que
disponen de varios métodos, por ejemplo, correo electrónico o teléfono.
Preferred Cuando lo selecciona, el dispositivo de seguridad primero debe funcionar como si
(preferido) estuviese en el modo Required, intentando autenticar todo el tráfico NTP. Si fallan
todos los intentos de autenticación, el dispositivo de seguridad entonces funciona
como si no se hubiese seleccionado ninguna autenticación. Envía paquetes a un
servidor NTP sin incluir identificador de clave ni suma de comprobación.
Básicamente, aunque existe cierta preferencia por la autenticación, si ésta falla, el
dispositivo de seguridad sigue permitiendo el tráfico NTP.
Índice IX-I
Manual de referencia de ScreenOS: Conceptos y ejemplos
IX-II Índice
Índice
Índice IX-III
Manual de referencia de ScreenOS: Conceptos y ejemplos
O zonas ................................................................ 25 a 32
opción de aplicación, en directivas ........................... 169 zonas de función .....................................................32
opciones “unicast” desconocidas ........................ 82 a 87 zonas de seguridad .............................................2, 27
ARP ................................................................... 84 a 87 zonas de seguridad predefinidas .............................2
inundación ....................................................... 83 a 84 zonas de túnel .........................................................28
trace-route ................................................................ 85 seguimiento de IP
interfaces, compartidas ..........................................63
P interfaces, compatibles ..........................................62
parámetros del sistema .............................................. 260 opción “dynamic” ...................................................63
PAT................................................................................. 143 pesos .........................................................................64
Proveedor de servicios de Internet (ISP) .................. 225 redireccionamiento de tráfico ....................... 62 a 78
PXE ................................................................................ 239 umbral de fallos del objeto ....................................64
vsys ...........................................................................63
Q seguimiento de IP, fallo
QoS (calidad del servicio) ........................................... 195 interfaz de entrada, en ................................... 75 a 78
interfaz de salida, en ...................................... 74 a 75
R umbral de IP marcado ............................................64
red, ancho de banda ................................................... 195 servicios ........................................................................109
reglas, derivadas de las directivas ............................. 166 definido ..................................................................168
reloj del sistema................................................. 256 a 261 en directivas ..........................................................168
fecha y hora ........................................................... 257 ICMP .......................................................................127
huso horario .......................................................... 257 lista desplegable ....................................................109
sincronización con cliente ................................... 257 umbral del tiempo de espera ...............................124
RFC servicios ICMP..............................................................127
0792, Protocolo de mensajes de control de códigos de mensaje ..............................................128
Internet ..........................................................128 tipos de mensaje ...................................................128
1349, Tipo de servicio en el Suite de protocolo de servicios personalizados .............................................122
Internet ..........................................................176 servicios personalizados, en raíz y vsys ....................123
1918, Asignación de direcciones para Internet servicios, personalizados ............................................122
privadas ...........................................................46 ALG .........................................................................169
2132, Opciones de DHCP y extensiones de en vsys....................................................................123
proveedores de BOOTP ....................................233 Servidor PXE ................................................................240
2326, Protocolo de secuencias en tiempo real Sistema de nombres de dominio
(RTSP) ....................................................132, 136 véase DNS
2474, Definición del campo de Servicios sistema, reloj
diferenciados (campo DS) en los encabezados de véase reloj del sistema
IPv4 e IPv6 .....................................................176 sistemas virtuales ............................................................8
RSH ALG ....................................................................... 128 subinterfaces ....................................................................3
RTSP ALG crear (sistema raíz) .................................................48
códigos de estado ................................................. 135 eliminar ....................................................................49
definido .................................................................. 132 Sun RPC ALG
métodos de petición ............................................. 133 definido ..................................................................129
servidor en dominio privado ............................... 136 supuestos de llamadas..........................................129
servidor en dominio público ................................ 138 suscripciones
registro y activación .................................... 254 a 256
servicio temporal ..................................................255
S
SCREEN, zona MGT ....................................................... 28
ScreenOS T
directivas .................................................................... 3 tareas programadas .............................................158, 175
flujo de paquetes ............................................. 10 a 12 trace-route ......................................................................85
sistemas virtuales ...................................................... 8 traducción de direcciones de puertos
vista general .............................................................. 1 véase PAT
zona de seguridad global ......................................... 2 tráfico
zona global ............................................................... 28 asignación ..............................................................195
IX-IV Índice
Índice
Índice IX-V
Manual de referencia de ScreenOS: Conceptos y ejemplos
IX-VI Índice
Conceptos y ejemplos
Manual de referencia de ScreenOS
Volumen 3:
Administración
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen vii
Convenciones del documento ........................................................................ vii
Convenciones de la interfaz de usuario web ............................................ vii
Convenciones de interfaz de línea de comandos .................................... viii
Convenciones de nomenclatura y conjuntos de caracteres ....................... ix
Convenciones para las ilustraciones .......................................................... x
Asistencia y documentación técnica................................................................. x
Capítulo 1 Administración 1
Administración a través de la interfaz de usuario web ..................................... 2
Ayuda de la interfaz gráfica (WebUI) ......................................................... 2
Copia de los archivos de ayuda a una unidad local.............................. 3
Desvío de WebUI a la nueva ubicación de la ayuda............................. 3
Protocolo de transferencia de hipertextos ................................................. 4
Identificación de sesión ............................................................................. 4
Secure Sockets Layer ................................................................................. 5
Configuración de SSL .......................................................................... 7
Redireccionamiento de HTTP a SSL .................................................... 8
Administración a través de la interfaz de línea de comandos......................... 10
Telnet ...................................................................................................... 10
Conexiones Telnet seguras ...................................................................... 11
Secure Shell ............................................................................................. 11
Requisitos del cliente ........................................................................ 13
Configuración básica de SSH en el dispositivo................................... 13
Autenticación .................................................................................... 14
SSH y Vsys ........................................................................................ 16
Clave de host .................................................................................... 17
Ejemplo: SSHv1 con PKA para inicios de sesión de automatizados ... 17
Copia segura............................................................................................ 18
Consola serie ........................................................................................... 19
Consola remota ....................................................................................... 20
Consola remota con el puerto de módem V.92 ................................. 20
Consola remota con el puerto AUX ................................................... 21
Puerto de módem.................................................................................... 22
Administración a través de NetScreen-Security Manager................................ 23
Inicio de la conectividad entre el agente de NSM y el sistema MGT ......... 24
Habilitar, inhabilitar y desactivar el agente de NSM ................................. 25
Ajustar la dirección IP del servidor principal del sistema de
administración (Management System) .............................................. 26
Ajustar la generación de informes de alarmas y de estadísticas............... 26
Sincronización de la configuración .......................................................... 28
Ejemplo: Visualizar al estado de la configuración .............................. 28
Ejemplo: Consultar el hash de configuración..................................... 28
Contenido iii
Manual de referencia de ScreenOS: Conceptos y ejemplos
iv Contenido
Contenido
Índice ........................................................................................................................IX-I
Contenido v
Manual de referencia de ScreenOS: Conceptos y ejemplos
vi Contenido
Acerca de este volumen
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Para abrir la ayuda en línea para los ajustes de configuración, haga clic en el signo
de interrogación (?) en la parte superior izquierda de la pantalla.
En ejemplos:
NOTA: Para introducir palabras clave, basta con introducir los primeros caracteres para
identificar la palabra de forma inequívoca. Al escribir set adm u whee j12fmt54
se ingresará el comando set admin user wheezer j12fmt54. Sin embargo, todos
los comandos documentados aquí se encuentran presentes en su totalidad.
Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá
estar entre comillas dobles; por ejemplo:
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Interfaz de túnel
Servidor
Túnel VPN
Enrutador
Dispositivos de seguridad
Conmutador Juniper Networks
Concentrador
1
Manual de referencia de ScreenOS: Conceptos y ejemplos
Figura 2: WebUI
http://help.juniper.net/help/english/versión_screenos
por
o bien
NOTA: Para obtener más información, consulte “Secure Sockets Layer” en la página 5,
“Túneles de VPN para tráfico administrativo” en la página 46 e “Interfaces MGT y
VLAN1” en la página 30.
Identificación de sesión
El dispositivo de seguridad asigna a cada sesión administrativa de HTTP un
identificador de sesión único. En los dispositivos de seguridad que admiten
sistemas virtuales (vsys), el identificador es globalmente único en todos los
sistemas: raíz (root) y virtuales (vsys).
Al ser independiente del protocolo de aplicación, SSL utiliza TCP para proporcionar
servicios seguros (consulte la Figura 5). SSL utiliza certificados para autenticar
primero el servidor o bien el cliente y el servidor, y luego para encriptar el tráfico
enviado durante la sesión. ScreeOS solamente admite autenticarse desde el
servidor (dispositivo de seguridad), no desde el cliente (administrador intentando
conectarse al dispositivo de seguridad a través de SSL).
NOTA: Para obtener información sobre la redirección del tráfico HTTP administrativo a
SSL, consulte “Redireccionamiento de HTTP a SSL” en la página 8. Para obtener
información sobre certificados autofirmados, consulte “Certificados autofirmados”
en la página 5-38). Para más información sobre la obtención de certificados,
consulte “Certificados y CRL” en la página 5-24.
Los algoritmos de autenticación son los mismos para SSL que para VPN:
NOTA: Los algoritmos RC4 siempre van emparejados con MD5, mientras que DES y 3DES
van con SHA-1.
Configuración de SSL
Los pasos básicos para configurar SSL son los siguientes:
WebUI
Configuration > Admin > Management: Introduzca los siguientes datos y haga
clic en Apply:
SSL: (seleccione)
Port: Utilice el número de puerto predeterminado (443) o cámbielo por otro.
Certificate: Seleccione en la lista desplegable el certificado que desea utilizar.
Cipher: Seleccione en la lista desplegable el cifrado que desea utilizar.
CLI
set ssl port núm
set ssl cert núm_id
set ssl encrypt { { 3des | des } sha-1 | { rc4 | rc4-40 } | md5 }
set ssl enable
save
WebUI
Network > Interfaces > Edit (para la interfaz que desea administrar):
Seleccione la casilla de verificación del servicio de administración de SSL,
después haga clic en OK.
CLI
set interface interfaz manage ssl
save
https://123.45.67.89:1443.
Conexión SSL
Encriptado
WebUI
Configuration > Admin > Management: Introduzca los siguientes datos y haga
clic en Apply:
CLI
set admin http redirect
save
NOTA: No tiene que introducir un comando CLI para aplicar el certificado autofirmado
generado automáticamente para su uso con SSL porque el dispositivo de
seguridad lo aplica a SSL de forma predeterminada. Si asignó previamente otro
certificado para uso con SSL y ahora desea utilizar el certificado predeterminado
en su lugar, debe eliminar el otro certificado con el comando unset ssl cert
núm_id, en el cual núm_id es el número de identificador del certificado asignado
previamente.
NOTA: Para obtener un listado completo de los comandos CLI de ScreenOS, consulte el
Manual de referencia de CLI ScreenOS. Descripciones del comando IPv4.
Telnet
Telnet es un protocolo de inicio de sesión y de emulación de terminales que utiliza
una relación cliente/servidor para conectarse y configurar remotamente los
dispositivos de una red TCP/IP. El administrador ejecuta un programa cliente de
Telnet en la estación de trabajo de administración y crea una conexión con el
programa servidor de Telnet instalado en el dispositivo de seguridad. Después de
iniciar la sesión, el administrador puede enviar comandos de la CLI, que se
transmiten al programa de Telnet del dispositivo de seguridad, permitiendo
configurar eficazmente el dispositivo como si se estuviese trabajando a través de
una conexión directa. Para utilizar Telnet con el fin de administrar los dispositivos
de seguridad se requiere la siguiente aplicación y conexión:
NOTA: Para obtener información sobre los túneles de VPN, consulte el Volumen 5:
Redes privadas virtuales.
Secure Shell
El servidor Secure Shell (SSH) integrado en un dispositivo de seguridad de Juniper
Networks proporciona a los administradores un medio para la administración
remota del dispositivo de manera segura utilizando las aplicaciones que reconocen
SSH. SSH permite abrir de forma segura un entorno de comandos remoto y ejecutar
comandos. SSH proporciona protección contra los ataques de simulación de IP o
DNS (“spoofing”) y contra la interceptación de contraseñas y datos.
Puede elegir entre ejecutar un servidor SSH versión 1 (SSHv1) o SSH versión 2
(SSHv2) en el dispositivo. SSHv2 se considera más seguro que SSHv1 y está siendo
desarrollado actualmente como estándar del IETF. Sin embargo, SSHv1 está
ampliamente difundido y se utiliza comúnmente. Observe que SSHv1 y SSHv2 no
son compatibles entre sí. Es decir, no se puede conectar un cliente SSHv1 a un
servidor SSHv2 en el dispositivo de seguridad, ni viceversa. La consola o aplicación
de terminal del cliente debe ejecutar la misma versión de SSH que el servidor. La
Figura 8 ilustra el flujo de tráfico SSH.
7. El cliente encripta un nombre de usuario y una contraseña o el Nota: Par de claves pública/privada = Conjunto de claves
componente público de su clave PKA y envía ambos para su encriptadas que operan de modo que cualquier elemento
autenticación. encriptado por una, sólo se pueda desencriptar con la
otra.
NOTA: También puede utilizar WebUI para cambiar el número de puerto y habilitar SSHv2
y SCP en la página Configuration > Admin > Management.
4. Habilite SSH para el sistema raíz o para el sistema virtual. Consulte “SSH y
Vsys” en la página 16 para obtener más información sobre cómo habilitar y
utilizar SSH en cada sistema virtual vsys.
Si desea habilitar SSH para un vsys, primero debe entrar en dicho vsys y
habilitar SSH:
Autenticación
Un administrador puede conectarse a un dispositivo de seguridad de
Juniper Networks mediante SSH usando uno de los dos métodos de autenticación:
NOTA: Los algoritmos de autenticación admisibles son RSA para SSHv1 y DSA para
SSHv2.
Por otra parte, los preparativos para PKA consisten en las siguientes tareas
preliminares:
1. En el cliente de SSH, genere una par de claves (una pública y una privada)
usando un programa de generación de claves. (El par de claves debe ser RSA
para SSHv1 o DSA para SSHv2. Para obtener más información, consulte la
documentación de la aplicación cliente de SSH).
NOTA: Si desea utilizar PKA para realizar inicios de sesión automatizados, también debe
cargar un agente en el equipo cliente de SSH para desencriptar el componente
privado del par de claves pública/privada PKA y mantener en memoria la versión
desencriptada de la clave privada.
Para SSHv1:
Para SSHv2:
NOTA: El dispositivo admite hasta cuatro claves públicas PKA por cada usuario con
permisos de administrador.
Cuando un administrador intenta iniciar una sesión a través de SSH en una interfaz
que tiene habilitada la gestión de SSH, el dispositivo NetScreen comprueba primero
si ese administrador tiene asociada una clave pública. En caso afirmativo, el
dispositivo autentica al administrador mediante PKA. Si no hay ninguna clave
pública asociada al administrador, el dispositivo pide un nombre de usuario y una
contraseña. (Puede utilizar el siguiente comando para obligar a un administrador a
utilizar únicamente el método PKA: set admin ssh password disable username
cadena_nombre.) Sin tener en cuenta el método de autenticación que desee
imponer al administrador, al definir inicialmente su cuenta deberá incluir de todos
modos una contraseña, aunque en el futuro ésta pase a ser irrelevante si asocia una
clave pública a ese usuario.
SSH y Vsys
Para los dispositivos de seguridad que admitan vsys, puede habilitar y configurar
SSH en cada vsys individualmente. Cada vsys tiene su propia clave de host (consulte
“Clave de host” en la página 17) y mantiene y administra una clave de PKA para el
administrador del sistema.
Clave de host
La clave de host permite al dispositivo identificarse ante un cliente de SSH. En los
dispositivos que admiten sistemas virtuales (vsys), cada vsys tiene su propia clave
de host. Cuando se activa SSH por primera vez en un vsys (en dispositivos que
admiten vsys) o en un dispositivo, se genera una clave de host única para dicho
vsys o dispositivo. La clave de host se asocia con carácter permanente al vsys o
dispositivo y se vuelve a utilizar incluso después de inhabilitar y rehabilitar SSH.
La clave de host del dispositivo se debe distribuir al cliente de SSH mediante uno de
los dos métodos siguientes:
Defina una cuenta de usuario con permisos de administrador denominada cfg, con
la contraseña cfg y privilegios de lectura/escritura. Habilite la posibilidad de gestión
de SSH en la interfaz “ethernet1”, asociada a la zona “Untrust”.
WebUI
Configuration > Admin > Administrators > New: Introduzca los siguientes
datos y haga clic en OK:
Name: cfg
New Password: cfg
Confirm Password: cfg
Privileges: Read-Write (seleccione)
SSH Password Authentication: (seleccione)
Network > Interfaces > Edit (para ethernet1): Seleccione SSH en Service
Options y después haga clic en OK.
NOTA: Únicamente es posible cargar un archivo de claves públicas para SSH desde un
servidor TFTP por medio del comando exec ssh.
CLI
set admin user cfg password cfg privilege all
set interface ethernet1 manage ssh
exec ssh tftp pka-rsa username cfg file-name idnt_cfg.pub ip-addr 10.1.1.5
save
Copia segura
La copia segura (SCP, Secure Copy) es un método de transferencia de archivos entre
un cliente remoto y el dispositivo de seguridad utilizando el protocolo SSH. (El
protocolo SSH proporciona la autenticación, la encriptación y la integridad de datos
a la conexión SCP). El dispositivo actúa como servidor de SCP para aceptar
conexiones de clientes de SCP en hosts remotos.
SCP requiere que el cliente remoto se haya autenticado antes de poder comenzar la
transferencia de archivos. La autenticación de SCP sigue exactamente el mismo
proceso utilizado para autenticar clientes de SSH. El cliente de SCP se puede
autenticar con una contraseña o una clave de PKA. Una vez autenticado el cliente
de SCP, pueden transferirse uno o más archivos hacia o desde el dispositivo. La
aplicación cliente de SCP determina el método exacto para especificar los nombres
de archivo de origen y de destino; consulte la documentación de la aplicación
cliente de SCP.
WebUI
Configuration > Admin > Management: Seleccione los siguientes datos y haga
clic en Apply:
CLI
set ssh enable
set scp enable
save
Lo que sigue es un ejemplo de un comando del cliente de SCP para copiar el archivo
de configuración desde la memoria flash de un dispositivo NetScreen (el nombre
del administrador es “juniper” y la dirección IP es 10.1.1.1) al archivo
“ns_sys_config_backup” del sistema cliente:
Para copiar una imagen ScreenOS desde un dispositivo a un cliente SCP y para
nombrar la imagen guardada “current_image_backup”, introduzca el siguiente
comando del cliente SCP:
Consola serie
Puede administrar un dispositivo de seguridad por medio de una conexión serie
directa entre la estación de trabajo del administrador y el dispositivo a través del
puerto de consola. Aunque no siempre es posible establecer una conexión
directa, éste es el método más seguro para administrar el dispositivo,
siempre que el entorno donde se encuentre el dispositivo también sea
seguro.
NOTA: Para impedir que usuarios no autorizados puedan iniciar sesiones remotamente
como administrador raíz, puede obligar a éste a iniciar sus sesiones en el
dispositivo exclusivamente a través de la consola. Para obtener más información
sobre esta restricción, consulte “Restringir el administrador raíz a acceder desde la
consola” en la página 45.
Un cable serie directo con un conector hembra DB-9 y un conector macho DB-9
8 bits
Sin paridad
1 bit de parada
NOTA: Para obtener más detalles acerca del uso de HyperTerminal, consulte el Manual de
referencia CLI ScreenOS: Descripciones del comando IPv4 o la documentación para
su dispositivo.
Consola remota
Puede obtener acceso de manera remota a la interfaz de consola en un dispositivo
de seguridad para acceso telefónico a la misma. Existen dos maneras de acceso
telefónico en la consola:
Sistema telefónico
público
Puerto v.92 en el
dispositivo de seguridad
8 bits
Sin paridad
1 bit de parada
NOTA: Para obtener más detalles acerca del uso de HyperTerminal, consulte el Manual de
referencia CLI ScreenOS: Descripciones del comando IPv4 o la documentación para
su dispositivo.
Sistema telefónico
público
Módem
externo v.92 Puerto AUX en el
dispositivo de seguridad
8 bits
Sin paridad
1 bit de parada
NOTA: Para obtener más detalles acerca del uso de HyperTerminal, consulte el mnaual
ScreenOS CLI Reference Guide: IPv4 Command Descriptions o la documentación de
su dispositivo.
Puerto de módem
El dispositivo de seguridad también se puede administrar conectando la estación de
trabajo del administrador al puerto de módem del dispositivo. El puerto de módem
funciona de forma similar al puerto de consola, salvo que no se pueden definir sus
parámetros ni utilizar esta conexión para transferir una imagen.
El servidor principal
contiene un servidor
de dispositivos y el
servidor de GUI.
Agente de NSM:
El dispositivo de seguridad utiliza su
agente incorporado para comunicarse Servidores de dispositivos y GUI: El administrador
con el servidor de dispositivos. El servidor de dispositivos envía cambios de NetScreen-Security
configuración al dispositivo de seguridad y recibe Manager opera el sistema
informes operativos y estadísticos del mismo. de administración a través
del cliente.
El servidor de GUI procesa los cambios de
configuración que recibe de uno o más clientes
del Administrador de seguridad NetScreen.
WebUI
Configuration > Admin > NSM: Seleccione Enable Communication with
NetScreen-Security Manager (NSM) y después haga clic en Apply.
CLI
set nsmgt enable
save
WebUI
Configuration > Admin > NSM: Desactive Enable Communication with
NetScreen-Security Manager (NSM) y después haga clic en Apply.
CLI
unset nsmgt enable
save
WebUI
Configuration > Admin > NSM: Introduzca los siguientes datos y haga clic
en Apply:
CLI
set nsmgmt server primary 1.1.1.100
save
Los eventos registrados por el agente NSM se dividen en las siguientes categorías:
Eventos del registro, que informan sobre cambios en una configuración del
dispositivo y cambios de escasa relevancia que se producen en el mismo.
WebUI
Configuration > Admin > NSM: Introduzca los siguientes datos y haga clic
en Apply:
CLI
set nsmgmt report statistics attack enable
set nsmgmt report statistics policy enable
set nsmgmt report alarm attack enable
set nsmgmt report alarm traffic enable
set nsmgmt report statistics flow enable
set nsmgmt report statistics ethernet enable
set nsmgmt report alarm idp enable
set nsmgmt report alarm other enable
save
Sincronización de la configuración
Si la configuración de ScreenOS sufre modificaciones desde la última vez que se
sincronizó con NetScreen-Security Manager, el dispositivo de seguridad notifica al
administrador del NetScreen-Security Manager el cambio. Por ejemplo, el
dispositivo envía un mensaje cuando un administrador de dispositivo utiliza la
consola, telnet, SSH, o WebUI para modificar la configuración de un dispositivo de
seguridad. Si se modifica la configuración con una aplicación que no sea
NetScreen-Security Manager, ésta deja de estar sincronizada. El archivo de
configuración NetScreen-Security Manager debe estar sincronizado con el archivo
de configuración del dispositivo de seguridad para que NetScreen-Security Manager
pueda trabajar correctamente. La sincronización se logra cuando se importa el
archivo de configuración a NetScreen-Security Manager. Para obtener información
acerca de los dispositivos de importación, consulte la Guía del administrador de
NetScreen-Security Manager.
WebUI
NOTA: Debe utilizarla interfaz CLI para consultar el estado de la configuración actual.
CLI
get config nsmgmt-dirty
WebUI
NOTA: Debe utilizarla interfaz CLI para consultar el hash de la configuración actual.
CLI
device-> enter vsys vsys1
device(vsys1)-> get config hash
a26a16cd6b8ef40dc79d5b2ec9e1ab4f
device(vsys1)->
device(vsys1)-> exit
WebUI
NOTA: Debe utilizar el comando de CLI para consultar las marcas de hora de
configuración que se ejecutaron y se guardaron.
CLI
get config timestamp vsys vsys1
get config saved timestamp
Para mantener el nivel más alto de seguridad, Juniper Networks recomienda limitar
el tráfico administrativo exclusivamente a las interfaces VLAN1 o MGT y el tráfico
de usuarios a las interfaces de la zona de seguridad. Al separar el tráfico
administrativo del tráfico de los usuarios de la red se aumenta significativamente la
seguridad administrativa y se asegura un ancho de banda constante para la
administración.
WebUI
Network > Interfaces > Edit (para mgt): Introduzca los siguientes datos y haga
clic en OK:
IP Address/Netmask: 10.1.1.2/24
Management Services: WebUI, SSH: (seleccione)
CLI
set interface mgt ip 10.1.1.2/24
set interface mgt manage web
set interface mgt manage ssh
save
WebUI
Network > Interfaces > Edit (para VLAN1): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 10.1.1.1/24
Management Services: WebUI, Telnet: (seleccione)
Network > Zones > Edit (para V1-Trust): Introduzca los siguientes datos y haga
clic en OK:
CLI
set interface vlan1 ip 10.1.1.1/24
set interface vlan1 manage web
set interface vlan1 manage telnet
set zone v1-trust manage web
set zone v1-trust manage telnet
save
En este ejemplo se enlaza ethernet1 a la zona fiable Trust y ethernet3 a la zona sin
confianza Untrust. Se asigna a ethernet1 la dirección IP 10.1.1.1/24 y la dirección IP
de administración 10.1.1.2. (Recuerde que la dirección IP de administración debe
encontrarse en la misma subred que la dirección IP de la interfaz de la zona de
seguridad). También permitirá a ethernet1 recibir tráfico web y Telnet.
A continuación, asigne a ethernet3 la dirección IP 1.1.1.1/24 y bloquee todo el
tráfico administrativo hacia dicha interfaz.
WebUI
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
CLI
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 manage-ip 10.1.1.2
set interface ethernet1 manage web
unset interface ethernet1 manage snmp
set interface ethernet1 manage telnet
unset interface ethernet1 manage ssl
unset interface ethernet1 manage ssh
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
save
NOTA: Cuando se asocia una interfaz a cualquier zona de seguridad que no sean las
zonas Trust y V1-Trust, todas las opciones de administración se inhabilitan de
forma predeterminada. Por lo tanto, en este ejemplo, no tiene que inhabilitar las
opciones de administración en ethernet3.
Enrutador 1.1.1.250
Administradores locales
Zona DMZ
ethernet2
IP: 1.2.2.1/24
IP de administración: 1.2.2.2
LAN
Zona Trust
WebUI
Network > Interfaces > Edit (ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (ethernet3): Introduzca los siguientes datos y
haga clic en OK:
CLI
set interface ethernet2 zone dmz
set interface ethernet2 ip 1.2.2.1/24
set interface ethernet2 manage-ip 1.2.2.2
set interface ethernet2 manage web
set interface ethernet2 manage telnet
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 manage-ip 1.1.1.2
set interface ethernet3 manage snmp
save
Niveles de administración
Los dispositivos de seguridad de Juniper Networks admiten múltiples usuarios
administrativos. Cualquier cambio en la configuración realizado por un
administrador queda registrado por el dispositivo de seguridad con la siguiente
información:
Administrador raíz
El administrador raíz tiene privilegios administrativos completos. Hay solamente un
administrador raíz por cada dispositivo de seguridad. El administrador raíz tiene los
siguientes privilegios:
Niveles de administración 35
Manual de referencia de ScreenOS: Conceptos y ejemplos
Actualiza el firmware
Administrador de lectura/escritura
El administrador de lectura/escritura tiene los mismos privilegios que el
administrador raíz, pero no puede crear, modificar ni eliminar otros usuarios con
permisos de administrador. El administrador de lectura/escritura tiene los
privilegios siguientes:
36 Niveles de administración
Capítulo 1: Administración
NOTA: Para obtener más información sobre sistemas virtuales, consulte “Sistemas
virtuales” en la página 10-1.
WebUI
Configuration > Admin > Administrators > New: Introduzca los siguientes
datos y haga clic en OK:
Name: Roger
New Password: 2bd21wG7
Confirm New Password: 2bd21wG7
Privileges: Read-Only (seleccione)
CLI
set admin user Roger password 2bd21wG7 privilege read-only
save
WebUI
Configuration > Admin > Administrators > Edit (para Roger): Introduzca los
siguientes datos y haga clic en OK:
Name: Roger
New Password: 2bd21wG7
Confirm New Password: 2bd21wG7
Privileges: Read-Write (seleccione)
CLI
unset admin user Roger
set admin user Roger password 2bd21wG7 privilege all
save
WebUI
Configuration > Admin > Administrators: Haga clic en Remove para Roger en
la columna Configure.
CLI
unset admin user Roger
save
Ejemplo: Configurar las cuentas del administrador para las conexiones de acceso
telefónico
Algunos dispositivos admiten una conexión de módem para las situaciones de
recuperación de desastres de conexión telefónica. Puede configurar cuentas
fiduciarias para la interfaz, para el módem o tanto para la interfaz como para el
módem. Esta sección describe los dos tipos de cuentas fiduciarias:
Interfaz fiduciaria
Para dispositivos con interfaces ADSL, una interfaz fiduciaria tiene control
sobre las siguientes características:
Módem fiduciario
Puede visualizar todas las cuentas del administrador al introducir el comando get
admin user o puede visualizar únicamente las cuentas fiduciarias al introducir el
comando get admin user trustee.
WebUI
Configuration > Admin > Administrators
CLI
set admin user rbrockie password !23fb privilege all
set admin user rbrockie trustee modem
WebUI
NOTA: Debe utilizar la interfaz CLI para eliminar las sesiones de administración.
CLI
clear admin name Roger
save
WebUI
Network > Interfaces > Edit (para la interfaz que desee editar): Introduzca las
siguientes opciones de servicio, después haga clic en OK:
CLI
unset interface interfaz manage ping
unset interface interfaz manage ident-reset
WebUI
Configuration > Admin > Management: En el campo HTTP Port, introduzca
15522 y después haga clic en Apply.
CLI
set admin port 15522
save
NOTA: En lugar de utilizar palabras reales como contraseñas, que resultan fáciles de
acertar o descubrir mediante un ataque de diccionario, puede utilizar una cadena
aparentemente aleatoria de números y letras. Para crear tal cadena que pueda
recordar fácilmente, componga una oración y utilice la primera letra de cada
palabra. Por ejemplo, la frase “Carlos cumplirá 6 años el 21 de noviembre”
resultará en la contraseña “Cc6ae21dn”.
WebUI
Configuration > Admin > Administrators > Edit (para John): Introduzca los
siguientes datos y haga clic en OK:
Name: Smith
New Password: 3MAb99j2
Confirm New Password: 3MAb99j2
CLI
unset admin user John
set admin user Smith password 3MAb99j2 privilege all
save
WebUI
Configuration > Admin > Administrators > Edit (para la primera entrada):
Introduzca los siguientes datos y haga clic en OK:
Name: Smith
New Password: ru494Vq5
Confirm New Password: ru494Vq5
CLI
set admin password ru494Vq5
save
Para especificar una longitud mínima para la contraseña del administrador raíz,
escriba el siguiente comando CLI:
!!!! Lost Password Reset !!!! You have initiated a command to reset the device
to factory defaults, clearing all current configuration, keys and settings. Would
you like to continue? y/n
3. Presione la tecla y.
WebUI
Configuration > Admin > Permitted IPs: Introduzca los siguientes datos y haga
clic en Add:
IP Address/Netmask: 172.16.40.42/32
CLI
set admin manager-ip 172.16.40.42/32
save
WebUI
Configuration > Admin > Permitted IPs: Introduzca los siguientes datos y haga
clic en Add:
IP Address/Netmask: 172.16.40.0/24
CLI
set admin manager-ip 172.16.40.0 255.255.255.0
save
Por cada tipo de configuración de túnel VPN existen los siguientes tipos de túnel
VPN:
AutoKey IKE con clave previamente compartida: Una o dos claves secretas
previamente compartidas (una para la autenticación y otra para la encriptación)
funcionan como valores de inicialización. El protocolo IKE genera con ellas un
juego de claves simétricas en ambos extremos del túnel; es decir, se utiliza la
misma clave para encriptar y desencriptar. Estas claves se regeneran
automáticamente a intervalos predeterminados.
NOTA: Para obtener una descripción completa de los túneles VPN, consulte el Volumen 5:
Redes privadas virtuales. Para obtener más información sobre NetScreen-Remote,
consulte el NetScreen-Remote VPN Client Administrator Guide (Manual del
administrador de Cliente VPN de NetScreen-Remote).
Si utiliza una configuración de VPN basada en directivas, debe crear una entrada en
la libreta de direcciones con la dirección IP de una interfaz de cualquier zona, salvo
la que está asociada a la interfaz de salida. Puede entonces utilizarla como dirección
de origen en las directivas que se refieren al túnel VPN. Esta dirección también sirve
como dirección de entidad final para el interlocutor IPSec remoto. Si está utilizando
una configuración VPN basada en rutas, esta entrada en la libreta de direcciones es
innecesaria.
Se trata de una VPN basada en rutas, lo que significa que la consulta de rutas
(no la consulta de directivas) vincula la dirección de destino a la interfaz del
túnel, que está asociada al túnel VPN correspondiente.
NOTA: Compare este ejemplo con “Administración a través de un túnel VPN de clave
manual basado en directivas” en la página 51.
Figura 14: Administración a través de un túnel VPN de clave manual basado en rutas
NetScreen-Remote ethernet1 ethernet3
10.1.1.1/24 1.1.1.1/24
Admin tunnel.1
10.1.1.56 no numerado
(dirección IP estática)
10.10.10.1/32
(dirección IP interna)
WebUI
1. Interfaces
Network > Interfaces > Edit (ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
2. VPN
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
3. Ruta
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone trust
set interface tunnel.1 ip unnumbered interface ethernet1
2. VPN
set vpn tunnel-adm manual 5555 5555 gateway 10.1.1.56 outgoing ethernet1 esp
des password netscreen1 auth md5 password netscreen2
set vpn tunnel-adm bind interface tunnel.1
3. Ruta
set vrouter trust-vr route 10.10.10.1/32 interface tunnel.1
save
3. Haga clic en Add a new connection y escriba Admin junto al icono de nueva
conexión que aparece.
5. Haga clic en el signo MÁS, que se ubica a la izquierda del icono de UNIX para
ampliar la directiva de la conexión.
8. Haga clic en el signo MÁS situado a la izquierda del icono “Security Policy” y
luego haga clic en el signo MÁS a la izquierda de “Key Exchange (Phase 2)” para
ampliar más aún la directiva.
10. Haga clic en Inbound Keys y escriba 5555 en el campo “Security Parameters
Index”.
11. Haga clic en Enter Key, escriba lo siguiente y después haga clic en OK:
NOTA: Éstas son las dos claves generadas que copió después de configurar el dispositivo
de seguridad.
12. Haga clic en Outbound Keys y escriba 5555 en el campo “Security Parameters
Index”.
13. Haga clic en Enter Key, escriba lo siguiente y después haga clic en OK:
NOTA: Compare este ejemplo con “Administración a través de un túnel VPN de clave
manual basado en rutas” en la página 47.
Figura 15: Administración a través de un túnel VPN de clave manual basado en directivas
Admin
10.1.1.56 LAN
(dirección IP Internet
estática) VPN de clave manual
Túnel “tunnel-adm”
WebUI
1. Interfaces
Network > Interfaces > Edit (ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > Lists > New: Introduzca los
siguientes datos y haga clic en OK:
3. VPN
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK:
4. Ruta
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), admin
Destination Address:
Address Book Entry: (seleccione), Untrust-IF
Service: Any
Action: Tunnel
Tunnel:
VPN: tunnel-adm
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust admin 10.10.10.1/32
set address untrust Untrust-IF 1.1.1.1/32
3. VPN
set vpn tunnel-adm manual 5555 5555 gateway 10.1.1.56 outgoing ethernet1 esp
des password netscreen1 auth md5 password netscreen2
4. Ruta
set vrouter trust-vr route 10.10.10.1/32 interface ethernet1
5. Directivas
set policy top from trust to untrust admin Untrust-IF any tunnel vpn tunnel-adm
set policy top from untrust to trust Untrust-IF admin any tunnel vpn tunnel-adm
save
2. Haga clic en Add a new connection y escriba Admin junto al icono de nueva
conexión que aparece.
4. Haga clic en el signo MÁS, que hay situado a la izquierda del icono de UNIX
para ampliar la directiva de la conexión.
7. Haga clic en el símbolo MÁS situado a la izquierda del icono “Security Policy” y
luego en el símbolo MÁS a la izquierda de “Key Exchange (Phase 2)” para
ampliar más aún la directiva.
10. Haga clic en Enter Key, escriba lo siguiente y haga clic en OK:
NOTA: Éstas son las dos claves generadas que copió después de configurar el dispositivo
de seguridad.
11. Haga clic en Outbound Keys y escriba 5555 en el campo “Security Parameters
Index”.
12. Haga clic en Enter Key, escriba lo siguiente y después haga clic en OK:
Directiva de contraseñas
La función de directiva de contraseñas le permite implementar una longitud
mínima y un esquema de complejidad para las contraseñas del administrador
(admin) y usuario autenticado (auth). La función de directiva está diseñada para
utilizarse en una base de datos local y por lo tanto es útil en ambientes en los que el
directorio Windows o RADIUS no está disponible para proporcionar el
cumplimiento de la directiva de contraseñas centralizadas.
Longitud mínima
Complejidad
Directiva de contraseñas 55
Manual de referencia de ScreenOS: Conceptos y ejemplos
CLI
set password-policy user-type admin minimum-length 8
set password-policy user-type admin complexity 1
set password-policy user-type auth minimum-length 8
set password-policy user-type auth complexity 1
save
CLI
unset password-policy user-type auth minimum-length
56 Directiva de contraseñas
Capítulo 1: Administración
CLI
unset admin admin2005
get password-policy
user-type: admin
password minimum length: 8
password complexity scheme: 1
user-type: auth
password minimum length: 8
password complexity scheme: 1
Utilice el programa de SCP para copiar de forma segura el archivo del mensaje de
bienvenida en el dispositivo de seguridad. Con el siguiente comando, un
administrador con nombre de usuario netscreen puede copiar el archivo del
mensaje de bienvenida mi_mensaje_bienvenida.txt a un dispositivo de seguridad a
una dirección IP 1.1.1.2. El archivo del mensaje de bienvenida debe guardarse en el
dispositivo de seguridad como usrterms.txt.
“Syslog” en la página 76
Consola: Un destino muy útil para que todas las entradas del registro estén
disponibles cuando se están resolviendo problemas en un dispositivo de
seguridad a través de la consola. Opcionalmente, puede elegir que aquí
solamente aparezcan mensajes de alarma (crítico, alerta, emergencia) para
alertarle inmediatamente si se desencadena alguna alarma mientras usted está
utilizando la consola.
Syslog: Todas las entradas del registro de eventos y tráfico que un dispositivo
de seguridad puede almacenar internamente, también puede enviarlas a un
servidor syslog. Dado que los servidores syslog tienen una capacidad de
almacenamiento mucho mayor que las memorias flash internas de un
dispositivo de seguridad, el envío de datos a un servidor syslog puede
minimizar la pérdida de datos que podría producirse cuando el número de
entradas del registro supera la capacidad máxima de almacenamiento interno.
Syslog almacena eventos de los niveles de alerta y emergencia en la utilidad de
seguridad que usted especifique, y los demás eventos (incluyendo los datos de
tráfico) en otro equipo que también se puede especificar.
WebTrends: Permite visualizar los datos del registro de los niveles crítico, alerta
y emergencia en un formato más gráfico que syslog, que es una herramienta de
visualización en modo texto.
Utilice el comando set log... destination... para establecer los niveles de gravedad
para todos los destinos de registro. El siguiente ejemplo registra todos los mensajes
del módulo del sistema de nivel crítico o más alto a la unidad de memoria USB:
Registro de eventos
ScreenOS proporciona un registro de eventos para la supervisión de los eventos del
sistema, tales como cambios de configuración efectuados por administradores y
mensajes y alarmas autogenerados en relación con el comportamiento operativo y
los ataques recibidos. El dispositivo de seguridad categoriza los eventos del sistema
según los siguientes niveles de gravedad:
NOTA: Para obtener información detallada sobre los mensajes que aparecen en el registro
de eventos, consulte el manual ScreenOS Message Log Reference Guide.
Registro de eventos 61
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
Reports > System Log > Event: Seleccione un nivel de gravedad en la lista
desplegable Log Level.
CLI
get event level { emergency | alert | critical | error | warning | notification |
information | debugging }
Para buscar en el registro de eventos por palabras clave, ejecute cualquiera de los
siguientes procedimientos:
WebUI
Reports > System Log > Event: Escriba una palabra o una frase de hasta
15 caracteres en el campo de búsqueda y haga clic en Search.
CLI
get event include word_string
WebUI
Reports > System Log > Event:
CLI
get event level warning include av
Nivel de
Fecha Hora módulo Nivel Tipo Descripción
2003-05-16 15:56:20 advertencia 00547 AV se eliminó scanman.
del sistema
2003-05-16 09:45:52 advertencia 00547 AV se eliminó test1.
del sistema
Total de entradas con coincidencia = 2
62 Registro de eventos
Capítulo 2: Supervisión de dispositivos de seguridad
Hora: Al clasificar registros por hora, el dispositivo muestra las entradas del
registro en orden descendente según su hora, sin importar la fecha. Si se
especifica una hora de comienzo, el dispositivo muestra las entradas del
registro cuyas marcas de hora sean posteriores a la hora de comienzo
especificada, sin importar la fecha. Si se especifica una hora de final, el
dispositivo muestra las entradas del registro cuyas marcas de hora sean
anteriores a la hora de final especificada, sin importar la fecha. Si se especifica
una hora de comienzo y otra de final, el dispositivo muestra las entradas del
registro cuyas marcas de hora se encuentren dentro del periodo de tiempo
especificado.
En este ejemplo podrá ver las entradas del registro de eventos que contienen
direcciones IP de origen en el rango 10.100.0.0 a 10.200.0.0. Las entradas del
registro también están clasificadas por direcciones IP de origen.
Registro de eventos 63
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
NOTA: Debe utilizar la CLI para clasificar el registro de eventos según las entradas de
direcciones.
CLI
get event sort-by src-ip 10.100.0.0-10.200.0.0
WebUI
1. Reports > System Log > Event: Haga clic en Save.
CLI
get event > tftp 10.1.1.5 evnt07-02.txt
WebUI
NOTA: Debe utilizar la CLI para descargar entradas según el nivel de gravedad.
CLI
get event level critical > tftp 10.1.1.5 crt_evnt07-02.txt
64 Registro de eventos
Capítulo 2: Supervisión de dispositivos de seguridad
Registro de tráfico
El dispositivo de seguridad Juniper Networks puede supervisar y registrar el tráfico
que autoriza o deniega basándose en las directivas previamente configuradas.
Puede habilitar la opción de registro para cada directiva que configure. Al habilitar
la opción de registro para una directiva de autorización de tráfico, el dispositivo
registra el tráfico autorizado por esa directiva. Al habilitar la opción de registro para
una directiva de denegación de tráfico, el dispositivo registra el tráfico que intenta
pasar a través del dispositivo pero que resulta anulado por esa directiva.
Duración
La duración de la sesión
WebUI
Policies > (From: zona_orig, To: zona_dest) New : Seleccione Logging y haga
clic en OK.
CLI
set policy from zona_orig to zona_dest dir_orig dir_dest servicio acción log
WebUI
Policies > (From: zona_orig, To: zona_dest) New > Advanced: Seleccione
Counting, haga clic en Return y luego haga clic en OK.
Registro de tráfico 65
Manual de referencia de ScreenOS: Conceptos y ejemplos
CLI
set policy from zona_orig to zona_dest dir_orig dir_dest servicio acción log count
WebUI
Policies > Logging (para la directiva con ID número)
o bien
CLI
get log traffic policy número
WebUI
Directivas: Haga clic en el icono de registro para la directiva con el número de
identificación 3.
Service: HTTP
Policy ID number: 3
CLI
get log traffic policy 3
66 Registro de tráfico
Capítulo 2: Supervisión de dispositivos de seguridad
Fecha: El registro de tráfico se puede clasificar por fechas solamente, o bien por
fecha y hora. El dispositivo muestra las entradas del registro en orden
descendente por fecha y hora.
WebUI
CLI
get log traffic sort-by time start-time 01:00:00
Registro de tráfico 67
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
1. Reports > Policies > Logging (para la directiva con ID 12): Haga clic en Save.
CLI
get log traffic policy 12 > tftp 10.10.20.200 traf_log11-21-02.txt
68 Registro de tráfico
Capítulo 2: Supervisión de dispositivos de seguridad
La Tabla 1 enumera los motivos del cierre de la sesión identificados por ScreenOS.
Cualquier sesión que no se puede identificar se etiqueta como OTHER (otra).
Registro de tráfico 69
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
No disponible.
CLI
set log traffic detail 0
save
Registro propio
ScreenOS proporciona un registro propio para supervisar y registrar todos los
paquetes llegados al dispositivo de seguridad. Por ejemplo, al desactivar algunas
opciones de administración en una interfaz, como WebUI, SNMP y el comando
ping, y se envía tráfico HTTP, SNMP o ICMP a esa interfaz, en el registro propio se
generan entradas por cada paquete descartado.
WebUI
Configuration > Report Settings > Log Settings: Active la casilla de verificación
Log Packets Terminated to Self y haga clic en Apply.
CLI
set firewall log-self
WebUI
Reports > System Log > Self
70 Registro propio
Capítulo 2: Supervisión de dispositivos de seguridad
CLI
get log self
Fecha: El registro propio se puede clasificar por fecha solamente, o bien por
fecha y hora. El dispositivo muestra las entradas del registro en orden
descendente por fecha y hora.
También se pueden filtrar las entradas del registro propio especificando una
fecha de comienzo, una fecha de final, o bien un intervalo de fechas. Cuando se
especifica una fecha de comienzo, el dispositivo muestra las entradas del
registro que tengan marcas de fecha/hora posteriores a la fecha de comienzo. Si
se especifica una fecha de final, el dispositivo muestra las entradas del registro
que tengan marcas de fecha/hora anteriores a la misma.
WebUI
NOTA: La posibilidad de filtrar el registro propio según las horas está disponible
únicamente con la CLI.
Registro propio 71
Manual de referencia de ScreenOS: Conceptos y ejemplos
CLI
get log self end-time 16:32:57
WebUI
1. Reports > System Log > Self: Haga clic en Save.
CLI
get log self > tftp 10.1.1.5 self_log07-03-02.txt
WebUI
1. Reports > System Log > Asset Recovery: Haga clic en Save.
CLI
get log asset-recovery > tftp 10.1.1.5 sys_rst.txt
Alarmas de tráfico
El dispositivo de seguridad permite la generación de alarmas de tráfico cuando éste
supera los umbrales definidos mediante directivas. El dispositivo de seguridad se
puede configurar para alertar mediante uno o varios de los métodos siguientes
cuando genere una alarma de tráfico:
Consola
Correo electrónico
SNMP
Syslog
WebTrends
NetScreen-Global PRO
Alarmas de tráfico 73
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), web1
Service: Telnet
Action: Deny
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Counting: (seleccione)
Alarm Threshold: 64 Bytes/Sec, 0 Kbytes/Min
CLI
set address dmz web1 211.20.1.5/32
set policy from untrust to dmz any web1 telnet deny count alarm 64 0
save
74 Alarmas de tráfico
Capítulo 2: Supervisión de dispositivos de seguridad
WebUI
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policies > (From: Global, To: Global) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), ftp1
Service: FTP-Get
Action: Permit
Policies > (From: Global, To: Global) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), ftp1
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Deny
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Counting: (seleccione)
Alarm Threshold: 64 Bytes/Sec, 0 Kbytes/Min
CLI
set address global ftp1 211.20.1.10/32
set policy global any ftp1 ftp-get permit
set policy global ftp1 any deny count alarm 64 0
save
Alarmas de tráfico 75
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
Configuration > Report Settings > Email: Introduzca los siguientes datos y
haga clic en Apply:
NOTA: Si tiene DNS habilitado, también puede utilizar un nombre de host para referirse al
servidor de correo, como por ejemplo mail.juniper.net.
CLI
set admin mail alert
set admin mail mail-addr1 jharker@juniper.net
set admin mail mail-addr2 driggs@juniper.net
set admin mail server-name 172.16.10.254
set admin mail traffic-log
save
Syslog
Un dispositivo de seguridad puede generar mensajes syslog para eventos del
sistema según niveles de gravedad predefinidos (consulte la lista de niveles de
gravedad en “Registro de eventos” en la página 61) y, opcionalmente, para el tráfico
que las directivas permiten pasar a través del cortafuegos. Envía estos mensajes
hasta a cuatro hosts syslog determinados que se estén ejecutando en sistemas
UNIX/Linux. Por cada host syslog se puede especificar lo siguiente:
Puede utilizar mensajes de syslog para crear alertas de correo electrónico para el
administrador del sistema o para mostrar mensajes en la consola del host
designado siguiendo las convenciones syslog de UNIX.
76 Syslog
Capítulo 2: Supervisión de dispositivos de seguridad
WebUI
Configuration > Report Settings > Syslog: Introduzca los siguientes datos y
haga clic en Apply:
Enable syslog messages: Seleccione esta opción para enviar registros a los
servidores syslog especificados.
No.: Seleccione 1, 2 y 3 para indicar que está agregando 3 servidores syslog.
IP/Hostname: 1.1.1.1, 2.2.2.1, 3.3.3.1
Port: 1514, 2514, 3514
Security Facility: Local0, Local0, Local0
Facility: Local0, Local0, Local0
Event Log: (seleccione)
Traffic Log: (seleccione)
TCP: (seleccione)
CLI
set syslog config 1.1.1.1 port 1514
set syslog config 1.1.1.1 log all
set syslog config 1.1.1.1 facilities local0 local0
set syslog config 1.1.1.1 transport tcp
set syslog config 2.2.2.1 port 2514
set syslog config 2.2.2.1 log all
set syslog config 2.2.2.1 facilities local0 local0
set syslog config 2.2.2.1 transport tcp
set syslog config 3.3.3.1 port 3514
set syslog config 3.3.3.1 log all
set syslog config 3.3.3.1 facilities local0 local0
set syslog config 2.2.2.1 transport tcp
set syslog enable
save
Syslog 77
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
1. Ajustes de WebTrends
Configuration > Report Settings > WebTrends: Introduzca los siguientes datos
y haga clic en Apply:
CLI
3. Ajustes de WebTrends
set webtrends host-name 172.10.16.25
set webtrends port 514
set webtrends enable
4. Niveles de gravedad
set log module system level notification destination webtrends
save
Los dispositivos de seguridad también son compatibles con todos los grupos de
Management Information Base II (MIB II) relevantes definidos en la RFC-1213,
Management Information Base for Network Management of TCP/IP-based internets:
MIB-II. Los dispositivos también disponen de archivos MIB corporativos privados,
que se pueden cargar en un explorador MIB SNMP.
Captura de ID
corporativa Descripción
100 Problemas de hardware
200 Problemas cortafuegos
300 Problemas de software
400 Problemas de tráfico
500 Problemas de VPN
600 Problemas de NSRP
800 Problemas de DRP
900 Problemas de
conmutación por error de
interfaces
1000 Ataques al cortafuegos
Cada comunidad puede trabajar con SNMPv1, SNMPv2c o con ambos. Si una
comunidad SNMP admite ambas versiones de SNMP, debe especificarse una
versión para las capturas por cada miembro de la comunidad.
Cada alarma del sistema (un evento del sistema clasificado con un nivel de
gravedad crítico, de alerta o de emergencia) genera una sola captura
corporativa SNMP a cada uno de los host de cada comunidad configurados para
recibir capturas.
También habilitará el agente SNMP para generar capturas siempre que alguien
intente establecer una conexión SNMP ilegítima con el dispositivo de seguridad. Las
capturas por fallo de autenticación son un ajuste global aplicable a todas las
comunidades SNMP y están inhabilitadas de forma predeterminada.
WebUI
Configuration > Report Settings > SNMP: Introduzca los siguientes ajustes y
haga clic en Apply:
Configuration > Report Settings > SNMP > New Community: Introduzca los
siguientes ajustes y haga clic en OK:
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes ajustes
y haga clic en OK:
Service Options:
Management Services: SNMP
CLI
set snmp contact al_baker@mage.com
set snmp location 3-15-2
set snmp auth-trap enable
set snmp community MAge11 read-write trap-on version any
set snmp host Mage 1.1.1.5/32 trap v1
set snmp host Mage 1.1.1.6/32 trap v2
set interface ethernet1 manage snmp
save
Para enviar tráfico tal como entradas del registro de eventos, informes de
NetScreen-Global PRO o capturas SNMP generadas por el dispositivo de
seguridad a través de un túnel VPN basado en rutas, se debe introducir
manualmente la ruta de destino apropiada. La ruta debe apuntar a la interfaz
de túnel asociada al túnel VPN por el que usted desea que el dispositivo de
seguridad dirija el tráfico. No se requieren directivas.
Por cada tipo de configuración de túnel VPN es posible utilizar los siguientes tipos
de túnel VPN:
AutoKey IKE con clave compartida: Una o dos claves secretas previamente
compartidas (una para la autenticación y otra para la encriptación) funcionan
como valores de inicialización. El protocolo IKE genera con ellas un juego de
claves simétricas en ambos extremos del túnel; es decir, se utiliza la misma
clave para encriptar y desencriptar. Estas claves se regeneran automáticamente
a intervalos predeterminados.
NOTA: Para obtener una descripción completa de los túneles VPN, consulte el Volume 5:
Virtual Private Networks. Para obtener más información sobre NetScreen-Remote,
consulte el manual NetScreen-Remote VPN Client Administrator Guide.
Dispositivo A Dispositivo B
IP local 10.1.1.1/32 IP local 10.2.2.2/32
IP remota 10.2.2.2/32 IP remota 10.1.1.1/32
Servicio Any Servicio Any
Zona Untrust
Ubicación local
Zona Trust
ethernet1 Administrador de
10.1.1.1/24 tunnel.1, sin numerar SNMP y servidor
NAT ethernet3, 1.1.1.1/24 Syslog 10.2.2.2
puerta de enlace, 1.1.1.250
Dispositivo A Internet
LAN LAN
10.1.1.0/24 10.2.2.0/24
TÚNEL: VPN1 Dispositivo B
Ubicación remota
Zona Untrust Zona Trust
El administrador remoto del Dispositivo B utiliza ajustes similares para definir aquel
extremo del túnel de VPN AutoKey IKE, de forma que la clave compartida, las
propuestas y las ID de proxy coinciden.
WebUI (dispositivo A)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
NOTA: De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará
en modo NAT. Por lo tanto, esta opción ya está habilitada para las interfaces
asociadas a la zona Trust.
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Configuration > Report Settings > SNMP > New Community: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
CLI (dispositivo A)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 manage snmp
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet1
2. VPN
set ike gateway to_admin address 2.2.2.2 outgoing-interface ethernet3 preshare
Ci5y0a1aAG sec-level compatible
set vpn vpn1 gateway to_admin sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 10.1.1.1/32 remote-ip 10.2.2.2/32 any
3. Syslog y SNMP
set syslog config 10.2.2.2 auth/sec local0
set syslog enable
set snmp community remote_admin read-write trap-on version v1
set snmp host remote_admin 10.2.2.2/32
4. Rutas
set vrouter trust-vr route 10.2.2.2/32 interface tunnel.1
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
save
WebUI (dispositivo B)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Policy > Policy Elements > Addresses > Lists > New: Introduzca los
siguientes datos y haga clic en OK:
4. VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return
para regresar a la página de configuración básica de AutoKey IKE:
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), addr1
Destination Address:
Address Book Entry: (seleccione), ns-a
Service: s-grp1
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), ns-a
Destination Address:
Address Book Entry: (seleccione), addr1
Service: s-grp1
Action: Permit
Position at Top: (seleccione)
CLI (dispositivo B)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet1
2. Direcciones
set address trust addr1 10.2.2.2/32
set address untrust ns-a 10.1.1.1/32
3. Grupo de servicios
set group service s-grp1
set group service s-grp1 add syslog
set group service s-grp1 add snmp
4. VPN
set ike gateway to_admin address 1.1.1.1 outgoing-interface ethernet3 preshare
Ci5y0a1aAG sec-level compatible
set vpn vpn1 gateway to_admin sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 10.2.2.2/32 remote-ip 10.1.1.1/32 any
5. Rutas
set vrouter trust-vr route 10.1.1.1/32 interface tunnel.1
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
6. Directivas
set policy top from trust to untrust addr1 ns-a s-grp1 permit
set policy top from untrust to trust ns-a addr1 s-grp1 permit
save
Administrador de
ethernet1 SNMP y servidor
10.1.1.1/24 ethernet3, 1.1.1.1/24 Syslog 10.2.2.2
NAT
puerta de enlace, 1.1.1.250
Dispositivo A Internet
LAN LAN
10.1.1.0/24 10.2.2.0/24
TÚNEL: VPN1 Dispositivo B
Las directivas de entrada y salida del dispositivo A coinciden con las del
dispositivo B. Las direcciones y servicios utilizados en las directivas son:
Grupo de servicios llamado “s-grp1”, que contiene los servicios SNMP y syslog
Dispositivo A Dispositivo B
IP local 10.1.1.1/32 IP local 10.2.2.2/32
IP remota 10.2.2.2/32 IP remota 10.1.1.1/32
Servicio Any Servicio Any
NOTA: El dispositivo de seguridad trata cada grupo de servicios como “any” en las ID de
proxy.
WebUI (dispositivo A)
1. Interfaces, zonas de seguridad
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > Lists > New: Introduzca los
siguientes datos y haga clic en OK:
4. VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Configuration > Report Settings > SNMP > New Community: Introduzca los
siguientes datos y haga clic en OK:
Configuration > Report Settings > SNMP: Introduzca los siguientes datos y
haga clic en Apply:
Source Address:
Address Book Entry: (seleccione), trust_int
Destination Address:
Address Book Entry: (seleccione), remote_admin
Service: s-grp1
Action: Tunnel
Tunnel VPN: vpn1
Modify matching outgoing VPN policy: (seleccione)
Position at Top: (seleccione)
CLI (dispositivo A)
1. Interfaces, zonas de seguridad
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 manage snmp
NOTA: De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará
en modo NAT. Por lo tanto, esta opción ya está habilitada para las interfaces
asociadas a la zona Trust.
2. Direcciones
set address trust trust_int 10.1.1.1/32
set address untrust remote_admin 10.2.2.2/32
3. Grupo de servicios
set group service s-grp1
set group service s-grp1 add syslog
set group service s-grp1 add snmp
4. VPN
set ike gateway to_admin address 2.2.2.2 outgoing-interface ethernet3 preshare
Ci5y0a1aAG sec-level compatible
set vpn vpn1 gateway to_admin sec-level compatible
5. Syslog y SNMP
set syslog config 10.2.2.2 auth/sec local0
set syslog src-interface ethernet1
set syslog enable
set snmp community remote_admin read-write trap-on version v2c
set snmp host remote_admin 10.2.2.2/32 src-interface ethernet1
6. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
7. Directivas
set policy top from trust to untrust trust_int remote_admin s-grp1 tunnel vpn vpn1
set policy top from untrust to trust remote_admin trust_int s-grp1 tunnel vpn vpn1
save
WebUI (dispositivo B)
1. Interfaces, zonas de seguridad
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > Lists > New: Introduzca los
siguientes datos y haga clic en OK:
4. VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), addr1
Destination Address:
Address Book Entry: (seleccione), ns-a
Service: s-grp1
Action: Tunnel
Tunnel VPN: vpn1
Modify matching outgoing VPN policy: (seleccione)
Position at Top: (seleccione)
CLI (dispositivo B)
1. Interfaces, zonas de seguridad
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
2. Direcciones
set address trust addr1 10.2.2.2/32
set address untrust ns-a 10.1.1.1/32
3. Grupo de servicios
set group service s-grp1
set group service s-grp1 add syslog
set group service s-grp1 add snmp
4. VPN
set ike gateway to_admin address 1.1.1.1 outgoing-interface ethernet3 preshare
Ci5y0a1sec-level compatible
set vpn vpn1 gateway to_admin sec-level compatible
5. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
6. Directivas
set policy top from trust to untrust addr1 ns-a s-grp1 tunnel vpn vpn1
set policy top from untrust to trust ns-a addr1 s-grp1 tunnel vpn vpn1
save
Contador Descripción
Bad IP Option Protection Número de tramas desechadas debido a las opciones IP mal formadas o
incompletas
Dst IP-based session limiting Número de sesiones descartadas después de alcanzar el umbral de sesión
FIN bit with no ACK bit Número de paquetes detectados y descartados con una combinación de flags no
permitida
Fragmented packet protection Número de fragmentos de paquetes de IP bloqueados
HTTP Component Blocked Número de paquetes bloqueados con componentes de HTTP
HTTP Component Blocking for ActiveX Número de componentes de ActiveX bloqueados
controls
Contador Descripción
HTTP Component Blocking for .exe files Número de paquetes HTTP bloqueados con archivos .exe
HTTP Component Blocking for Java Número de componentes Java bloqueados
applets
HTTP Component Blocking for .zip files Número de paquetes HTTP bloqueados con archivos .zip
ICMP Flood Protection Número de paquetes ICMP bloqueados como parte de una inundación ICMP
ICMP Fragment Número de tramas ICMP con el flag More Fragments ajustado o con un offset
indicado en el campo de offset
IP Spoofing Attack Protection Número de direcciones IP bloqueadas como parte de un ataque de simulación
de IP
IP Sweep Protection Número de paquetes de ataque de limpieza de IP detectados y bloqueados
Land Attack Protection Número de paquetes bloqueados como parte de una sospecha de ataque terrestre
Large ICMP Packet Número de tramas ICMP detectadas con una longitud de IP superior a 1024
Limit Session Número de paquetes no entregados por haberse alcanzado el límite de sesión
Loose Src Route IP Option Número de paquetes de IP detectados con la opción Loose Source Route
habilitada
Malicious URL Protection Número de direcciones URL bloqueadas por existir la sospecha de que son
maliciosas
Ping-of-Death Protection Número de paquetes ICMP sospechosos y rechazados por su tamaño excesivo o
irregular
Port Scan Protection Número de análisis de puerto detectados y bloqueados
Record Route IP Option Número de tramas detectadas con la opción Record Route habilitada
Security IP Option Número de tramas descartadas con la opción IP Security ajustada
Src IP-based session limiting Número de sesiones descartadas después de alcanzar el umbral de sesión
Source Route IP Option Filter Número de rutas de origen IP filtradas
Stream IP Option Número de paquetes descartados con el identificador IP Stream ajustado
Strict Src Route IP Option Número de paquetes detectados con la opción Strict Source Route habilitada
SYN-ACK-ACK-Proxy DoS Número de paquetes bloqueados debido a la opción SYN-ACK-ACK-proxy DoS
SCREEN
SYN and FIN bits set Número de paquetes detectados con una combinación de flags no permitida
SYN Flood Protection Número de paquetes SYN detectados cuando se sospecha de una inundación SYN
SYN Fragment Detection Número de fragmentos de paquete descartados como parte de una sospecha de
ataque de fragmentos SYN
Timestamp IP Option Número de paquetes IP descartados con la opción Internet Timestamp ajustada
TCP Packet without Flag Número de paquetes no permitidos descartados sin campo de flags o con el
campo mal formado
Teardrop Attack Protection Número de paquetes bloqueados como parte de un ataque Teardrop
UDP Flood Protection Número de paquetes UDP descartados cuando se sospecha de una inundación
UDP
Unknown Protocol Protection Número de paquetes bloqueados como parte de un protocolo desconocido
WinNuke Attack Protection Número de paquetes detectados como parte de una sospecha de ataque WinNuke
Contador Descripción
drop vlan Número de paquetes descartados por falta de etiquetas VLAN, una subinterfaz no definida o porque
no se habilitó el truncamiento de VLAN mientras el dispositivo de seguridad estaba en modo
transparente
early frame Número de contadores utilizados en una administración de descriptores de búfer de controlador
Ethernet
in align err Número de paquetes entrantes con un error de alineación en la secuencia de bits
in bytes Número de bytes recibidos
in coll err Número de paquetes de colisión entrantes
in crc err Número de paquetes entrantes con un error de comprobación de redundancia cíclica (CRC)
in dma err Número de paquetes entrantes con un error de acceso directo de memoria (DMA)
in misc err Número de paquetes entrantes con errores de otro tipo
in no buffer Número de paquetes no recibidos porque los búferes no están disponibles
in overrun Número de paquetes transmitidos por exceso (desbordamiento de búfer)
in packets Número de paquetes recibidos
in short frame Número de paquetes entrantes con una trama Ethernet menor de 64 bytes (incluyendo la suma de
comprobación de trama)
in underrun Número de paquetes transmitidos por defecto
late frame Número de contadores utilizados en una administración de descriptores de búfer de controlador
Ethernet
out bs pak Número de paquetes retenido en almacenamiento en segundo plano mientras se busca una dirección
MAC desconocida
Cuando el dispositivo de seguridad reenvía un paquete, primero comprueba si la dirección MAC de
destino se encuentra en la tabla ARP. Si no encuentra la dirección MAC de destino en la tabla ARP, el
dispositivo de seguridad envía una petición ARP a la red. Si el dispositivo de seguridad recibe otro
paquete con la misma dirección MAC de destino antes de recibir una respuesta a la primera petición
ARP, aumenta el contador out bs pak en uno.
out bytes Número de bytes enviados
out coll err Número de paquetes de colisión salientes
out cs lost Número de paquetes salientes descartados porque el protocolo Carrier Sense Multiple Access/Collision
Detect (CSMA/CD) perdió la señal
out defer Número de paquetes salientes aplazados
out discard Número de paquetes salientes descartados
out heartbeat Número de paquetes de pulso salientes
out misc err Número de paquetes salientes con errores de otro tipo
out no buffer Número de paquetes no enviados porque los búferes no están disponibles
out packets Número de paquetes enviados
re xmt limit Número de paquetes descartados al exceder el límite de retransmisión mientras una interfaz estaba
funcionando en semidúplex
La Tabla 7 en la página 101 muestra los contadores de flujo para la supervisión del
número de paquetes inspeccionados a nivel de flujo.
Contador Descripción
address spoof Número de paquetes sospechosos de ataque de simulación de dirección recibidos
auth deny Número de veces que se ha rechazado la autenticación de usuario
auth fail Número de veces que ha fallado la autenticación de usuario
big bkstr Número de paquetes que son demasiado grandes para el búfer en el almacenamiento en segundo
plano ARP mientras se espera la resolución de la dirección MAC a IP
connections Número de sesiones establecidas desde el último arranque
encrypt fail Número de paquetes Point-to-Point Tunneling Protocol (PPTP) con errores
*icmp broadcast Número de difusiones ICMP recibidas
icmp flood Número de paquetes ICMP contabilizados justo por debajo del umbral de inundación ICMP
illegal pak Número de paquetes descartados porque no cumplen las normas de protocolo
in arp req Número de paquetes de petición ARP entrantes
in arp resp Número de paquetes de petición ARP salientes
in bytes Número de bytes recibidos
in icmp Número de paquetes de Internet Control Message Protocol (ICMP) recibidos
in other Número de paquetes entrantes con un tipo Ethernet distinto
in packets Número de paquetes recibidos
in self Número de paquetes dirigidos a la dirección IP de administración
*in un auth Número de paquetes TCP, UDP e ICMP entrantes no autorizados
*in unk prot Número de paquetes entrantes que utilizan un protocolo Ethernet desconocido
in vlan Número de paquetes vlan entrantes
in vpn Número de paquetes IPSec recibidos
invalid zone Número de paquetes destinados a una zona de seguridad no válida
ip sweep Número de paquetes recibidos y descartados más allá del umbral de limpieza de IP especificado
land attack Número de paquetes sospechosos de ataque terrestre recibidos
loopback drop Número de paquetes descartados porque no se pueden someter a un bucle de retroceso a través de un
dispositivo de seguridad. Un ejemplo de sesión de bucle de retroceso sería cuando un host en la zona
Trust envía datos a una dirección MIP o VIP asignada a un servidor que también se encuentra en la
zona Trust. El dispositivo de seguridad crea una sesión de bucle de retroceso que dirige este tráfico
desde el host al servidor MIP o VIP.
mac relearn Número de veces que la tabla de aprendizaje de direcciones MAC tuvo que volver a memorizar la
interfaz asociada a una dirección MAC porque la ubicación de dicha dirección cambió
mac tbl full Número de veces que la tabla de aprendizaje de direcciones MAC se llenó completamente
mal url Número de paquetes bloqueados destinados a una dirección URL que se considera maliciosa
*misc prot Número de paquetes que utilizan un protocolo distinto de TCP, UDP o ICMP
mp fail Número de veces que se produjo un problema al enviar un mensaje PCI entre el módulo procesador
master y el módulo procesador
no conn Número de paquetes descartados porque las conexiones Network Address Translation (NAT) no
estaban disponibles
no dip Número de paquetes descartados porque las direcciones Dynamic IP (DIP) no estaban disponibles
Contador Descripción
no frag netpak Número de veces que el espacio disponible en el búfer netpak ha caído por debajo del 70%
*no frag sess Número de veces que las sesiones fragmentadas han superado la mitad del número máximo de
sesiones NAT
no g-parent Número de paquetes descartados debido a que no se encontró la conexión principal
no gate Número de paquetes descartados porque no había puerta de enlace disponible
no gate sess Número de sesiones terminadas porque no había puertas de enlace para ellas en el cortafuegos
no map Número de paquetes descartados debido a que no había una asignación a la zona fiable
no nat vector Número de paquetes descartados porque la conexión Network Address Translation (NAT) no estaba
disponible para la puerta
*no nsp tunnel Número de paquetes descartados enviados a una interfaz de túnel sin túnel de VPN asociado
no route Número de paquetes que no se pueden enrutar recibidos
no sa Número de paquetes descartados porque no hay definidas Asociaciones de seguridad (SA)
no sa policy Número de paquetes descartados debido a que no había ninguna directiva asociada con una SA
*no xmit vpnf Número de paquetes VPN descartados debido a la fragmentación
null zone Número de paquetes descartados enviados erróneamente a una interfaz asociada a la zona Null
nvec err Número de paquetes descartados debido a un error de vector NAT
out bytes Número de bytes enviados
out packets Número de paquetes enviados
out vlan Número de paquetes de vlan salientes
ping of death Número de paquetes recibidos sospechosos de ataque tipo Ping of Death
policy deny Número de paquetes rechazados por una directiva definida
port scan Número de paquetes contabilizados como intentos de análisis de puertos
proc sess Número de veces que las sesiones totales en un módulo procesador excedieron el umbral máximo
sa inactive Número de paquetes descartados por una SA inactiva
sa policy deny Número de paquetes rechazados por una directiva de SA
sessn thresh El umbral para el número máximo de sesiones
*slow mac Número de tramas con direcciones MAC eran lentas de resolver
src route Número de paquetes descartados debido a la opción filter source route
syn frag Número de paquetes SYN descartados por causa de la fragmentación
tcp out of seq Número de segmentos TCP recibidos cuyo número de secuencia se encuentra fuera de un rango
aceptable
tcp proxy Número de paquetes descartados por haber utilizado un proxy TCP, como la opción de SYN flood
protection o autenticación de usuario
teardrop Número de paquetes bloqueados como parte de un posible ataque Teardrop
tiny frag Número de paquetes pequeños fragmentados recibidos
trmn drop Número de paquetes descartados por la administración de tráfico
trmng queue Número de paquetes que esperan en cola
udp flood Número de paquetes UDP contabilizados hacia el umbral de inundación UDP
url block Número de peticiones HTTP que han sido bloqueadas
winnuke Número de paquetes WinNuke recibidos
Contador Descripción
wrong intf Número de mensajes de creación de sesión enviados desde un módulo procesador al módulo
procesador master
wrong slot Número de paquetes enviados erróneamente a un modulo de procesador incorrecto
NOTA: Para más información sobre el protocolo CSMA/CD (Carrier Sense Multiple
Access/Collision Detect), consulte la norma IEEE 802.3 disponible en
http://standards.ieee.org.
En este ejemplo veremos los contadores de pantalla del dispositivo para la zona
Trust.
WebUI
Reports > Counters > Zone Screen: Seleccione Trust en la lista desplegable
Zone.
CLI
get counter screen zone trust
Índice IX-I
Manual de referencia de ScreenOS: Conceptos y ejemplos
IX-II Índice
Índice
Secure Shell T
Consulte SSH TCP proxy .....................................................................102
Secure Sockets Layer Telnet ...............................................................................10
véase SSL Telnet, inicio de sesión mediante ................................11
serie, cables ....................................................................19 Traducción de direcciones de red (NAT) ....................101
sistemas virtuales tráfico administrativo ....................................................30
administradores ......................................................36
administradores de sólo lectura ............................36 U
SNMP ........................................................................29, 78 USB ..................................................................................60
captura de inicio en frío .........................................79 usuarios, múltiples administrativos .............................35
configuración ...........................................................82
encriptación .......................................................82, 83 V
opciones de administración ...................................29 VLAN1, opciones de administración ...........................30
SSH .......................................................................... 11 a 16 VPN
autenticación mediante contraseña ......................14 AutoKey IKE .......................................................46, 84
autenticación mediante PKA .................................14 clave manual ............................................................84
cargar claves públicas, CLI .....................................15 claves manuales ......................................................46
cargar claves públicas, TFTP ............................15, 18 para tráfico administrativo .....................................83
cargar claves públicas, WebUI ...............................15 VPN AutoKey IKE .....................................................46, 84
forzar la autenticación mediante PKA
exclusivamente .....................................................16 W
inicios de sesión automatizados ............................17 WebTrends ................................................................60, 77
opciones de administración ...................................29 encriptación .......................................................77, 83
PKA ...........................................................................15 mensajes ..................................................................78
prioridad del método de autenticación ................16 WebUI................................................................................2
procedimiento de conexión ...................................12 Archivos de ayuda .....................................................2
SSL .....................................................................................5 opciones de administración ...................................29
SSL Handshake Protocol
véase SSLHP
SSLHP................................................................................5
syslog ..............................................................................60
encriptación .............................................................83
host ...........................................................................76
mensajes ..................................................................76
nombre de host .....................................77, 78, 86, 94
puerto ...........................................................77, 86, 94
servicio de seguridad ..................................77, 86, 94
utilidad ..........................................................77, 86, 94
Índice IX-III
Manual de referencia de ScreenOS: Conceptos y ejemplos
IX-IV Índice
Conceptos y ejemplos
Manual de referencia de ScreenOS
Volumen 4:
Detección ataques y mecanismos de defensa
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen ix
Convenciones del documento .......................................................................... x
Convenciones de la interfaz de usuario web .............................................. x
Convenciones de interfaz de línea de comandos ...................................... xi
Convenciones de nomenclatura y conjuntos de caracteres ....................... xi
Convenciones para las ilustraciones ........................................................ xii
Asistencia y documentación técnica.............................................................. xiii
Contenido iii
Manual de referencia de ScreenOS: Conceptos y ejemplos
Inundaciones ICMP.................................................................................. 49
Inundaciones UDP ................................................................................... 51
Ataque terrestre....................................................................................... 52
Ataques de DoS específicos de cada sistema operativo .................................. 53
Ping of Death........................................................................................... 53
Ataque Teardrop...................................................................................... 54
WinNuke ................................................................................................. 55
iv Contenido
Contenido
Contenido v
Manual de referencia de ScreenOS: Conceptos y ejemplos
vi Contenido
Contenido
Contenido vii
Manual de referencia de ScreenOS: Conceptos y ejemplos
Índice ........................................................................................................................IX-I
viii Contenido
Acerca de este volumen
NOTA: Las directivas sólo se presentan en este volumen de forma periférica, ya que aquí
se describen las opciones de seguridad de red que se pueden activar a nivel de
directivas. Para examinar las directivas de forma completa, consulte “Directivas”
en la página 2-161.
ix
Manual de referencia de ScreenOS: Conceptos y ejemplos
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Para abrir la ayuda en línea para los ajustes de configuración, haga clic en el signo
de interrogación (?) en la parte superior izquierda de la pantalla.
En ejemplos:
NOTA: Para introducir palabras clave, basta con introducir los primeros caracteres para
identificar la palabra de forma inequívoca. Al escribir set adm u whee j12fmt54
se ingresará el comando set admin user wheezer j12fmt54. Sin embargo, todos
los comandos documentados aquí se encuentran presentes en su totalidad.
Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá
estar entre comillas dobles; por ejemplo:
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Interfaz de túnel
Servidor
Túnel VPN
Enrutador
Dispositivos de seguridad
Conmutador Juniper Networks
Concentrador
Puede haber numerosos motivos para entrar a una red protegida. La siguiente lista
contiene algunos objetivos comunes:
Topología
Colapsar un host de una red protegida con tráfico fantasma para inducir una
denegación de servicio (DoS)
Colapsar una red protegida con tráfico fantasma para inducir un DoS en toda la
red
1
Manual de referencia de ScreenOS: Conceptos y ejemplos
Este capítulo proporciona una vista general de las principales etapas de un ataque y
de los diversos mecanismos de defensa que puede emplear para frustrar un ataque
en cualquier etapa:
Etapas de un ataque
Normalmente, los ataques se desarrollan en dos etapas principales. En la primera
etapa, el hacker recopila información; en la segunda etapa, lanza el ataque
propiamente dicho.
1. Realizar el reconocimiento.
2. Lanzar el ataque.
b. Realizar el ataque.
2 Etapas de un ataque
Capítulo 1: Protección de una red
NOTA: Aunque las zonas VLAN y MGT son zonas de función y no zonas de seguridad,
puede establecer opciones SCREEN para ellas. La zona VLAN admite el mismo
conjunto de opciones SCREEN que una zona de seguridad de capa 3. (Las zonas
de seguridad de capa 2 admiten una opción adicional de asignación de grandes
cantidades de paquetes simultáneos SYN que las zonas de capa 3 no admiten:
descartar direcciones MAC desconocidas). Como las siguientes opciones SCREEN
no se aplican a la zona MGT, no están disponibles para dicha zona: protección
contra las asignaciones de grandes cantidades de paquetes simultáneos SYN,
protección contra las asignaciones de grandes cantidades de paquetes
simultáneos SYN-ACK-ACK del proxy, bloqueo de componentes HTTP y protección
contra ataques de WinNuke.
Para ofrecer protección contra todos los intentos de conexión, los dispositivos de
seguridad de Juniper Networks utilizan un método de filtrado de paquetes dinámico
conocido como inspección de estado. Mediante este método, el dispositivo de
seguridad detecta los diversos componentes del paquete IP y de los encabezados de
segmentos TCP (direcciones IP de origen y de destino, números de puertos de
origen y de destino y números de secuencias de paquetes) y mantiene el estado de
cada sesión TCP y seudo-sesión UDP que atraviese el cortafuegos. (El dispositivo
también modifica los estados de sesión basados en elementos cambiantes, como
cambios de puertos dinámicos o terminación de sesión). Cuando llega un paquete
TCP de respuesta, el dispositivo compara la información incluida en su encabezado
con el estado de la sesión asociada almacenada en la tabla de inspección. Si
coinciden, se permite que el paquete de respuesta atraviese el cortafuegos. De lo
contrario, el paquete se descarta.
Bloqueo de reconocimiento
Barrido de direcciones IP
Análisis de puertos
Técnicas de evasión
Reensamblaje de fragmentos
Análisis antivirus
Filtrado anti-spam
Filtrado de Web
Inspección a fondo
Firmas completas
Anomalías en el protocolo
Ping of death
Ataque “Teardrop”
WinNuke
Fragmentos ICMP
Opciones IP incorrectas
Protocolos desconocidos
Fragmentos de paquetes IP
Fragmentos SYN
Supervisión de vulnerabilidades
Aunque normalmente se utiliza el dispositivo de seguridad para bloquear ataques a
vulnerabilidades, puede haber ocasiones en las que se desee obtener información
sobre ellos. Es posible que desee estudiar específicamente una vulnerabilidad
concreta para descubrir su intención, su nivel de sofisticación o incluso su origen (si
el hacker es descuidado o poco sofisticado).
Si desea obtener información sobre un ataque, puede dejar que actúe, supervisarlo,
analizarlo, investigarlo y reaccionar tal como se haya esbozado en un plan de
respuesta ante incidentes preparado con anterioridad. Puede configurar el
dispositivo de seguridad para que le notifique la existencia de un ataque, pero que,
en lugar de tomar medidas, permita que el ataque se filtre. En tal caso, podrá
estudiar qué ha ocurrido e intentar comprender el método, la estrategia y los
objetivos del hacker. Cuanto mejor comprenda las amenazas que acechan la red,
mejor podrá fortificar sus defensas. Aunque un hacker astuto puede ocultar su
ubicación e identidad, se puede averiguar suficiente información como para
determinar dónde se originó el ataque. Puede que también sea capaz de estimar las
habilidades del hacker. Este tipo de información le permitirá calcular su respuesta.
Supervisión de vulnerabilidades 5
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos, luego haga
clic en Apply:
CLI
set zone untrust screen alarm-without-drop
set zone untrust screen ip-spoofing
save
6 Supervisión de vulnerabilidades
Capítulo 2
Bloqueo de reconocimiento
Los hackers pueden planificar mejor sus ataques si antes conocen el diseño de la
red objetivo del ataque (qué direcciones IP tienen los hosts activos), los posibles
puntos de entrada (qué números de puertos están activos en los hosts activos) así
como la constitución de sus víctimas (qué sistema operativo se está ejecutando en
los hosts activos). Para obtener esta información es necesario realizar un
reconocimiento. Juniper Networks ofrece varias opciones SCREEN para frustrar los
intentos de reconocimiento de los hackers e impedir que obtengan información
valiosa sobre la red y los recursos de red protegidos.
7
Manual de referencia de ScreenOS: Conceptos y ejemplos
Barrido de direcciones IP
Se produce un barrido de direcciones cuando una dirección IP de origen envía 10
paquetes ICMP a distintos hosts en un intervalo definido (el valor predeterminado
es de 5000 microsegundos). La finalidad de esta acción es enviar paquetes ICMP
(normalmente peticiones de eco) a varios hosts con la esperanza de que al menos
uno responda, dejando al descubierto una dirección a la que apuntar. El dispositivo
de seguridad registra de forma interna el número de paquetes ICMP enviados a
diversas direcciones desde un origen remoto. Mediante los ajustes
predeterminados, si un host remoto envía tráfico ICMP a 10 direcciones en
0,005 segundos (5000 microsegundos), el dispositivo de seguridad lo marcará
como un ataque de barrido de direcciones y rechazará todas las peticiones de eco
de ICMP siguientes que procedan de dicho host hasta que transcurra el tiempo del
umbral especificado. El dispositivo detecta y descarta el décimo paquete que
cumple con los criterios de ataque de barrido de direcciones.
Paquetes ICMP
Dir. Dir. El dispositivo de seguridad realiza una
11 paquetes ICMP origen destino entrada en su tabla de sesiones para
en 0,005 segundos los 10 primeros paquetes ICMP
2.2.2.5 1.2.2.5 procedentes de 2.2.2.5 y realiza una
2.2.2.5 1.2.2.160 consulta de rutas y una consulta de
2.2.2.5 1.2.2.84 directivas para ellos. Si ninguna
Nota: Después de recibir 10 2.2.2.5 1.2.2.211 directiva permite estos paquetes, el
paquetes ICMP, el dispositivo de 2.2.2.5 1.2.2.10 dispositivo los marca como no válidos y
seguridad lo registra como un 2.2.2.5 1.2.2.20 los elimina de la tabla de sesiones en el
barrido de direcciones IP y rechaza 2.2.2.5 1.2.2.21 siguiente “barrido de basura”, que se
Rechazado 2.2.2.5 1.2.2.240 realiza cada dos segundos. A partir del
el paquete decimoprimero.
2.2.2.5 1.2.2.17 décimo paquete, el dispositivo rechaza
2.2.2.5 1.2.2.123 todo el tráfico ICMP procedente de
2.2.2.5 1.2.2.6 2.2.2.5.
Estudie la activación de esta opción SCREEN para una zona de seguridad solamente
si existe una directiva que permita el tráfico ICMP procedente de dicha zona. De lo
contrario, no es necesario habilitarla. Si no existe tal directiva, se rechaza todo el
tráfico ICMP procedente de la zona, impidiendo a los hackers que realicen un
barrido de direcciones IP con éxito.
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos, luego haga clic en Apply:
8 Barrido de direcciones IP
Capítulo 2: Bloqueo de reconocimiento
CLI
set zone zona screen port-scan threshold número
set zone zona screen ip-sweep
Barrida de puertos
Una barrida de puertos se produce cuando una dirección IP de origen envía
paquetes IP con segmentos TCP SYN a 10 puertos distintos de la misma dirección IP
de destino en un intervalo definido (el valor predeterminado es de
5000 microsegundos). La finalidad de este esquema es examinar los servicios
disponibles con la esperanza de que al menos un puerto responda, identificando un
servicio al cual dirigir su ataque. El dispositivo de seguridad registra de forma
interna el número de los diversos puertos analizados desde un origen remoto.
Mediante los ajustes predeterminados, si un host remoto examina 10 puertos en
0.005 segundos (5000 microsegundos), el dispositivo lo marcará como ataque de
barrida de puertos y rechazará todos los paquetes procedentes del origen remoto
hasta que transcurra el resto del tiempo de espera especificado. El dispositivo
detecta y descarta el décimo paquete que cumple con los criterios de un ataque de
barrida de puertos.
Destino: 1.2.2.5
Barrida de puertos 9
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos, luego haga clic en Apply:
CLI
set zone zona screen port-scan threshold número
set zone zona screen port-scan
Dirección de origen
Dirección de destino
Opciones
Carga de datos
La norma RFC 791 establece que estas opciones “no son necesarias para las
comunicaciones más comunes” y, en realidad, rara vez aparecen en encabezados
de paquetes IP. Cuando aparecen, con frecuencia se colocan para algún uso
ilegítimo. La Tabla 1 enumera las opciones IP y sus atributos conjuntos.
1.La clase de opciones identificada como “0” estaba diseñada para proporcionar control de red o paquetes adicionales.
2.La clase de opciones identificada como “2” se diseñó para el diagnóstico, la depuración y la medición.
3.La marca de hora utiliza el número de milisegundos desde la media noche en horario universal (UT). Este horario también se
denomina “horario medio de Greenwich” (GMT) y es la base para la norma horaria internacional.
Las siguientes opciones SCREEN detectan las opciones IP que un hacker puede
utilizar para el reconocimiento o cualquier otra finalidad desconocida, pero
sospechosa:
Para detectar paquetes con las opciones IP anteriores establecidas, utilice uno de los
siguientes métodos (la zona de seguridad especificada es la zona en la que se
originó el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos, luego haga clic en Apply:
CLI
set zone zona screen ip-record-route
set zone zona screen ip-timestamp-opt
set zone zona screen ip-security-opt
set zone zona screen ip-stream-opt
Tamaño de Reservado U A P R S F
encabezado C S S Y I Tamaño de ventana de 16 bits
R K H T N N
Suma de comprobación de TCP 16 bits Puntero urgente 16 bits
Para bloquear paquetes con los indicadores SYN y FIN activados, utilice uno de los
siguientes métodos (la zona de seguridad especificada es la zona en la que se
originó el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione SYN
and FIN Bits Set Protection y haga clic en Apply.
CLI
set zone zona screen syn-fin
NOTA: Los proveedores han interpretado la norma RFC 793, Protocolo de control de
transmisiones de diversas formas a la hora de diseñar las implementaciones
TCP/IP. Cuando se recibe un segmento TCP con el indicador FIN activado y el
indicador ACK sin activar, algunas implementaciones envían segmentos RST.
Otras descartan el paquete sin enviar ningún segmento RST.
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione FIN Bit
with No ACK Bit in Flags Protection y haga clic en Apply.
CLI
set zone zona screen fin-no-ack
Para bloquear los paquetes que no tengan ningún indicador activado, utilice uno de
los siguientes métodos (la zona de seguridad especificada es la zona en la que se
originó el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione TCP
Packet without Flag Protection y haga clic en Apply.
CLI
set zone zona screen tcp-no-flag
Técnicas de evasión
Ya sea mientras recopila información o lanza un ataque, lo normal es que el hacker
evite que lo detecten. Aunque ciertas barridas de puertos y direcciones IP son tan
descaradas que se pueden detectar fácilmente, algunos hackers con mayores
recursos utilizan una gran cantidad de medios para ocultar sus actividades. Técnicas
tales como la utilización de análisis FIN en lugar de análisis SYN, que los hackers
saben que la mayoría de cortafuegos y programas de detección de intrusiones
detectan, indican una evolución en las técnicas de reconocimiento y
aprovechamiento de vulnerabilidades con la finalidad de eludir la detección y llevar
a cabo sus acciones.
Técnicas de evasión 15
Manual de referencia de ScreenOS: Conceptos y ejemplos
Análisis FIN
Un análisis FIN envía segmentos TCP con el indicador FIN activado para intentar
provocar una respuesta (un segmento TCP con el indicador RST activado) y así
descubrir un host activo o un puerto activo en un host. El hacker puede utilizar este
método no para realizar un barrido de direcciones con peticiones de eco ICMP o un
análisis de direcciones con segmentos SYN, sino porque sabe que muchos
cortafuegos se defienden contra estos dos últimos, pero no necesariamente contra
los segmentos FIN. Si se utilizan segmentos TCP con el indicador FIN activado se
puede evadir la detección, permitiendo así que el hacker tenga éxito en su intento
de reconocimiento.
Para frustrar un análisis FIN, puede ejecutar cualquiera de las siguientes acciones o
ambas:
WebUI: Screening > Screen: Seleccione la zona a la que desea aplicar esta
opción SCREEN en la lista desplegable “Zone” y seleccione FIN Bit With No
ACK Bit in Flags Protection.
NOTA: El cambio del flujo de paquetes para comprobar que el indicador SYN está
activado para los paquetes que no pertenecen a sesiones existentes, también
frustra otros tipos de análisis no SYN, tales como los análisis nulos (“null scan”, es
decir, cuando no hay ningún indicador de TCP activo).
Indicadores no SYN
De forma predeterminada, el dispositivo de seguridad revisa si hay indicadores SYN
en el primer paquete de una sesión y rechaza cualquier segmento TCP que tenga
indicadores que no sean SYN intentando iniciar una sesión. Puede dejar fluir este
paquete tal y como está o cambiarlo para que el dispositivo no utilice la revisión de
indicador SYN antes de crear una sesión. La Figura 8 en la página 17 muestra las
secuencias del flujo de paquete cuando está habilitada la revisión del indicador SYN
y cuando está desactivada.
16 Técnicas de evasión
Capítulo 2: Bloqueo de reconocimiento
NOTA: De forma predeterminada, la revisión del indicador TCP SYN en el paquete inicial
de una sesión está habilitada cuando se instala el dispositivo de seguridad de
Juniper Networks con ejecución de ScreenOS 5.1.0 o superior. Si se actualiza de
una versión anterior a ScreenOS 5.1.0, la revisión SYN permanece desactivada de
forma predeterminada, a menos que haya cambiado previamente el
comportamiento predeterminado.
Estos flujos de paquete son los mismos ya sea que la interfaz de entrada esté
operando en la capa 3 (modo de ruta o NAT) o en la capa 2 (modo transparente).
En En
sesión sesión
Consulta de Actualización Consulta de Actualización
de sesión REDIRECCIONAMIENTO de sesión
sesiones sesiones
REDIRECCIONAMIENTO
No en No en
sesión sesión
Técnicas de evasión 17
Manual de referencia de ScreenOS: Conceptos y ejemplos
Sin embargo, observe que las ventajas anteriores requieren los siguientes sacrificios
en seguridad:
18 Técnicas de evasión
Capítulo 2: Bloqueo de reconocimiento
Técnicas de evasión 19
Manual de referencia de ScreenOS: Conceptos y ejemplos
Simulación de IP
Un método para intentar acceder a un área restringida de la red es insertar una
dirección de origen fantasma en el encabezado del paquete para que éste parezca
que procede de un lugar de origen fiable. Esta técnica se conoce como simulación
de IP (IP Spoofing). Para detectar esta técnica, ScreenOS dispone de dos métodos
con el mismo objetivo: determinar si el paquete procede de una ubicación distinta a
la indicada en el encabezado. El método que utiliza el dispositivo de seguridad de
Juniper Networks depende de si funciona en la capa 3 o en la capa 2 del modelo
OSI.
ethernet3
1.1.1.1/24
X Tabla de rutas
3. Si al consultar la tabla de rutas ID IP-Prefijo Interfaz Puerta de enlace P
observa que 10.1.1.6 no es una
dirección IP de origen válida para 1 10.1.10/24 eth 1 0.0.0.0 C
un paquete que llega a ethernet3, el
dispositivo rechazará el paquete. ethernet1
Zona Trust 10.1.1.1/24
Subred: 10.1.1.0/24
20 Técnicas de evasión
Capítulo 2: Bloqueo de reconocimiento
ethernet3
0.0.0.0/0
Zona V1-DMZ
Tenga cuidado al definir direcciones para la subred que abarca múltiples zonas
de seguridad. En la Figura 10, 1.2.2.0/24 pertenece tanto a la zona V1-Untrust
como a la zona V1-DMZ. Si configura el dispositivo de seguridad tal y como se
describe a continuación, bloqueará el tráfico procedente de la zona V1-DMZ
cuyo paso desea permitir:
Técnicas de evasión 21
Manual de referencia de ScreenOS: Conceptos y ejemplos
ethernet2
1.2.2.1/24
1.2.3.0/24
Zona
DMZ
Enrutador
1.2.2.250
22 Técnicas de evasión
Capítulo 2: Bloqueo de reconocimiento
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos,
luego haga clic en Apply:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Técnicas de evasión 23
Manual de referencia de ScreenOS: Conceptos y ejemplos
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone dmz
set interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Rutas
set vrouter trust-vr route 10.1.2.0/24 interface ethernet1 gateway 10.1.1.250
set vrouter trust-vr route 1.2.3.0/24 interface ethernet2 gateway 1.2.2.250
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
3. Protección contra simulación de IP
set zone trust screen ip-spoofing
set zone dmz screen ip-spoofing
set zone untrust screen ip-spoofing
save
servA: 1.2.2.10
servB: 1.2.2.20
servC: 1.2.2.30
24 Técnicas de evasión
Capítulo 2: Bloqueo de reconocimiento
WebUI
1. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
CLI
1. Direcciones
set address v1-dmz servA 1.2.2.10/32
set address v1-dmz servB 1.2.2.20/32
set address v1-dmz servC 1.2.2.30/32
2. Protección contra simulación de IP
set zone v1-untrust screen ip-spoofing
save
Técnicas de evasión 25
Manual de referencia de ScreenOS: Conceptos y ejemplos
1 3
A B
Mediante el enrutamiento de origen IP, A envía
tráfico a través de los enrutadores 2 y 3. La
2 4 transmisión de A a B se realiza con éxito el
50% de las ocasiones.
1 3
A B Mediante el enrutamiento de origen IP, A envía
tráfico a través de los enrutadores 1 y 4. La
transmisión de A a B se realiza con éxito el 100%
2 4 de las ocasiones. Por lo tanto, podemos suponer
que el problema reside en el enrutador 3.
26 Técnicas de evasión
Capítulo 2: Bloqueo de reconocimiento
2.2.2.0/24 10.1.1.0/24
2 4
Deny IP Source Route Option: Habilite esta opción para bloquear todo el
tráfico IP que emplee la opción de rutas de origen abierta o estricta. Las
opciones de ruta de origen pueden llegar a permitir a un hacker entrar en una
red con una dirección IP falsa.
(Para obtener más información sobre todas las opciones IP, consulte
“Reconocimiento de red mediante opciones IP” en la página 10).
Técnicas de evasión 27
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione IP
Source Route Option Filter y haga clic en Apply.
CLI
set zone zona screen ip-filter-src
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos, luego haga clic en Apply:
CLI
set zone zona screen ip-loose-src-route
set zone zona screen ip-strict-src-route
28 Técnicas de evasión
Capítulo 3
Defensas contra los ataques de
denegación de servicio
29
Manual de referencia de ScreenOS: Conceptos y ejemplos
“WinNuke” en la página 55
Expiración dinámica
IP de origen de
host inexistente: Agentes
6.6.6.6 zombie
Zona Untrust Zona
Untrust
Cuando el número de sesiones concurrentes que proceden de Cuando el número de sesiones concurrentes al servidor web
6.6.6.6 sobrepasa el límite máximo, el dispositivo de sobrepasa el límite máximo, el dispositivo de seguridad
seguridad bloquea cualquier conexión subsiguiente de esa bloquea cualquier intento de conexión subsiguiente a esa
dirección IP. dirección IP.
WebUI
Screening > Screen (Zone: DMZ): Introduzca los siguientes datos y haga clic
en OK:
Screening > Screen (Zone: Trust): Introduzca los siguientes datos y haga clic
en OK:
CLI
set zone dmz screen limit-session source-ip-based 1
set zone dmz screen limit-session source-ip-based
set zone trust screen limit-session source-ip-based 80
set zone trust screen limit-session source-ip-based
save
WebUI
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga clic
en OK:
CLI
set zone untrust screen limit-session destination-ip-based 4000
set zone untrust screen limit-session destination-ip-based
save
Expiración dinámica
De forma predeterminada, el establecimiento de una conexión inicial en 3 pasos de
una sesión TCP tarda 20 segundos en caducar (es decir, expirar por inactividad).
Una vez establecida una sesión TCP, el valor del tiempo de espera cambia a
30 minutos. Para sesiones HTTP y UDP, los tiempos de espera son de 5 minutos y
1 minuto, respectivamente. El contador de tiempo de espera de cada sesión se
inicia al comenzar ésta y se actualiza cada 10 segundos, mientras la sesión
permanece activa. Si una sesión queda inactiva durante más de 10 segundos, el
contador de tiempo de espera comienza la cuenta atrás.
Min 30 25 20 15 10 5 0
Tiempo de espera predeterminado de las sesiones TCP:
30 min (1800 seg)
Expiración dinámica = 10 (predeterminado - 100 seg): Seg 1800 1500 1200 900 600 300 0
28:20 min (1700 seg)
Min 5 4 3 2 1 0
Tiempo de espera predeterminado de la sesión HTTP:
5 min (300 seg)
Expiración dinámica = 10 (predeterminado - 100 seg):
3:20 min (200 seg) Seg 300 240 180 120 60 0
100%
Cuando el número de sesiones supera la capacidad del
80%, se activa el mecanismo de expiración dinámica.
80% Umbral superior
Expiración dinámica
(caducado - 40 seg)
70% Umbral inferior
Las sesiones expiran dinámicamente hasta
que la cantidad cae por debajo del 70%. En
Sesiones ese momento, el mecanismo de expiración
dinámica se detiene.
0%
WebUI
NOTA: Para configurar los ajustes de expiración dinámica debe utilizar la interfaz de línea
de comandos (“CLI”).
CLI
set flow aging low-watermark 70
set flow aging high-watermark 80
set flow aging early-ageout 4
save
SYN
Name: ?
Password: ?
SYN
SYN/ACK
ACK La tabla de sesiones se
está llenando.
Name: ?
Password: ?
.
.
.
SYN La tabla de sesiones está llena.
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos, luego haga clic en Apply:
NOTA: La unidad de este valor se expresa en conexiones por dirección de origen. El valor
predeterminado es de 512 conexiones de una determinada dirección IP.
CLI
set zone zona screen syn-ack-ack-proxy threshold número
set zone zona screen syn-ack-ack-proxy
Inundaciones SYN
El problema de transmisión de inundaciones SYN se da cuando un host resulta tan
sobrecargado con segmentos SYN que inicia peticiones de conexión irrealizables,
por lo que le resulta imposible procesar peticiones de conexión legítimas.
Dos hosts establecen una conexión TCP con triple intercambio de paquetes TCP,
conocido como un establecimiento de conexión en tres pasos: A envía un segmento
SYN a B; B responde con un segmento SYN/ACK; A responde con un segmento
ACK. Un ataque de inundaciones SYN sobrecarga un sitio con segmentos SYN que
contienen direcciones IP de origen falsificadas (simuladas), es decir, inexistentes o
inalcanzables. B responde enviando segmentos SYN/ACK a estas direcciones y
espera segmentos ACK de respuesta. Debido a que los segmentos SYN/ACK se
envían a direcciones IP inexistentes o inalcanzables, nunca responden y acaban por
sobrepasar el tiempo de espera.
SYN/ACK
5.5.5.10
SYN El búfer de memoria
de la víctima
SYN/ACK empieza a llenarse.
6.6.6.3
SYN
SYN/ACK
8.8.8.8 SYN
SYN/ACK
El búfer de memoria de la
9.9.9.22 víctima deja de llenarse.
— Umbral de ataque SYN —
2.2.2.4
SYN
Cuando el número de segmentos
SYN/ACK SYN procedentes de una misma
dirección de origen o dirigidos a
3.3.3.25 SYN la misma dirección de destino La cola de conexiones a
alcanza un umbral especificado, través de un servidor
SYN/ACK el dispositivo de seguridad proxy del dispositivo de
comienza a interceptar las seguridad comienza a
. peticiones de conexión y a llenarse.
. procesar los segmentos
. SYN/ACK mediante el proxy.
Dirección IP real El host con la dirección 2.2.2.5 continúa enviando segmentos SYN
2.2.2.5 en paquetes IP con la dirección de origen simulada 3.3.3.5.
Dispositivo de seguridad
LAN
Direcciones IP protegida
inexistentes o
inalcanzables
3.3.3.5 — Umbral de ataque SYN —
SYN
El dispositivo de seguridad El búfer de memoria de
SYN/ACK intercepta los segmentos SYN y la víctima recupera su
procesa a través de un servidor estado normal.
proxy las respuestas SYN/ACK
SYN hasta que la cola de conexiones a
través del servidor proxy se llena. La cola de conexiones a
SYN/ACK través del servidor proxy
del dispositivo de
seguridad está llena.
— Umbral de alarma —
El dispositivo de seguridad
rechaza nuevos segmentos SYN
de todas las direcciones de la
SYN misma zona de seguridad.
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos, luego haga clic en Apply:
NOTA: Para obtener más detalles acerca de cada uno de estos parámetros, consulte las
descripciones en la siguiente sección de CLI.
CLI
Para habilitar la protección contra inundaciones SYN:
Attack Threshold: El número de segmentos SYN (es decir, segmentos TCP con
el indicador SYN establecido) dirigidos a la misma dirección de destino y
número de puerto requerido para activar el mecanismo de procesamiento de
SYN a través de un servidor proxy. Aunque puede ajustar el umbral en cualquier
número, debe conocer los patrones de tráfico habituales en cada instalación
para establecer un umbral adecuado. Por ejemplo, en un sitio “e-business” que
normalmente recibe 20,000 segmentos SYN por segundo, conviene establecer
un umbral de, por ejemplo, 30,000/segundo. Si un sitio más pequeño recibe
habitualmente 20 segmentos SYN por segundo, plantéese la posibilidad de
establecer el umbral en 40.
1. El cortafuegos deja pasar los primeros 2000 segmentos SYN por segundo
que cumplen los requisitos de las directivas.
Dispositivo de seguridad
1.2.2.20
Zona DMZ
Internet
HTTP 1.2.2.30
Inundación SYN
1.2.2.40
Cortafuegos
Para configurar los parámetros de protección contra inundaciones SYN con los
valores apropiados para su red, primero debe establecer una línea de base de los
flujos de tráfico típico. Durante una semana, ejecute un programa rastreador en
ethernet3 (la interfaz asociada a la zona Untrust) para supervisar el número de
nuevas peticiones de conexión TCP que llegan cada segundo a los cuatro servidores
web en DMZ. Su análisis de los datos acumulados durante una semana de
supervisión produce la estadística siguiente:
1.Las peticiones de conexión incompletas son establecimientos de conexión en tres pasos que no están completos. Un
establecimiento de conexión en tres pasos es la fase inicial de una conexión TCP. Consiste en un segmento TCP con el
indicador SYN establecido, una respuesta con los indicadores SYN y ACK establecidos y una respuesta a ésta con el indicador
ACK establecido.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > Groups > (for Zone: DMZ) New:
Introduzca el siguiente nombre de grupo, mueva las siguientes direcciones y
haga clic en OK:
3. Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), web_servers
Service: HTTP
Action: Permit
4. Screen
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos, luego haga
clic en Apply:
CLI
1. Interfaces
set interface ethernet2 zone dmz
set interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address dmz ws1 1.2.2.10/32
set address dmz ws2 1.2.2.20/32
set address dmz ws3 1.2.2.30/32
set address dmz ws4 1.2.2.40/32
set group address dmz web_servers add ws1
set group address dmz web_servers add ws2
set group address dmz web_servers add ws3
set group address dmz web_servers add ws4
3. Directiva
set policy from untrust to dmz any web_servers HTTP permit
4. Screen
set zone untrust screen syn-flood attack-threshold 625
set zone untrust screen syn-flood alarm-threshold 250
set zone untrust screen syn-flood source-threshold 25
set zone untrust screen syn-flood timeout 20
set zone untrust screen syn-flood queue-size 1000
set zone untrust screen syn-flood
save
Cookie SYN
Una cookie SYN es un mecanismo de procesamiento de SYN a través de un servidor
proxy sin estado, que se puede utilizar junto con las defensas contra un ataque de
inundaciones SYN, como el que se describe en “Inundaciones SYN” en la
página 37. Al igual que los procesamientos tradicionales de SYN a través de un
servidor proxy, cookie SYN se activa cuando un umbral de ataque contra
inundaciones SYN se excedió, pero debido a que cookie SYN no tiene un estado,
éste no configura una sesión o realiza consultas de rutas y direcivas al recibir un
segmento SYN y no mantiene ninguna cola de petición de conexión. Lo que reduce
enormemente el uso de la CPU y de la memoria y es el beneficio principal de
utilizar cookie SYN en lugar del mecanismo de procesamiento tradicional de SYN a
través de un servidor proxy.
SYN
1
1. Consulta de sesiones -- Sin coincidencia de
sesión
2. Cookie SYN activada
3. Cálculo de ISN
4. Envío de SYN/ACK al host
2 SYN/ACK
Envío de ACK
3 ACK
1. Consulta de sesiones -- Sin coincidencia de
sesión
2. Cookie SYS validada
3. Restablecimiento de MSS
4. Primer paquete aprobado--enrutamiento,
consulta de directivas, configuración de sesión
5. Envío de SYN al servidor
4 SYN
1. Aceptar conexión
2. Envar SYN/ACK
55 SYN/ACK
7 ACK 6 ACK
Conectado
8 Data/ACK
Data/ACK
9
WebUI
Configuration > Advanced > Flow: Introduzca los siguientes datos, luego haga
clic en Apply:
CLI
set flow syn-proxy syn-cookie
Inundaciones ICMP
Las inundaciones de ICMP normalmente se producen cuando las peticiones de eco
ICMP sobrecargan a su víctima con tantas peticiones que ésta consume todos sus
recursos para responder, hasta que le resulta imposible procesar el tráfico de red
válido. Al habilitar la función de protección contra inundaciones ICMP, puede
establecer un umbral que, al ser excedido, activa la función de protección contra
ataques de inundaciones ICMP. (El valor predeterminado del umbral es
1000 paquetes por segundo). Si se excede este umbral, el dispositivo de seguridad
ignora otras peticiones de eco ICMP durante el resto de ese segundo y también
durante el segundo siguiente.
NOTA: Las inundaciones ICMP pueden contener cualquier tipo de mensaje ICMP. Por lo
tanto, un dispositivo de seguridad de Juniper Networks supervisa todos los tipos
de mensajes ICMP, no únicamente las peticiones de eco.
Petición de eco
Respuesta de eco
.
.
.
— Límite máximo de peticiones de eco ICMP por segundo —
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos, luego haga clic en Apply:
NOTA: La unidad de este valor se expresa en paquetes ICMP por segundo. El valor
predeterminado es de 1000 paquetes por segundo.
CLI
set zone zona screen icmp-flood threshold número
set zone zona screen icmp-flood
Inundaciones UDP
De forma parecida a la transmisión de inundaciones ICMP, las inundaciones UDP se
dan cuando un hacker envía paquetes IP que contienen datagramas UDP con el
propósito de ralentizar a la víctima hasta que le resulta imposible procesar las
conexiones válidas. Después de habilitar la función de protección contra
inundaciones UDP, puede establecer un umbral que, cuando se excede, activa la
función de protección contra ataques de inundaciones UDP. (El valor
predeterminado del umbral es 1000 paquetes por segundo). Si el número de
datagramas UDP de uno o más orígenes a un destino determinado supera este
umbral, el dispositivo de seguridad ignora los datagramas UDP subsiguientes
dirigidos a ese destino durante el resto de ese segundo y también durante el
segundo siguiente.
LAN protegida
Datagrama UDP
Servidor DNS
Datagramas UDP Los datagramas IP: 1.2.2.5
dentro de los apuntan a un servidor
paquetes IP Puerto: 53 (UDP)
DNS en 1.2.2.5:53.
procedentes de Datagrama UDP
varias direcciones
IP simuladas
Datagrama UDP
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos, luego haga clic en Apply:
NOTA: La unidad de este valor se expresa en paquetes UDP por segundo. El valor
predeterminado es de 1000 paquetes por segundo.
CLI
set zone zona screen udp-flood threshold número
set zone zona screen udp-flood
Ataque terrestre
Al combinar un ataque SYN con la simulación de direcciones IP, un ataque terrestre
(land attack) ocurre cuando un hacker envía paquetes SYN simulados que
contienen la dirección IP de la víctima como dirección IP de destino y dirección IP
de origen. El sistema receptor responde enviándose a sí mismo el paquete
SYN-ACK, creando una conexión vacía que perdura hasta que caduca el tiempo de
espera por inactividad. Al saturar un sistema con tales conexiones vacías puede
sobrecargarlo y provocar la denegación de servicio.
Origen Destino
Los recursos
Origen Destino disponibles de la
víctima
1.2.2.5 1.2.2.5 Datos
Las conexiones
vacías están
consumiendo los
Origen Destino recursos de la víctima.
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Land
Attack Protection, después haga clic en Apply.
CLI
set zone zona screen land
Ping of Death
El tamaño máximo del paquete IP admisible es de 65.535 bytes, incluyendo el
encabezado del paquete, que normalmente tiene una longitud de 20 bytes. Una
solicitud de eco ICMP es un paquete IP con un encabezado falso, de 8 bytes de
longitud. Por lo tanto, el tamaño máximo admisible del área de datos de una
solicitud de eco ICMP es de 65.507 bytes (65.535 - 20 - 8 = 65.507).
NOTA: Para obtener más información acerca de las especificaciones de IP, consulte la
norma RFC 791, Protocolo de Internet.
Para habilitar la protección contra ataques “Ping of Death”, ejecute cualquiera de los
siguientes procedimientos, donde la zona especificada es aquélla en la que se
origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Ping of
Death Attack Protection, después haga clic en Apply.
CLI
set zone zona screen ping-death
Ataque Teardrop
Los ataques Teardrop explotan la función de reensamblaje de paquetes IP
fragmentados. En el encabezado IP, uno de los campos es el de desplazamiento del
fragmento, que indica la posición inicial o desplazamiento de los datos contenidos
en un paquete fragmentado con respecto a los datos del paquete original sin
fragmentar.
Longitu
Versión Tipo de servicio Longitud total del paquete (en bytes)
d del
Desplazamiento del
Identificación x D M fragmento
20
Tiempo de vida (TTL) Protocolo Suma de comprobación del encabezado bytes
Dirección de origen
Dirección de destino
Carga de datos
Una vez habilitada la opción SCREEN “Teardrop Attack”, siempre que el dispositivo
detecte esta discrepancia en un paquete fragmentado, lo descartará.
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione
Teardrop Attack Protection, después haga clic en Apply.
CLI
set zone zona screen tear-drop
WinNuke
WinNuke es un ataque de denegación de servicio que se dirige a cualquier equipo
conectado a Internet que ejecute Windows. El hacker envía un segmento TCP,
normalmente al puerto 139 de NetBIOS con el indicador (URG) establecido, a un
host con una conexión establecida. Esto introduce una superposición de
fragmentos NetBIOS, que en muchos equipos Windows provoca la caída del
sistema. Después de reiniciar el equipo atacado, aparece el siguiente mensaje para
indicar que se ha producido un ataque:
Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved
information in all applications.
Número de secuencia
Número de reconocimiento
Longitud del U A P R S F
Reservado R C S S Y I Tamaño de la ventana
encabezado
G K H T N N
Suma de comprobación de TCP Indicador “Urgente”
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione
WinNuke Attack Protection, después haga clic en Apply.
CLI
set zone zona screen winnuke
57
Manual de referencia de ScreenOS: Conceptos y ejemplos
Reensamblaje de fragmentos
Normalmente, el dispositivo de redireccionamiento de la red, como el conmutador
o enrutador, no reensambla los paquetes fragmentados que recibe. Generalmente
es el host de destino el que reconstruye los paquetes fragmentados cuando los
recibe. La función principal de un dispositivo de redireccionamiento es la
distribución eficiente del tráfico. En el caso de que el dispositivo de
redireccionamiento necesite también poner en cola, reensamblar y refragmentar
todos los paquetes, su eficiencia se verá seriamente afectada. Sin embargo, el paso
de paquetes fragmentados a través de un cortafuegos es poco seguro. El atacante
puede romper intencionadamente los paquetes y hacer así que las cadenas de
tráfico resultantes crucen el cortafuegos sin que se las detecte y bloquee.
58 Reensamblaje de fragmentos
Capítulo 4: Supervisión y filtrado de contenidos
Por ejemplo, es posible que exista una directiva que rechace Ftp-Put de las zonas
Untrust a DMZ:
NOTA: Para una directiva de rechazo, el servicio FTP-Put, Ftp-Get y FTP se comporta de la
misma manera bloqueando todos los paquetes.
En una directiva de permiso, Ftp-Get, Ftp-Put y Ftp son servicios diferentes. Por
ejemplo, es posible que exista una directiva que permita Ftp-Put de las zonas
Untrust a DMZ.
Reensamblaje de fragmentos 59
Manual de referencia de ScreenOS: Conceptos y ejemplos
Si tiene dos directivas, una que deniegue el FTP-Put desde las zonas Untrust a las
zonas DMZ y otra que permita el FTP-Get desde las zonas Untrust a las zonas DMZ,
el dispositivo bloqueará el paquete.
paquete 1: ST
paquete 2: OR nombre_archivo.
URL maliciosa 1
ID: Perl
Patrón: scripts/perl.exe
Longitud: 14
60 Reensamblaje de fragmentos
Capítulo 4: Supervisión y filtrado de contenidos
URL maliciosa 2
ID: CMF
Patrón: cgi-bin/phf
Longitud: 11
URL maliciosa 3
ID: DLL
Patrón: 210.1.1.5/msadcs.dll
Longitud: 18
Los valores de longitud indican el número de caracteres del patrón que deben
aparecer en una URL, comenzando por el primer carácter, para que se considere
una coincidencia. Observe que en las URL 1 y 3, no es necesario que coincidan
todos los caracteres.
WebUI
Security > Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes
datos y haga clic en OK:
ID: perl
Pattern: scripts/perl.exe
Length: 14
Security > Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes
datos y haga clic en OK:
ID: cmf
Pattern: cgi-bin/phf
Length: 11
Security > Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes
datos y haga clic en OK:
ID: dll
Pattern: 210.1.1.5/msadcs.dll
Length: 18
Network > Zones > Edit (para Untrust): Seleccione la casilla de verificación
TCP/IP Reassembly for ALG y a continuación, haga clic en OK.
CLI
set zone untrust screen mal-url perl “scripts/perl.exe” 14
set zone untrust screen mal-url cmf “cgi-bin/phf” 11
set zone untrust screen mal-url dll “210.1.1.5/msadcs.dll” 18
set zone untrust reassembly-for-alg
save
Reensamblaje de fragmentos 61
Manual de referencia de ScreenOS: Conceptos y ejemplos
Análisis antivirus
Un virus es un código ejecutable que infecta o se adjunta a otro código ejecutable
que le permite reproducirse. Algunos virus maliciosos borran los archivos o
bloquean los sistemas, mientras que otros virus actúan infectando los archivos y
pueden saturar el host o la red con datos fantasmas.
Utilice esta solución para velocidades más bajas, tal como en las
implementaciones T-3 o T-3 fraccionadas. Para obtener más detalles, consulte
“Análisis AV externo” en página 62.
Utilice esta solución para velocidades más altas, tal como en implementaciones
OC-3. En este escenario, PBR en ISG descarga un tráfico específico a un
dispositivo de seguridad de gama alta y pone en funcionamiento el analizador
antivirus incorporado. Para obtener más información sobre esta configuración,
consulte “Ejemplo de PBR avanzado” en la página 7-150. Para obtener más
información sobre el analizador antivirus incorporado, consulte “Análisis AV
interno” en página 64.
Análisis AV externo
Se realiza un análisis AV cuando el dispositivo de seguridad desvía el tráfico hacia
un servidor de análisis AV ICAP externo. El cliente ICAP en el dispositivo de
seguridad se comunica con el servidor de análisis ICAP para proporcionar las
siguientes funciones:
62 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
Servidor FTP
remoto Servidores ICAP que
ejecutan Symantec
PW R A LA R M TEM P S TAT U S HA
Cliente ICAP
4. El cliente ICAP envía los datos a analizar (en formato ICAP encapsulado) al
servidor ICAP y conserva los datos en la memoria hasta que el servidor ICAP
acusa recibo de ellos.
5. El servidor ICAP devuelve al cliente ICAP los resultados del análisis con el
contenido completo.
Modos de análisis
Una vez que el tráfico ha pasado el análisis antivirus, el servidor ICAP que ejecuta
Symantec Scan Engine 5.0 proporciona uno de los siguientes resultados:
Scan and delete. Elimina todos los archivos infectados, incluyendo los que
están incorporados a archivos de almacenamiento definitivo, sin intentar
repararlos.
Scan and repair files. Intenta reparar los archivos infectados pero no ejecuta
ninguna otra acción sobre aquellos que no pueden repararse.
Scan and repair or delete. Intenta reparar los archivos infectados y elimina de
los archivos de almacenamiento definitivo cualquier archivo irrecuperable.
Consulte la documentación del servidor ICAP para obtener más información acerca
del comportamiento y los resultados del análisis.
Análisis antivirus 63
Manual de referencia de ScreenOS: Conceptos y ejemplos
Respuesta de error del extremo del cliente a una solicitud de opciones ICAP
Respuesta de error del extremo del servidor a una solicitud de opciones ICAP
Análisis AV interno
El análisis AV interno se realiza cuando el motor de análisis del dispositivo de
seguridad analiza el tráfico en busca de virus. El motor de análisis incorporado o
interno es un motor de análisis Juniper-Kaspersky.
64 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
Análisis antivirus 65
Manual de referencia de ScreenOS: Conceptos y ejemplos
Clientes de IM
Cada cliente de IM tiene tres componentes principales:
Una lista de amigos y otro registro de amigos con los que desea comunicarse.
Una ventana separada que muestra los chats de texto en curso, los usuarios
escriben sus mensajes y ven las respuestas correspondientes en esta ventana.
Las funciones adicionales para los chats de vídeo y audio y para las
transferencias de archivo entre usuarios.
Todos los clientes principales de IM son más que simples chats de texto y cada
vez incluyen comunicaciones más integradas y sofisticadas, incluso llamadas
en tiempo real de voz y vídeo.
MSN Messenger
66 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
Servidor de IM
El servidor de IM mantiene el directorio de cuentas de usuario, da seguimiento de
quién está en línea y, en la mayoría de los casos, enruta mensajes entre los
usuarios. El servidor de IM funciona en tiempo real, enviando mensajes de una
parte a otra entre dos usuarios cuando terminan de escribir cada línea de texto. Los
servidores también pasan información en tiempo real sobre la disponibilidad de
varios usuarios en el directorio, como cuándo están en línea y cambian su mensaje
de estado.
Protocolos de IM
La red de IM emplea un modelo de cliente-servidor para la autenticación al servicio
y para la comunicación con otros clientes utilizando los protocolos que se muestran
en la siguiente tabla:
Análisis antivirus 67
Manual de referencia de ScreenOS: Conceptos y ejemplos
Asuntos de seguridad de IM
Los servicios de mensajería instantánea (IM) son vulnerables a los ataques como los
virus, gusanos y caballos de troya por medio de los siguientes métodos:
Listas de amigos
Ingeniería social
Transferencias de archivos
Los caballos de troya y los virus se pueden propagar fácilmente cuando los
archivos se envían de un usuario a otro por medio de una sesión de IM.
68 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
Transferencia de
archivos/distribución
Si el tamaño del archivo es… de archivos Resultado
<= AV max_content_size Se realiza el análisis AV Se encuentran virus. El contenido
del archivo se reemplaza por el
mensaje de notificación de virus.
Hay errores en el análisis (está
desactivado el permiso para error
de análisis AV). El contenido del
archivo se reemplaza por el
mensaje de notificación de error
de análisis.
> AV max_content_size (está No se realiza análisis AV Descarta el archivo y redirecciona el
activado el descarte de mensaje de notificación de descarte
max_content_size) al destino del mensaje original.
> AV max_content_size (está No se realiza análisis AV Se redirecciona el archivo a su
desactivado el descarte de destino.
max_content_size)
Análisis antivirus 69
Manual de referencia de ScreenOS: Conceptos y ejemplos
archivo corrupto
recursos agotados
70 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
Consulte el manual ScreenOS Message Log Reference para ver una lista de los
mensajes de error generados a partir de un análisis AV.
Para configurar el análisis según directivas, debe configurar los perfiles de AV para
el uso en directivas, realizando los siguientes pasos:
Protocolos Consulte
Protocolo de transferencia de archivos (FTP) “Aálisis del tráfico de FTP” en la página 73
Protocolo de transferencia de hipertexto “Análisis del tráfico de HTTP” en la página 74
(HTTP)
Protocolo de acceso de correo de Internet “Análisis del tráfico de IMAP y POP3” en la
(IMAP) página 76
Protocolo de oficina de correo, versión 3 “Análisis del tráfico de IMAP y POP3” en la
(POP3) página 76
Protocolo de transferencia de correo sencillo “Análisis del tráfico de SMTP” en la página 78
(SMTP)
Protocolo de adaptación de contenido de “Desvío del tráfico a los servidores de análisis AV
Internet ( ICAP) ICAP” en la página 80
5. Guardar su perfil.
Análisis antivirus 71
Manual de referencia de ScreenOS: Conceptos y ejemplos
Esta sección describe cómo configurar los siguientes protocolos de aplicación para
el análisis AV:
72 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
Cada una de las aplicaciones anteriores puede configurarse para uno o varios de los
siguientes:
Comando Descripción
decompress-layer Especifica cuántas capas de archivos comprimidos anidados puede
descomprimir el analizador de AV antes de ejecutar el análisis para
detección de virus.
extension list Especifica el nombre de la lista de extensiones (cadena) para incluir o
excluir extensiones definidas.
scan-mode Especifica cómo el motor de análisis analiza el tráfico de un protocolo
determinado.
tiempo de espera Especifica el tiempo de espera para una sesión de AV en el caso de un
protocolo determinado.
http skipmime No realiza el análisis AV a la lista MIME que se especifique.
Nota: El deshabilitar skipmime permite al dispositivo de seguridad
analizar todas las clases de tráfico HTTP independientemente de los tipos
de contenido MIME.
email-notify Notifica al remitente o al destinatario sobre los virus detectados o los
errores encontrados durante el análisis, únicamente para el tráfico IMAP,
POP3 y SMTP.
Análisis antivirus 73
Manual de referencia de ScreenOS: Conceptos y ejemplos
Canal de control
Analizador AV interno
Canal de datos
1. Un cliente FTP local abre un canal de control FTP a un servidor FTP y pide la
transferencia de algunos datos.
2. El servidor y cliente FTP negocian un canal de datos a través del cual el servidor
envía los datos solicitados. El dispositivo de seguridad intercepta los datos y los
pasa a su motor interno de detección AV, que los examina en busca de virus.
3. Una vez finalizado el análisis, el dispositivo sigue uno de estos pasos*:
• Si no hay virus, reenvía los datos al cliente.
• Si se descubre la presencia de un virus, reemplaza los datos con un mensaje
de descarte en el canal de datos y envía otro informando la infección en el
canal de control.
74 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
Analizador AV interno
4. Un servidor web responde a una petición de HTTP. 1. Un cliente HTTP envía una petición de HTTP a un servidor web.
5. El dispositivo de seguridad intercepta la respuesta de HTTP y pasa 2. El dispositivo de seguridad intercepta la petición y transmite los
los datos a su motor interno de detección AV, que los examina en datos al analizador AV interno, que los examina en busca de virus.
busca de virus.
3. Una vez finalizado el análisis, el dispositivo sigue uno de estos
6. Una vez finalizado el análisis, el dispositivo sigue uno de estos pasos*:
pasos*:
• Si no hay virus, reenvía la petición al servidor web.
• Si no hay virus, reenvía la respuesta al cliente de HTTP.
• Si se descubre la presencia de un virus, descarta la petición y
• Si se descubre la presencia de un virus, descarta la respuesta y envía un mensaje de HTTP informando de la infección al cliente.
envía un mensaje de HTTP informando de la infección al cliente.
Application/x-director
Application/pdf
Image/
Análisis antivirus 75
Manual de referencia de ScreenOS: Conceptos y ejemplos
Video/
Audio/
Text/css
Text/html
76 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
drop no está
establecido
está establecida la
opción email
notification
Análisis antivirus 77
Manual de referencia de ScreenOS: Conceptos y ejemplos
Zona DMZ
Servidor de correo
local
Internet
1. El cliente IMAP o POP3 descarga un mensaje de correo electrónico desde el servidor de correo
local.
2. El dispositivo de seguridad intercepta el mensaje de correo electrónico y transmite los datos al
analizador AV interno, que los examina en busca de virus.
3. Una vez finalizado el análisis, el dispositivo de seguridad sigue uno de estos pasos*:
• Si no hay virus, reenvía el mensaje al cliente.
• Si se descubre la presencia de un virus, envía un mensaje informando de la infección al cliente.
78 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
exceden los
mensajes no está activada la
simultáneos opción drop
máximos está establecida la
opción email
notification
NOTA: Ya que el cliente SMTP se refiere a la entidad que envía un correo electrónico, es
posible que un cliente, de hecho, sea otro servidor SMTP.
Análisis antivirus 79
Manual de referencia de ScreenOS: Conceptos y ejemplos
Zona DMZ
Internet
1. Un servidor de correo remoto redirecciona un mensaje de correo A. Un cliente SMTP envía un mensaje de correo electrónico a un
electrónico por SMTP al servidor de correo local. servidor de correo local.
2. El dispositivo de seguridad intercepta el mensaje de correo B. El dispositivo de seguridad intercepta el mensaje de correo
electrónico y pasa los datos al analizador AV interno, que los electrónico y pasa los datos al analizador AV interno, que los
analiza en busca de virus. analiza en busca de virus.
3. Una vez finalizado el análisis, el dispositivo sigue uno de estos C. Una vez finalizado el análisis, el dispositivo sigue uno de estos
pasos*: pasos*:
• Si no hay virus, reenvía el mensaje al servidor local. • Si no hay virus, reenvía el mensaje al servidor local.
• Si se descubre la presencia de un virus, envía un mensaje • Si se descubre la presencia de un virus, envía un mensaje
informando de la infección al servidor remoto. informando de la infección al cliente.
* Si el mensaje analizado excede la configuración máxima de contenido o, si el análisis no puede tener éxito completamente, el dispositivo de seguridad
sigue un curso de acción diferente dependiendo del establecimiento del modo de fallo.
1. Utilice el comando set icap para configurar el servidor de análisis ICAP externo.
Comando Descripción
timeout Especifica el tiempo de espera para una sesión de AV en el caso de un
protocolo determinado (HTTP o SMTP).
http skipmime No realiza el análisis AV a la lista MIME que se especifica.
Nota: Deshabilitar la lista skipmime permite al dispositivo de seguridad
analizar todas las clases de tráfico HTTP independientemente de los
tipos de contenido MIME.
email-notify Notifica al remitente o al destinatario sobre los virus detectados o los
errores encontrados durante el análisis, únicamente para el tráfico
SMTP.
80 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
WebUI
Objects > Antivirus > ICAP Server >New: Introduzca los siguientes datos y
haga clic en Apply:
CLI
set icap server icap_server1 host 1.1.1.1
save
Prerrequisitos Descripción
Clave de licencia AV válida av_v2_key
Acceso a Internet El dispositivo tiene una ruta hacia Internet
Configuraciones de DNS y de puerto Verifica el ajuste del DNS y del puerto 80
Servicio de firma AV Consulte “Suscripción al servicio de firma AV” en
página 81
Análisis antivirus 81
Manual de referencia de ScreenOS: Conceptos y ejemplos
NOTA: Para obtener más información sobre el servicio de firmas de virus, consulte
“Registro y activación de los servicios de suscripción” en la página 2-254.
http://update.juniper-updates.net/av/5gt
Internet
82 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
Servidor de
Dispositivo de seguridad Solicitud del archivo de firmas archivos de firmas
Internet
Archivo de firmas de virus Transferencia del archivo de firmas de virus Archivo de firmas de virus
WebUI
Security > Antivirus > Scan Manager: Introduzca los siguientes datos y haga
clic en Apply:
CLI
set av scan-mgr pattern-update-url http://update.juniper-updates.net/av/5gt
interval 120
save
Análisis antivirus 83
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
Security > Antivirus > Scan Manager: Introduzca los siguientes datos y haga
clic en Apply:
CLI
exec av scan-mgr pattern-update
Utilice get av all o get av scan-mgr para ver los ajustes del antivirus global en el
dispositivo.
Asignación de recursos de AV
Un usuario malicioso puede generar simultáneamente una gran cantidad de tráfico
en un intento de consumir todos los recursos disponibles y, por lo tanto, restringir la
capacidad del analizador AV de analizar otro tráfico. Para evitar que esto suceda, el
dispositivo de seguridad de Juniper Networks puede imponer un porcentaje
máximo de recursos de AV que el tráfico proveniente de un único origen puede
consumir en un momento determinado. De forma predeterminada, el porcentaje
máximo es del 70 por ciento. Este ajuste se puede cambiar a cualquier valor entre
1 y 100 por ciento; si se ajusta el 100 por ciento, no habrá ninguna restricción a la
cantidad de recursos de AV que pueda consumir el tráfico desde una ubicación
determinada.
WebUI
84 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
CLI
set av all resources número
unset av all resources
WebUI
Security > Antivirus > Global: Seleccione Fail Mode Traffic Permit para
permitir el tráfico sin examinar o borrarlo para bloquear el tráfico sin examinar,
luego haga clic en Apply.
CLI
set av all fail-mode traffic permit
unset av all fail-mode traffic
Análisis antivirus 85
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
Security > Antivirus > Scan Manager
O bien
CLI
unset av scan-mgr max-content-size drop
unset av scan-mgr max-msgs drop
HTTP Keep-Alive
El dispositivo de seguridad utiliza de forma predeterminada la opción de conexión
HTTP “keep-alive” (mantenimiento de conexión), la cual no envía un TCP FIN para
indicar el fin de la transmisión de datos. El servidor HTTP debe indicar de otra
forma que se han enviado todos los datos, ya sea enviando la longitud de los
contenidos en el encabezado HTTP o con alguna otra forma de codificación. El
método que se utilice dependerá del tipo de servidor. Este método hace que la
conexión TCP permanezca abierta mientras se realice el análisis antivirus, lo que
disminuye la latencia y mejora el rendimiento del procesador.
86 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
WebUI
Security > Antivirus > Global: Seleccione Keep Alive para poder utilizar la
opción de conexión “keep-alive” o anule la selección para utilizar la opción de
conexión “close”. A continuación, haga clic en Apply.
CLI
set av http keep-alive
unset av http keep-alive
WebUI
Security > Antivirus > Global: Seleccione la casilla de verificación “Trickling
Default” y haga clic en Apply.
CLI
set av http trickling default
WebUI
Security > Antivirus > Global: Introduzca los siguientes datos y haga clic
en Apply:
Trickling:
Custom: (seleccione)
Minimum Length to Start Trickling: número1.
Análisis antivirus 87
Manual de referencia de ScreenOS: Conceptos y ejemplos
CLI
set av http trickling threshold número1 segment-size número3 trickle-size número2
timeout número4
número2: El tamaño (en valor que no sea cero) en bytes del tráfico no
analizado que reenviará el dispositivo de seguridad.
NOTA: Los datos sometidos al proceso de goteo en el explorador del cliente aparecerán
como un pequeño archivo sin utilidad. Dado que el goteo funciona reenviando
pequeñas cantidades de datos a un cliente sin analizarlos, el código malicioso
podría encontrarse entre los datos que el dispositivo de seguridad ha enviado al
cliente por goteo. Recomendamos a los usuarios que eliminen esos archivos.
Puede desactivar el goteo HTTP por medio de la interfaz WebUI (Security >
Antivirus: Haga clic en Disable en la sección Trickling) o con el comando CLI
unset av http trickling enable. En cualquier caso, si el archivo que se va a
descargar supera los 8 MB y se ha desactivado el goteo de HTTP, es muy
probable que la ventana del explorador supere el tiempo de espera.
Perfiles de AV
Las directivas utilizan los perfiles de AV para determinar qué tráfico pasa por el
examen de AV y las acciones a tomar como resultado de este examen. ScreenOS
admite los siguientes tipos de perfiles:
Perfiles de AV predefinidos
88 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
WebUI
Policy > Policies: Haga clic en Edit en la directiva a la cual desea enlazar el
perfil de AV y seleccione el perfil bajo Antivirus Profile. Haga clic en OK.
CLI
device-> set policy id núm_directiva av ns-profile
Análisis antivirus 89
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
Security > Antivirus > Profile: Seleccione New e ingrese el nombre del perfil,
jnpr-profile, luego haga clic en OK.
CLI
set av profile jnpr-profile
device(av:jnpr-profile)->
WebUI
Security > Antivirus > Profile: Ingrese nombre_perfil, luego haga clic en OK.
CLI
set av profile jnpr-profile
(av:jnpr-profile)-> set http enable
(av:jnpr-profile-> set http timeout 300
(av:jnpr-profile)-> set ftp enable
(av:jnpr-profile)-> set ftp timeout 300
(av:jnpr-profile)-> set imap enable
(av:jnpr-profile)-> set imap timeout 300
90 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
NOTA: El analizador AV interno sólo examina patrones específicos de correo web HTTP.
Los patrones de los servicios de correo de Yahoo!, Hotmail y AOL están
predefinidos.
WebUI
Security > Antivirus > Select New e introduzca el nombre de perfil jnpr-profile.
Protocols to be scanned:
HTTP: (seleccione)
SMTP: (seleccione)
POP3: (anule la selección)
FTP: (anule la selección)
IMAP: (anule la selección)
CLI
set av profile jnpr-profile
(av:jnpr-profile)-> set smtp timeout 180
(av:jnpr-profile)-> set http timeout 180
(av:jnpr-profile)-> unset pop3 enable
(av:jnpr-profile)-> unset ftp enable
(av:jnpr-profile)-> unset imap enable
(av:jnpr-profile)-> exit
save
Análisis antivirus 91
Manual de referencia de ScreenOS: Conceptos y ejemplos
Ajustes de perfiles de AV
Las siguientes opciones de análisis están configuradas para cada protocolo de
aplicación:
Por ejemplo, si un mensaje contiene un archivo comprimido .zip que contiene otro
archivo comprimido .zip, hay dos capas de compresión y la descomprensión de
ambos archivos requiere de un ajuste de capa de descomprensión de 2.
WebUI
Security > Antivirus > Profile: Seleccione New o Edit para editar un perfil
existente. Actualice el valor de Decompress Layer a 2, luego haga clic en Apply.
CLI
set av profile jnpr-profile
(av:jnpr-profile)-> set smtp decompress-layer 2
92 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
Las listas de extensiones de archivo se utilizan para determinar qué archivos deben
pasar por el análisis AV para un protocolo específico. Puede seleccionar Include
(incluir) una lista de extensiones de los archivos y Exclude (excluir) una lista de
extensiones de los archivos para cada protocolo.
WebUI
Security > Antivirus > Ext-list >New > Introduzca el nombre de la lista de
extensiones (elist1) e introduzca la lista de extensiones (ace;arj;chm). Haga clic
en OK.
Security > Antivirus >Profile > Seleccione el perfil a Edit > Seleccione IMAP
> Seleccione las siguientes opciones, luego haga clic en OK:
Enable
Scan Mode: Scan by Extension
Exclude Extension List: elist1
CLI
set av extension-list elist1 ace;arj;chm
set av profile test1
(av:test1)-> set imap scan-mode scan-ext
(av:test1)-> set imap extension-list exclude elist1
Puede configurar el perfil de AV para que omita las listas de MIME que contienen los
tipos de MIME específicos. La lista MIME predefinida y predeterminada es
ns-skip-mime-list. La transferencia de archivos de Yahoo Messenger ignora las
extensiones de MIME especificados en la lista de MIME ya que la utiliza el protocolo
HTTP. Como parte de la operaicón HTTP GET/PUT, el encabezado del tipo de
contenido se especifica como texto o html para todos los archivos.
En este ejemplo, configurará el dispositivo de seguridad para que busque todos los
tipos de tráfico de HTTP sin tomar en cuenta los tipos de contenido de MIME.
Análisis antivirus 93
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
Security > Antivirus > Profile >Seleccione el perfil para la opción Edit >
Seleccione HTTP y elimine la selección de la opción Skipmime Enable. Haga
clic en OK.
CLI
set av profile jnpr-profile
(av:jnpr-profile)-> unset av http skipmime
(av:jnpr-profile)-> exit
save
Para obtener información adicional sobre los tipos de MIME, consulte el manual
ScreenOS CLI Reference Guide IPv4 Command Descriptions.
WebUI
Security > Antivirus > Profile > Selecciones el perfil a Edit > Seleccione
IMAP y luego haga clic en OK.
94 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
NOTA: El valor predeterminado para el tamaño del contenido del archivo descomprimido
es un valor por mensaje y no la suma del total de los mensajes simultáneos que se
están analizando.
WebUI
Security > Antivirus > Scan Manager: Introduzca los siguientes datos y haga
clic en OK:
Security > Antivirus > Profile: Seleccione Edit > HTTP: Introduzca los
siguientes datos y haga clic en OK:
El dispositivo puede utilizar dichas listas para filtrar las conexiones que
utilizan las nombres de dominios que parecen ser benignos o maliciosos.
Configuración básica
Los siguientes comandos proporcionan un ejemplo de la configuración antispam
básica en la cual se protege al servidor smtp (o servidor retransmisor) impidiendo
que reciba correo electrónico spam.
AS: anti spam result: action Tag email subject, reason: Match local blacklist
AS: anti spam result: action Pass, reason: Match local whitelist
Para obtener información sobre la creación de las listas negras o listas blancas,
consulte “Definición de una lista negra” en la página 98 y “Definición de una lista
blanca” en la página 98.
device(ns-profile)-> exit
device-> save
2. Proporcione el perfil de una entrada de lista negra que evite las conexiones con
el nombre de host www.wibwaller.com.
3. Salga del contexto de spam y aplique el perfil a una directiva existente (id 2).
2. Proporcione el perfil a una entrada de lista blanca que permita las conexiones
con el nombre de host www.fiddwicket.com.
3. Salga del contexto de spam y aplique el perfil a una directiva existente (id 2).
Para definir la acción predeterminada en caso de spam, realice las siguientes tareas.
2. Especifique que los mensajes de correo electrónico que parecen ser spam
incluyan la cadena “Esto es spam” en el encabezado del mensaje.
3. Salga del contexto de spam y aplique el perfil a una directiva existente (id 2).
3. Salga del contexto de spam y aplique el perfil a una directiva existente (id 2).
Filtrado de Web
El filtrado de Web le permite administrar el acceso a Internet impidiendo el acceso
a contenido Web inapropiado. ScreenOS proporciona dos soluciones de filtrado de
Web:
Integrado
NOTA: El filtrado de Web integrado requiere que se instale una clave de licencia en el
dispositivo de seguridad.
Reenvío
NOTA: Utilice el filtrado de Web integrado para administrar el tráfico HTTPS. El filtrado de
Web desviado no admite el tráfico HTTPS.
1. Seleccionar el protocolo.
Por ejemplo, el comando set url protocol type { sc-cpa | scfp | websense }
selecciona el protocolo.
La Tabla 3 muestra los comandos para entrar y salir de los tres diferentes modos de
filtrado de Web.
Una categoría de URL es una lista de URL organizadas por contenido. Los
dispositivos de seguridad utilizan las categorías URL predefinidas de SurfControl
para determinar la categoría de una URL solicitada. Los servidores de la autoridad
del portal de contenido (CPA) de SurfControl mantienen las bases de datos más
grandes de todos los tipos de contenido de web clasificado en unas 40 categorías.
Una lista parcial de categorías URL se muestra en la “Definición de categorías URL
(opcional)” en página 104.
Para obtener una lista completa de las categorías URL de SurfControl, visite el sitio
Web de SurfControl en http://www.surfcontrol.com. Adicionalmente a las categorías
de URL predefinidas de SurfControl, también se pueden agrupar las URL y crear
categorías de acuerdo con sus necesidades. Para obtener más información sobre
cómo crear categorías definidas por el usuario, consulte “Definición de categorías
URL (opcional)” en página 104.
Esta sección trata sobre los siguientes temas de filtrado de Web integrado:
Servidores de SurfControl
SurfControl tiene tres centros de servidores, cada una de las cuales sirve a un área
geográfica específica: América, Pacífico del Asia y Europa/Medio Este/África. El
servidor predeterminado principal es el de América, y el servidor de respaldo
predeterminado es Asia-Pacífico. Puede cambiar el servidor principal y el
dispositivo de seguridad selecciona automáticamente un servidor de respaldo,
basado en el servidor principal. (El servidor de Asia-Pacífico es el respaldo para el
servidor de América, el cual es el respaldo para los otros dos servidores).
WebUI
Security > Web Filtering > Protocol Selection > Seleccione Integrated
(SurfControl) y luego haga clic en Apply.
CLI
device-> set url protocol sc-cpa
device(url:sc-cpa)-> set caché size 500
device(url:sc-cpa)-> set caché timeout 18
device(url:sc-cpa)-> exit
device-> save
WebUI
Security > Web Filtering > Protocol Selection: Seleccione Integrated
(SurfControl), luego haga clic en Apply. Luego seleccione Enable Web Filtering
via CPA Server, y nuevamente haga clic en Apply.
CLI
device-> set url protocol type sc-cpa
device-> set url protocol sc-cpa
device(url:sc-cpa)-> set enable
device(url:sc-cpa)-> exit
device-> save
El indicativo device(url:sc-cpa)-> le avisa de que ha introducido el contexto de
filtrado de Web integrado y puede ahora configurar los parámetros de filtrado de
Web integrado.
Para ver la lista de categorías URL predefinidas por SurfControl, realice lo siguiente:
WebUI
Security > Web Filtering > Profiles > Predefined category
CLI
device-> set url protocol type sc-cpa
device-> set url protocol sc-cpa
device(url:sc-cpa)-> get category pre
Muchos sitios tienen direcciones IP dinámicas, lo que significa que sus direcciones
IP cambian periódicamente. Un usuario que intenta acceder a un sitio puede
escribir una dirección IP que no está en la lista captada en el dispositivo. Por lo
tanto, si conoce las direcciones IP de los sitios que está agregando a una categoría,
introduzca la URL y las direcciones IP del sitio.
NOTA: Si una URL está en la categoría definida por el usuario y en una categoría
predefinida, el dispositivo compara la URL con la categoría definida por el usuario.
WebUI
Security > Web Filtering > Profiles > Custom > New: Introduzca los
siguientes datos y haga clic en Apply:
URL: www.juegos2.com
CLI
device-> set url protocol sc-cpa
device(url:sc-cpa)-> set category ompetidores url www.juegos1.com
device(url:sc-cpa)-> set category competidores url www.juegos2.com
device(url:sc-cpa)-> exit
device-> save
Black List: El dispositivo de seguridad bloquea siempre el acceso a los sitios que
aparecen en esta lista. Puede crear una categoría definida por el usuario o
utilizar una categoría definida previamente.
WebUI
Security > Web Filtering > Profiles > Predefined
CLI
device-> set url protocol sc-cpa
device(url:sc-cpa)-> get profile ns-profile
Category Action
Advertisements block
Arts & Entertainment permit
Chat permit
Computing & Internet permit
.
.
.
Violence block
Weapons block
Web-based Email permit
other permit
WebUI
Security > Web Filtering > Profiles > Custom: ns-profile: Seleccione Clone.
También puede crear su propio perfil de filtrado de Web. Cuando crea un perfil de
filtrado de Web, puede:
WebUI
Security > Web Filtering > Profiles > Custom > New: Introduzca los
siguientes datos y haga clic en Apply:
CLI
device-> set url protocol type sc-cpa
device-> set url protocol sc-cpa
device(url:sc-cpa)-> set profile mi-perfil other permit
device(url:sc-cpa)-> set profile mi-perfil competidores block
device(url:sc-cpa)-> exit
device-> save
1. Lista negra
2. Lista blanca
Petición de HTML
S S S S
Bloquear URL Permitir URL Bloquear/Permitir según se defina Bloquear/Permitir según se defina
WebUI
1. Filtrado de Web
Security > Web Filtering > Protocol > Seleccione Integrated (SurfControl) y
luego haga clic en Apply. Luego, seleccione Enable Web Filtering via CPA
Server y nuevamente haga clic en Apply.
2. Categoría de URL
Security > Web Filtering > Profile > Custom List > New: Introduzca los
siguientes datos y haga clic en Apply:
URL: www.comp2.com
3. Perfil de filtrado de Web
Security > Web Filtering > Profile > Custom Profile > New: Introduzca los
siguientes datos y haga clic en Apply:
4. Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
Web Filtering: (seleccione), mi-perfil
Action: Permit
CLI
1. Filtrado de Web
device-> set url protocol sc-cpa
device(url:sc-cpa)-> set enable
2. Categoría de URL
device(url:sc-cpa)-> set category competidores url www.comp1.com
device(url:sc-cpa)-> set category competidores url www.comp2.com
3. Perfil de filtrado de Web
device(url:sc-cpa)-> set profile mi-perfil other permit
device(url:sc-cpa)-> set profile mi-perfil competidores block
device(url:sc-cpa)-> exit
4. Directiva de cortafuegos
device-> set policy id 23 from trust to untrust any any http permit url-filter
device-> set policy id 23
device(policy:23)-> set url protocol sc-cpa profile mi-perfil
device(policy:23)-> exit
device-> save
De forma alterna, los dispositivos con sistemas virtuales que utilizan los servidores
de filtrado de Web Websense pueden compartir los ocho servidores de Websense,
y no solamente el servidor raíz. Cada servidor de Websense puede admitir un
número ilimitado de sistemas virtuales, lo que le permite equilibrar la carga de
tráfico entre los ocho servidores.
1. Crear un nombre de cuenta para cada vsys. Utilizar el siguiente comando CLI:
Cuando un host en un vsys envía una petición URL, ésta incluye el nombre de
cuenta. Este nombre activa el servidor Websense para que identifique que vsys
envió la petición URL.
2. Configure los mismos ajustes del servidor de filtrado de Web y los parámetros
de nivel del sistema para cada vsys que comparte un servidor de filtrado de
Web Websense. La siguiente sección contiene información sobre la
configuración de los parámetros y ajustes de filtrado de Web.
Servidor Websense
WebUI
Security > Web Filtering > Protocol > Seleccione Redirect (Websense) o
Redirect (SurfControl), luego haga clic en Apply.
CLI
Introduzca el contexto de filtrado de Web para SurfControl (scfp) o Websense
(websense). Para obtener más información, consulte “Uso de la CLI para iniciar
los modos de filtrado de Web” en página 100.
Una vez que haya configurado los nombres de los vsys, defina los ajustes para el
servidor de filtrado de Web y los parámetros para el comportamiento que desea
que tome el dispositivo de seguridad cuando aplique el filtrado de Web. Si configura
estos ajustes en el sistema raíz, también se aplicarán a cualquier vsys que comparta
la configuración de filtrado de Web con el sistema raíz. Para un vsys, los
administradores raíz y vsys deben configurar de forma separada los ajustes. Los
sistemas virtuales que comparten el mismo servidor de filtrado de Web Websense
debe tener los mismos ajustes de filtrado de Web.
WebUI
Security > Web Filtering > Protocol > Seleccione Redirect (Websense) o
Redirect (SurfControl), y luego haga clic en Apply.
Habilite la casilla de verificación de filtrado de Web.
CLI
device-> set url protocol type { websense | scfp }
device-> set url protocol { websense | scfp }
device(url:scfp)-> set config enable
Cuando el filtrado de Web está activo en el nivel de sistema, las peticiones HTTP se
redireccionan a un servidor Websense o SurfControl. Esta acción permite al
dispositivo revisar todo el tráfico HTTP para las directivas (definidas en ese sistema)
que requiere el filtrado de Web. Si deshabilita el filtrado de Web en el nivel de
sistema, el dispositivo ignora el componente de filtrado de Web en las directivas y
las considerará como directivas de “permiso”.
NOTA: Si selecciona Juniper Networks, algunas de las funciones que ofrece Websense,
como el desvío, quedarán suprimidas.
WebUI
Security > Web Filtering > Protocol > Seleccione Redirect (Websense) o Redirect
(SurfControl), luego haga clic en Apply.
CLI
device-> set url protocol type { websense | scfp }
device-> set url protocol { websense | scfp }
device(url:scfp)-> set fail-mode permit
device(url:scfp)-> set deny-message use-server
Para habilitar el filtrado de Web en una directiva, utilice uno de los siguientes:
WebUI
Policy > Policies > Haga clic en Edit (edite la directiva que desee que el filtrado
de Web aplique), luego seleccione la casilla de verificación Web Filter.
Seleccione el perfil de filtrado de Web en el cuadro desplegable.
CLI
set policy from zone to zona dir_orig dir_dest servicio permit url-filter
NOTA: El dispositivo informa sobre el estado del servidor Websense o SurfControl. Para
actualizar el informe de estado, haga clic en el icono Server Status en WebUI:
Security > Web Filtering > Protocol > Seleccione Redirect (Websense) o Redirect
(SurfControl), luego haga clic en Apply.
2. Habilitar el filtrado de Web a todo el tráfico HTTP saliente desde los hosts
situados en la zona Trust hacia hosts en la zona Untrust. Si el dispositivo pierde
la conectividad con el servidor de filtrado de Web, el dispositivo permite el
tráfico HTTP saliente. Si un cliente HTTP solicita el acceso a una URL prohibida,
el dispositivo envía el siguiente mensaje: “Lo sentimos, la dirección URL
solicitada está prohibida. Póngase en contacto con
ntwksec@mycompany.com.”
WebUI
1. Interfaces
Network > Interfaces > List >Edit (para ethernet1): Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > List >Edit (para ethernet3): Introduzca los siguientes
datos y haga clic en OK:
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
Action: Permit
Web Filtering: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Servidor de filtrado de Web
device-> set url protocol type scfp
device-> set url protocol scfp
device(url:scfp)-> set server 10.1.2.5 62252 10
device(url:scfp)-> set fail-mode permit
device(url:scfp)-> set deny-message “Lo sentimos, la dirección URL solicitada está
prohibida. Póngase en contacto con ntwksec@mycompany.com.”
device(url:scfp)-> set config enable
3. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.1.2.0/24 interface ethernet1 gateway 10.1.1.250
4. Directiva
set policy from trust to untrust any any http permit url-filter
save
119
Manual de referencia de ScreenOS: Conceptos y ejemplos
Vista general
Deep Inspection (DI) es un mecanismo para filtrar el tráfico permitido por el
cortafuegos de Juniper Networks. DI examina los encabezados de los paquetes de la
capa 3 y la capa 4, así como las características del protocolo y el contenido a nivel
de aplicación de la capa 7 para detectar e impedir cualquier ataque o
comportamiento anómalo que pueda presentarse. La Figura 43 muestra la manera
en la cual pasa un paquete por la inspección de la capa 3.
Realizar acción de
respuesta al ataque
No No
Reenviar el paquete
NOTA: La función Deep Inspection (DI) está disponible después que el usuario obtiene y
descarga una clave de licencia de modo avanzado. (Si se actualiza a partir de una
versión anterior a la 5.0.0 de ScreenOS, el modo automáticamente se convierte en
“avanzado”. En este caso, no se necesita la clave de licencia de modo avanzado).
Para poder descargar paquetes de firmas del servidor de base de datos primero es
necesario suscribirse al servicio. Para obtener más información, consulte “Registro
y activación de los servicios de suscripción” en la página 2-254.
Examinar los valores del encabezado y los datos de carga en busca de firmas
completas de ataque
IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO
Datos de carga Datos de carga
set policy id 1 from untrust to dmz any websrvl http permit attack HIGH:HTTP action close
NOTA: El símbolo de la línea de comandos cambia para indicar que el siguiente comando
se ejecutará dentro de un contexto de directiva determinado.
device-> set policy id 1 from untrust to dmz any websrv1 http permit attack
CRITICAL:HTTP:ANOM action close
device-> set policy id 1
device(policy:1)-> set dst-address websrv2
device(policy:1)-> set service https
device(policy:1)-> set attack CRITICAL:HTTP:SIGS action close-server
device(policy:1)-> set attack HIGH:HTTP:ANOM action drop
device(policy:1)-> set attack HIGH:HTTP:SIGS action close-server
device(policy:1)-> exit
device-> save
NOTA: Puede especificar una acción de ataque diferente para cada grupo de objetos de
ataque en una directiva. Si el dispositivo de seguridad detecta simultáneamente
ataques múltiples, aplica la acción más grave, que en el ejemplo anterior es
“close”. Para obtener información sobre las siete acciones de ataque, que incluyen
los niveles de gravedad, consulte “Acciones de ataque” en la página 143.
1.Debido a la asignación de memoria que se requiere para las nuevas mejoras, únicamente se proporcionan las firmas de DI de
gravedad crítica en los dispositivos NS-5XT/GT.
3. Verificar que el reloj del sistema y los ajustes del sistema de nombres de
dominio (DNS) en su dispositivo estén a la hora exacta.
WebUI
Configuration > Date/Time
Observe que esta opción únicamente está disponible después de descargar una
clave de suscripción a Deep Inspection.
NOTA: Después de descargar el paquete de firmas por primera vez, se debe restablecer el
dispositivo de seguridad. A partir de entonces, después de cada descarga, no es
necesario restablecer el dispositivo.
Actualización inmediata
La opción Immediate Update permite actualizar el paquete de firmas en el
dispositivo de seguridad inmediatamente con el almacenamiento del paquete de
firmas en el servidor de la base de datos. Para que esta operación funcione, primero
debe configurar los ajustes del servidor de la base de datos de objetos de ataque.
Internet
WebUI
Configuration > Update > Attack Signature:
Signature Pack: Client
Haga clic en el botón Update Now.
CLI
set attack db sigpack client
exec attack-db update
Loading attack database.............
Done.
Done.
Switching attack database...Done
Saving attack database to flash...Done.
Actualización automática
La opción Automatic Update, descarga el paquete de firmas en horas que el
usuario programa, siempre que la base de datos del servidor sea una versión más
reciente que la cargada anteriormente en el dispositivo. Juniper Networks actualiza
el paquete de firmas periódicamente con nuevos patrones de ataque recién
descubiertos. Por lo tanto, debido a su naturaleza cambiante, también se debe
actualizar el paquete de firmas en su dispositivo de seguridad periódicamente. Para
que esta operación funcione, primero debe configurar los ajustes del servidor de la
base de datos de objetos de ataque.
Por ejemplo, seleccione Server para actualizar el paquete de firmas del servidor.
Consulte la Tabla 6 en la página 125 para encontrar una lista de paquetes de firmas
predefinidas y las URL correspondientes.
S M T W T F S
Internet
WebUI
Configuration > Update > Attack Signature: Introduzca los siguientes datos y
haga clic en OK:
CLI
set attack db sigpack server
set attack db mode update
set attack db schedule weekly monday 04:00
save
Cuando reciba un aviso de que la base de datos del servidor se actualizó, haga clic
en el botón Update Now de la página Configuration > Update > Attack Signature
de WebUI o ejecute el comando exec attack-db update para guardar la base de
datos del servidor en el dispositivo.
Por ejemplo, para actualizar el paquete de firmas del cliente realice lo siguiente.
Consulte la Tabla 6 en la página 125 para encontrar una lista de paquetes de firmas
predefinidas y las URL correspondientes.
S M T W T F S
Internet
https://services.juniper
.com/restricted/sigupdates
Base de datos de 2. Actualización inmediata de la Base de datos de
objetos de ataque base de datos objetos de ataque
WebUI
1. Comprobación programada de la base de datos
Configuration > Update > Attack Signature: Introduzca los siguientes datos y
haga clic en OK:
CLI
1. Comprobación programada de la base de datos
set attack db sigpack client
set attack db mode notification
set attack db schedule daily 07:00
2. Actualización inmediata de la base de datos
Cuando reciba un aviso de que la base de datos de ataques del servidor está
más actualizada que la del dispositivo de seguridad, realice lo siguiente:
Actualización manual
La opción Manual Update, permite utilizar primero un explorador para descargar el
paquete de firmas a un directorio local o al directorio del servidor TFTP.
A continuación puede cargar el paquete de firmas en el dispositivo de seguridad
mediante WebUI (desde el directorio local) o mediante CLI (desde el directorio del
servidor TFTP).
NOTA: Antes de realizar una actualización inmediata de la base de datos, puede utilizar el
comando exec attack-db check para comprobar si la base de datos de objetos de
ataque en el servidor es más reciente que la que se encuentra en el dispositivo de
seguridad.
Tipo de plataforma
Para actualizar manualmente las firmas de DI, debe agregar estos elementos por su
cuenta. En este ejemplo, el número de serie es 0043012001000213, la versión de
ScreenOS es 5.4 y la plataforma es NetScreen-208 (ns200). Por lo tanto, la URL
resultante es:
https://services.netscreen.com/restricted/sigupdates/5.4/ns200/attacks.bin?s
n=0043012001000213
Internet
2. Actualización
manual de la URL = https://services.netscreen.com/
Base de datos de base de datos Base de datos de /restricted/sigupdates/5.4/ns200/attacks
objetos de ataque objetos de ataque .bin?sn=0043012001000213
Admin: 10.1.1.5
C:\netscreen\attacks-db C:\Archivos de
programa\TFTP Server
https://services.netscreen.com/restricted/sigupdates/5.4/ns200/attacks.bin?s
n=0043012001000213
O bien
CLI
save attack-db from tftp 10.1.1.5 attacks.bin to flash
SYN
SYN/ACK
ACK
IP ORIG Coincide
IP DEST PTO ORIG PTO DEST PROTO
1.1.1.3 1.2.2.5 25611 80 HTTP
Carga: … revlog/.
RST RST
set policy id 2 from trust to untrust any any smtp permit attack CRIT:SMTP:SIGS action
close
set policy id 2 from trust to untrust any any smtp permit attack CRIT:POP3:SIGS action
close
Protocolos admitidos
El módulo Deep Inspection (DI) admite los objetos de ataque de firmas completas y
objetos de ataque de anomalías de protocolos para los siguientes protocolos y
aplicaciones:
Anomalía
Firmas en el
Protocolo completas protocolo Definición
DNS Sí Sí Sistema de nombres de dominio (DNS) es un sistema de base de datos para
traducir nombres de dominios a direcciones IP, como
www.juniper.net = 207.17.137.68.
FTP Sí Sí El protocolo de transferencia de archivos (FTP) es un protocolo para intercambiar
archivos entre equipos a través de una red.
HTTP Sí Sí El protocolo de transferencia de hipertexto (HTTP) es un protocolo que se utiliza
principalmente para transferir información de servidores web a clientes web.
IMAP Sí Sí El protocolo de acceso de correo electrónico de Internet (IMAP) es un protocolo
que proporciona servicios de recuperación y almacenamiento de correos
electrónicos entrantes con la opción de que los usuarios puedan descargar sus
correos electrónicos o dejarlos en el servidor IMAP.
NetBIOS Sí Sí NetBIOS (Sistema básico de entrada/salida de red) es una interfaz de aplicación
que le permite a las aplicaciones de las estaciones de trabajo de los usuarios
obtener acceso a los servicios de red proporcionados por los transportes de red
como NetBEUI, SPX/IPX y TCP/IP.
POP3 Sí Sí El protocolo de oficina de correo, versión 3 (POP3) es un protocolo que
proporciona servicios de recuperación y almacenamiento de correo electrónico
entrante.
SMTP Sí Sí Protocolo simple de transferencia de correo electrónico (SMTP) es un protocolo
que se utiliza para la transferencia de correo electrónico entre servidores de
correo electrónico.
Chargen Sí Sí Protocolo generador de caracteres
Anomalía
Firmas en el
Protocolo completas protocolo Definición
DHCP Sí Sí El protocolo de configuración dinámica de host se utiliza para controlar los
parámetros de red má simportantes para los hosts (que ejecutan clientes) con la
ayuda de un servidor. DHCP es compatible con versiones anteriores de BOOTP.
Discard Sí Sí El protocolo de descartar es una herramienta útil de medición y depuración. Es un
servicio que descarta todos los datos que recibe al eliminarlos simplemente.
Echo Sí Sí El protocolo de eco es un protocolo de Internet diseñado para propósitos de
evaluación y medición. Un host puede conectarse a un servidor que admite el
protocolo de ECHO en un puerto 7 TCP o UDP, tras lo cual el servidor devuelve
cualquier dato que recibe.
Finger Sí Sí El protocolo de información de usuario Finger es un protocolo simple que
proporciona una interfaz a un programa de información de usuarios remoto.
Gopher Sí Sí Gopher es un protocolo de Internet diseñado para la búsqueda y recuperación de
documentos distribuidos.
ICMP Sí Sí El protocolo de mensajes de control de Internet es un protocolo reglamentario
estrechamente integrado con IP. Los mensajes de ICMP, entregados en paquetes
de IP, se utilizan para mensajes fuera de banda que están relacionados con el
funcionamiento de la red.
IDENT Sí Sí El protocolo de identificación proporciona un medio para determinar la identidad
de un usuario de una conexión TCP determinada.
LDAP Sí Sí El protocolo ligero de acceso a directorios es un conjunto de protocolos para
obtener acceso a directorios de información.
LPR Sí Sí Bobina de la impresora de línea
NFS Sí Sí El protocolo del sistema de archivos en red (NFS) proporciona acceso remoto
transparente a los archivos compartidos a través de las redes. El protocolo de NFS
está diseñado para que pueda moverse a través de diferentes máquinas, sistemas
operativos, arquitecturas de red y protocolos de transporte.
NNTP Sí Sí El protocolo de transferencia de noticias en red especifica un protocolo para la
distribución, exploración, recuperación y envío de artículos de noticias, por
medio del uso de una transmisión de noticias fiable basada en secuencias.
NTP Sí Sí El protocolo de hora de la red y el protocolo simple de hora de la red se utilizan
para sincronizar la hora del servidor o del equipo de clientes con otro servidor o
fuente de tiempo de referencia, como una radio o un módem o receptor de
satélite.
Portmapper Sí Sí El protocolo del programa de asignación de puertos asigna los números de
versión y de programa de RPC para trasladar números de puertos específicos.
RADIUS Sí Sí Servicio remoto de autentificación de usuarios de acceso telefónico, es un sistema
contable y de autenticación que utilizan muchos proveedores de servicio de
Internet (ISP).
rexec Sí Sí Ejecución remota
rlogin Sí Sí El inicio de sesión remoto se produce cuando un usuario se conecta a un host de
Internet para utilizar su interfaz nativa de usuario.
rsh Sí Sí Entorno remoto
RTSP Sí Sí El protocolo de secuencia en tiempo real es un protocolo de nivel de aplicación
del cliente al servidor que se utiliza para controlar la entrega de datos a través de
propiedades en tiempo real. Establece y controla secuencias sincronizadas en una
sola hora o en varias horas de medios continuos, como audio y vídeo.
Anomalía
Firmas en el
Protocolo completas protocolo Definición
SNMPTRAP Sí Sí El protocolo simple de administración de red es una aplicación SNMP que utiliza
el funcionamiento de captura SNMP para enviar información al administrador de
red.
SSH Sí Sí El protocolo de entorno seguro es un protocolo que se utiliza para iniciar una
sesión remota segura y otros servicios seguros de red a través de una red
insegura.
SSL Sí Sí El nivel de sockets seguro (protocolo SSL) es un protocolo que se utiliza para
transmitir documentos privados por medio del Internet con el uso de un sistema
criptográfico.
syslog Sí Sí El protocolo de registro del sistema se utiliza para la transmisión de mensajes de
información de eventos a través de las redes.
Telnet Sí Sí El protocolo de Telnet es un programa de emulación de terminal para redes
TCP/IP. Este protocolo le permite comunicarse con otros servidores en la red.
TFTP Sí Sí El protocolo trivial de transferencia de archivos es un protocolo simple que se
utiliza para transferir archivos. TFTP utiliza el protocolo de datagrama de usuario
(UDP) y no proporciona ninguna función de seguridad.
VNC Sí Sí El cálculo virtual de red es un protocolo de escritorio para controlar de forma
remota otro equipo.
Whois Sí Sí El protocolo de servicios de directorio de red es una transacción de TCP con base
en un servidor de consulta/respuesta que proporciona un servicio de directorio en
toda la red a los usuarios de Internet.
Anomalía
Firmas en el
Protocolo completas protocolo Definición
AIM Sí Sí Mensajería inmediata de America Online (AIM) es la aplicación de mensajería
inmediata para America Online.
MSN Messenger Sí Sí Microsoft Network Messenger (MSN Messenger) es el servicio de mensajería
inmediata que proporciona Microsoft.
Yahoo! Yahoo! Sí Sí Yahoo! Messenger es el servicio de mensajería inmediata que proporciona Yahoo!
IRC Sí Sí El chat de retransmisión de Internet es un protocolo que se basa en la
visualización de texto, siendo el cliente más simple cualquier programa de socket
con la habilidad de conectarse al servidor.
Anomalía
Firmas en el
Protocolo completas protocolo Definición
eDonkey Sí No eDonkey es una aplicación de reparto de archivos de P2P descentralizada que
utiliza el protocolo de transferencia de archivos de múltiples fuentes (MFTP). La
red Donkey admite dos clases de aplicaciones: clientes y servidores. Los clientes
se conectan a la red y comparten archivos. Los servidores actúan como
concentradores de reunión para los clientes.
Gnutella Sí Sí Gnutella es una aplicación y protocolo P2P para compartir archivos que no
incluye ningún servidor centralizado. Algunas otras aplicaciones que utilizan el
protocolo Gnutella son: BearShare, Limewire, Morpheus y ToadNode.
KaZaa Sí No KaZaa es una aplicación P2P descentralizada para compartir archivos que utiliza
el protocolo FastTrack. KaZaa se utiliza principalmente para compartir archivos
MP3.
MLdonkey Sí No MLdonkey es una aplicación de cliente de P2P que se puede ejecutar en múltiples
plataformas y puede obtener acceso a múltiples redes de P2P, como BitTorrent,
DC, eDonkey, FastTrack (KaZaa, entre otros), así como Gnutella y Gnutella2.
Skype Sí No Skype es un servicio telefónico gratis de Internet P2P que permite a los usuarios
hablar entre ellos a través de una red TCP/IP como Internet.
SMB Sí Sí SMB (bloque de mensaje del servidor) es un protocolo que se utiliza para
compartir recursos como archivos e impresoras entre equipos. SMB funciona en
control del protocolo NetBIOS.
WinMX Sí No WinMX es una aplicación P2P para compartir archivos que permite que un
cliente se conecte a varios servidores a la vez.
NOTA: Varias de las aplicaciones de P2P enumeradas, utilizan sus propios protocolos
patentados.
Anomalía
Firmas en el
Protocolo completas protocolo Definición
MSRPC Sí Sí MSRPC (llamada del procedimiento remoto de Microsoft) es un mecanismo que
se utiliza para llevar a cabo procesos en equipos remotos.
http://help.juniper.net/sigupdates/english/AIM.html
http://help.juniper.net/sigupdates/english/DNS.html
http://help.juniper.net/sigupdates/english/FTP.html
http://help.juniper.net/sigupdates/english/GNUTELLA.html
http://help.juniper.net/sigupdates/english/HTTP.html
http://help.juniper.net/sigupdates/english/IMAP.html
http://help.juniper.net/sigupdates/english/MSN.html
http://help.juniper.net/sigupdates/english/NBDS.html
http://help.juniper.net/sigupdates/english/NBNAME.html
http://help.juniper.net/sigupdates/english/POP3.html
http://help.juniper.net/sigupdates/english/SMTP.html
http://help.juniper.net/sigupdates/english/MSRPC.html
http://help.juniper.net/sigupdates/english/SMB.html
http://help.juniper.net/sigupdates/english/YMSG.html
Cada uno de las URL anteriores está vinculada a una página de HTML que contiene
una lista de todos los objetos de ataque predefinidos (agrupados por gravedad) para
un protocolo determinado. Para consultar la descripción de un objeto de ataque,
haga clic en su nombre.
Firmas completas
Una firma de ataque es un patrón que aparece cuando se está produciendo la
explotación de una determinada vulnerabilidad. La firma puede ser un patrón de
tráfico de capa 3 ó 4, como cuando una dirección envía muchos paquetes a
diversos números de puerto de otra dirección (consulte “Barrida de puertos” en la
página 9) o un patrón textual, como cuando aparece una cadena de URL maliciosa
en los datos transportados de un único paquete de HTTP o FTP. La cadena también
puede ser un segmento de código específico o un valor determinado en el
encabezado del paquete. Sin embargo, cuando el módulo Deep Inspection (DI) de
un dispositivo de seguridad busca un patrón textual, busca algo más que sólo una
firma en un paquete; busca la firma en una porción muy concreta del mismo
(incluso aunque esté fragmentado o segmentado), en todos los paquetes enviados
en un determinado momento durante la vida de la sesión, y enviados por el
iniciador de la conexión o por el dispositivo que responde.
NOTA: Dado que el módulo DI admite expresiones regulares, puede utilizar comodines en
la búsqueda de patrones. De este modo, una sola definición de firma de ataque
puede aplicarse a múltiples variaciones del patrón de ataque. Para obtener más
información sobre expresiones regulares, consulte “Expresiones regulares” en la
página 161.
Cuando el módulo DI busca un patrón textual, tiene en cuenta los papeles de los
participantes (cliente o servidor) y supervisa el estado de la sesión para limitar su
búsqueda sólo a los elementos afectados por la explotación de la vulnerabilidad
para la que los hackers utilizan el patrón. El uso de información contextual para
refinar el análisis de paquetes reduce significativamente las falsas alarmas (o “falsos
positivos”) y evita el procesamiento innecesario. El término “firmas completas”
destaca este concepto de buscar firmas en los contextos de los papeles de los
participantes y en el estado de la sesión.
Para averiguar qué ventaja tiene considerar el contexto en el que se produce una
firma, observe la manera en la cual el módulo DI examina los paquetes cuando está
habilitado para detectar el ataque “EXPN Root”. Los hackers utilizan el ataque
“EXPN Root” para ampliar y exponer las listas de distribución de un servidor de
correo. Para detectar el ataque “EXPN Root”, el dispositivo de seguridad busca la
firma “expn root” en la porción de control de una sesión del protocolo simple de
transferencia de correo (SMTP). El dispositivo examina solamente la porción de
control porque el ataque sólo puede producirse ahí. Si “expn root” ocurre en
cualquier otra porción de la sesión, no es un ataque.
NOTA: Para obtener una lista de los protocolos para los que existen objetos de ataque de
firmas completas predefinidas, consulte “Protocolos admitidos” en la página 133.
NOTA: Las firmas de secuencias TCP sólo se pueden definir en sistemas de gama alta.
Anomalías en el protocolo
Los objetos de ataque que buscan anomalías en los protocolos detectan el tráfico
que no cumple con los estándares definidos en las normas RFC y extensiones
comunes de RFC. Con los objetos de ataque de firma se debe utilizar un patrón
predefinido o crear uno nuevo; por lo tanto, sólo se pueden detectar ataques
conocidos. La detección de anomalías en los protocolos es particularmente útil para
detectar nuevos ataques o aquéllos que no se pueden definir con un patrón textual.
NOTA: Para obtener una lista de los protocolos para los que existen objetos de ataque de
anomalías del protocolo predefinidas, consulte “Protocolos admitidos” en la
página 133.
WebUI
Policies > Edit (para una directiva existente): Ejecute el siguiente
procedimiento y después haga clic en OK:
CLI
device-> set policy id número
device(policy:número)-> set di-severity { info | low | medium | high | critical }
WebUI
Policies > Edit (para una directiva existente): Ejecute el siguiente
procedimiento y después haga clic en OK:
CLI
device-> set policy id número
device(policy:número)-> unset di-severity
HIGH:HTTP:SIGS
INFO:GNUTELLA:ANOM
INFO:HTTP:SIGS
NOTA: Por razones de seguridad, no se define una directiva que permita a todos los hosts
en la zona Untrust iniciar una sesión P2P con un host en la zona Trust.
NOTA: Para obtener información sobre las diversas acciones de ataque que puede
ejecutar el dispositivo de seguridad, consulte “Acciones de ataque” en la
página 143. Para obtener información sobre el registro de ataques detectados,
consulte “Registro de ataques” en la página 154.
WebUI
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: DNS
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Severity: Default
Group: HIGH:HTTP:SIGS
Action: Close Client
Log: (seleccione)
Severity: Default
Group: INFO:GNUTELLA:ANOM
Action: Close Client
Log: (seleccione)
Severity: Default
Group: INFO:HTTP:SIGS
Action: Close Client
Log: (seleccione)
CLI
set policy id 1 from trust to untrust any any dns permit attack
HIGH:HTTP:SIGS action close-client
set policy id 1
device(policy:1)-> set service gnutella
device(policy:1)-> set service http
device(policy:1)-> set attack INFO:GNUTELLA:ANOM action close-client
device(policy:1)-> set attack INFO:HTTP:SIGS action close-client
device(policy:1)-> exit
save
WebUI
Objects > Attacks > Predefined Desactive la casilla de verificación en la
columna Configure para el objeto de ataque que desee desactivar.
CLI
set attack disable nombre_ataque_objeto
WebUI
Objects > Attacks > Predefined Seleccione la casilla de verificación en la
columna Configure para el objeto de ataque que desee habilitar.
CLI
unset attack disable nombre_ataque_objeto
Acciones de ataque
Cuando el dispositivo de seguridad detecta un ataque, ejecuta la acción que se
especificó para el grupo de ataque que contiene el objeto que coincide con el
ataque. Las siete acciones son las siguientes, organizadas de la más a la menos
severa:
Utilice esta opción para conexiones TCP salientes desde un cliente protegido
hacia un servidor no fiable. Si, por ejemplo, el servidor envía una cadena URL
maliciosa, el dispositivo de seguridad interrumpe la conexión y envía un RST
sólo al cliente para que borre sus recursos mientras el servidor queda a la
espera.
Utilice esta opción para conexiones UDP u otras conexiones no TCP, como DNS.
El dispositivo de seguridad descarta todos los paquetes en una sesión, pero no
envía RST de TCP.
Esta opción descarta el paquete en el que se detecta una firma de ataque o una
anomalía de protocolo, pero no termina la sesión propiamente dicha. Utilice
esta opción de descartar paquetes mal formados sin interrumpir la sesión
entera. Por ejemplo, si el dispositivo de seguridad detecta una firma de ataque
o anomalía de protocolo procedente de un proxy de AOL, descartar todo
interrumpiría todos los servicios de AOL. En lugar de ello, al descartar
únicamente el paquete, se detiene el paquete problemático sin detener el flujo
del resto de paquetes.
Se puede crear una directiva que haga referencia a múltiples grupos de objetos de
ataque, cada grupo con una acción diferente. Si el dispositivo de seguridad detecta
simultáneamente múltiples ataques que pertenecen a diferentes grupos de objetos
de ataque, éste aplica la acción más severa especificada por uno de dichos grupos.
CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS
HIGH:HTTP:ANOM, HIGH:HTTP:SIGS
MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS
CRITICAL:FTP:SIGS
CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS
HIGH:HTTP:ANOM, HIGH:HTTP:SIGS
MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS
CRITICAL:FTP:SIGS
Decide interrumpir la conexión y enviar una notificación RST de TCP tanto a los
clientes como a los servidores protegidos para que ambos puedan terminar sus
sesiones y borrar sus recursos independientemente del nivel de gravedad del
ataque.
CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS
HIGH:HTTP:ANOM, HIGH:HTTP:SIGS
MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS
CRITICAL:FTP:SIGS
Optará por interrumpir la conexión y enviar una notificación RST de TCP a los
clientes protegidos para que ambos puedan terminar sus sesiones y borrar sus
recursos. En este caso, usted prevé un ataque procedente de un servidor HTTP
o FTP no fiable.
Aunque las directivas permiten HTTP, HTTPS, Ping, FTP-Get o FTP, el dispositivo de
seguridad activa DI únicamente para el tráfico de HTTP y FTP. Todas las zonas se
encuentran en el dominio de enrutamiento trust-vr.
Zona Untrust
DI (Untrust -> DMZ)
HTTP:Crit, High, Med;
FTP:Crit
ethernet3 Action:Close-server
1.1.1.1/24
Zona DMZ
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos,
luego haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), websrv1
Service: HTTP
> Haga clic en Multiple, seleccione FTP-GET, HTTPS, PING y después haga
clic en OK para regresar a la página de configuración básica de directivas.
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CRITICAL:HTTP:ANOM
Action: Close Server
Log: (seleccione)
Group: CRITICAL:HTTP:SIGS
Action: Close Server
Log: (seleccione)
Group: HIGH:HTTP:ANOM
Action: Close Server
Log: (seleccione)
Group: HIGH:HTTP:SIGS
Action: Close Server
Log: (seleccione)
Group: MEDIUM:HTTP:ANOM
Action: Close Server
Log: (seleccione)
Group: MEDIUM:HTTP:SIGS
Action: Close Server
Log: (seleccione)
Group: CRITICAL:FTP:SIGS
Action: Close Server
Log: (seleccione)
5. ID de directiva 2
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), websrv1
Service: HTTP
> Haga clic en Multiple, seleccione FTP-GET, HTTPS, PING y después haga
clic en OK para regresar a la página de configuración básica de directivas.
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CRITICAL:HTTP:ANOM
Action: Close
Log: (seleccione)
Group: CRITICAL:HTTP:SIGS
Action: Close
Log: (seleccione)
Group: HIGH:HTTP:ANOM
Action: Close
Log: (seleccione)
Group: HIGH:HTTP:SIGS
Action: Close
Log: (seleccione)
Group: MEDIUM:HTTP:ANOM
Action: Close
Log: (seleccione)
Group: MEDIUM:HTTP:SIGS
Action: Close
Log: (seleccione)
Group: CRITICAL:FTP:SIGS
Action: Close
Log: (seleccione)
6. ID de directiva 3
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
> Haga clic en Multiple, seleccione FTP-GET, HTTPS, PING y después haga
clic en OK para regresar a la página de configuración básica de directivas.
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CRITICAL:HTTP:ANOM
Action: Close Client
Log: (seleccione)
Group: CRITICAL:HTTP:SIGS
Action: Close Client
Log: (seleccione)
Group: HIGH:HTTP:ANOM
Action: Close Client
Log: (seleccione)
Group: HIGH:HTTP:SIGS
Action: Close Client
Log: (seleccione)
Group: MEDIUM:HTTP:ANOM
Action: Close Client
Log: (seleccione)
Group: MEDIUM:HTTP:SIGS
Action: Close Client
Log: (seleccione)
Group: CRITICAL:FTP:SIGS
Action: Close Client
Log: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 manage
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet2 zone dmz
set interface ethernet2 ip 2.1.1.1/24
2. Direcciones
set address dmz websrv1 1.2.2.5/32
set address dmz websrv2 1.2.2.6/32
3. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
4. ID de directiva 1
set policy id 1 from untrust to dmz any websrv1 http permit attack
CRITICAL:HTTP:ANOM action close-server
set policy id 1
device(policy:1)-> set dst-address websrv2
device(policy:1)-> set service ftp-get
device(policy:1)-> set service https
device(policy:1)-> set service ping
device(policy:1)-> set attack CRITICAL:HTTP:SIGS action close-server
device(policy:1)-> set attack HIGH:HTTP:ANOM action close-server
device(policy:1)-> set attack HIGH:HTTP:SIGS action close-server
device(policy:1)-> set attack MEDIUM:HTTP:ANOM action close-server
device(policy:1)-> set attack MEDIUM:HTTP:SIGS action close-server
device(policy:1)-> set attack CRITICAL:FTP:SIGS action close-server
device(policy:1)-> exit
5. ID de directiva 2
set policy id 2 from trust to dmz any websrv1 http permit attack
CRITICAL:HTTP:ANOM action close
set policy id 2
device(policy:2)-> set dst-address websrv2
device(policy:2)-> set service ftp
device(policy:2)-> set service https
device(policy:2)-> set service ping
device(policy:2)-> set attack CRITICAL:HTTP:SIGS action close
device(policy:2)-> set attack HIGH:HTTP:ANOM action close
device(policy:2)-> set attack HIGH:HTTP:SIGS action close
device(policy:2)-> set attack MEDIUM:HTTP:ANOM action close
device(policy:2)-> set attack MEDIUM:HTTP:SIGS action close
device(policy:2)-> set attack CRITICAL:FTP:SIGS action close
device(policy:2)-> exit
6. ID de directiva 3
set policy id 3 from trust to untrust any any http permit attack
CRITICAL:HTTP:ANOM action close-client
set policy id 3
device(policy:3)-> set service ftp-get
device(policy:3)-> set service https
device(policy:3)-> set service ping
device(policy:3)-> set attack CRITICAL:HTTP:SIGS action close-client
device(policy:3)-> set attack HIGH:HTTP:ANOM action close-client
device(policy:3)-> set attack HIGH:HTTP:SIGS action close-client
device(policy:3)-> set attack MEDIUM:HTTP:ANOM action close-client
device(policy:3)-> set attack MEDIUM:HTTP:SIGS action close-client
device(policy:3)-> set attack CRITICAL:FTP:SIGS action close-client
device(policy:3)-> exit
save
Aparte de una acción de DI, las acciones de ataque de fuerza bruta se configuran
por medio del comando IP action durante un periodo configurado de tiempo para
un destino especificado. Si su dispositivo de seguridad detecta un ataque de fuerza
bruta, seleccione una de las siguientes acciones a ejecutar:
Opción de
destino Elementos coincidentes
Serv IP de origen, IP de destino, puerto de destino y
protocolo
Src-IP Dirección IP de origen
Zone-Serv Zona de seguridad de origen, IP de destino, número
de puerto de destino y protocolo
Dst-IP Dirección IP destino
Zone Zona de seguridad de origen
(La zona de seguridad a la cual está asociada la
interfaz de entrada, es decir, la zona de seguridad de
original de la cual se originan paquetes de ataques)
Ejemplo 1
En este ejemplo, se debe configurar una acción IP junto con la acción de DI
existente para cada grupo en una directiva. Los siguientes comandos de CLI
bloquean el objeto de ataques de fuerza bruta (HTTP Brute Force Login Attempt or
HTTP Brute Force Search) durante 45 segundos. Todos los otros ataques del grupo
de ataque HIGH:HTTP:ANOM se configuran con la acción de DI close.
CLI
device> get attack group HIGH:HTTP:ANOM
GROUP "HIGH:HTTP:ANOM" está predefinido. Contiene los siguientes miembros
ID Name
1674 HTTP:INVALID:INVLD-AUTH-CHAR
1675 HTTP:INVALID:INVLD-AUTH-LEN
1711 HTTP:OVERFLOW:HEADER
1713 HTTP:OVERFLOW:INV-CHUNK-LEN
1717 HTTP:OVERFLOW:AUTH-OVFLW
5394 HTTP:EXPLOIT:BRUTE-FORCE
5395 HTTP:EXPLOIT:BRUTE-SEARCH
device> set policy id 1 from Untrust to DMZ Any Any Any permit attack
MEDIUM:HTTP:ANOM action none
device> set policy id 1 from Untrust to DMZ Any Any Any permit attack
MEDIUM:HTTP:HIGH:SIGS action none
device> set policy id 1
device(policy:1)-> set attack HIGH:HTTP:ANOM action close ip-action block
target dst-ip timeout 45
Ejemplo 2
En este ejemplo, se asocia una acción de IP para cada uno de los grupos de ataque
durante un periodo configurado de tiempo de un host especificado.
set policy id 1 from trust to untrust any any any permit attack POP3 BRUTE FORCE
Login Attempt action close ip-action notify target serv timeout 60
Ejemplo 3
En este ejemplo, el valor de umbral predeterminado del intento de inicio de sesión
de fuerza bruta es de ocho intentos por minuto. Si un usuario en una dirección
IP 192.168.2.2 activa un intento de inicio de sesión de fuerza bruta FTP en el
servidor FTP en 10.150.50.5 para descubrir la contraseña y el nombre de la cuenta
de un usuario, el intento se detecta cuando el hacker ejecuta ocho intentos de inicio
de sesión FTP en un minuto.
Observe que algunos destinos de acciones del IP pueden afectar la coincidencia del
tráfico con otra directiva.
Registro de ataques
Se puede habilitar el registro de ataques detectados a través del grupo de ataque por
directiva. En otras palabras, dentro de la misma directiva, se pueden aplicar grupos
de ataque múltiples y habilitar selectivamente el registro de ataques detectados
para únicamente algunos de ellos.
HIGH:IMAP:ANOM
HIGH:IMAP:SIGS
MEDIUM:IMAP:ANOM
LOW:IMAP:ANOM
INFO:IMAP:ANOM
WebUI
1. Dirección
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), mail1
Service: IMAP
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: HIGH:IMAP:ANOM
Action: Close
Log: (seleccione)
Group: HIGH:IMAP:SIGS
Action: Close
Log: (seleccione)
Group: MEDIUM:IMAP:ANOM
Action: Close
Log: (anule la selección)
Group: LOW:IMAP:ANOM
Action: Close
Log: (anule la selección)
Group: INFO:IMAP:ANOM
Action: Close
Log: (anule la selección)
CLI
1. Dirección
set address dmz mail1 1.2.2.10/32
2. Directiva
device-> set policy id 1 from trust to dmz any mail1 imap permit attack
HIGH:IMAP:ANOM action close
device-> set policy id 1
device(policy:1)-> set attack HIGH:IMAP:SIGS action close
device(policy:1)-> set attack MEDIUM:IMAP:ANOM action close
device(policy:1)-> unset attack MEDIUM:IMAP:ANOM logging
device(policy:1)-> set attack LOW:IMAP:ANOM action close
device(policy:1)-> unset attack LOW:IMAP:ANOM logging
device(policy:1)-> set attack INFO:IMAP:ANOM action close
device(policy:1)-> unset attack INFO:IMAP:ANOM logging
device(policy:1)-> exit
device-> save
set policy id 1 from untrust to trust any ftp-srv1 custom-ftp permit attack
CRITICAL:FTP:SIGS action close-server
Sin embargo, el módulo DI comprueba si hay ataques CRITICAL:FTP en el puerto 21, que no están en uso.
Para evitar este problema, debe informar al módulo DI de que la aplicación FTP se
ejecuta en el puerto 2121 (consulte la Figura 53). Esencialmente, debe asignar el
protocolo de la capa de aplicación en un número de puerto específico en la capa de
transporte. Este enlace se puede realizar a nivel de directivas:
set policy id 1 from untrust to trust any ftp-srv1 custom-ftp permit attack
CRITICAL:FTP:SIGS action close-server
set policy id 1 application ftp
CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS
HIGH:HTTP:ANOM, HIGH:HTTP:SIGS
MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS
WebUI
1. Servicio personalizado
Policy > Policy Elements > Services > Custom > New: Introduzca los
siguientes datos y haga clic en OK:
2. Dirección
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), servidor1
Service: HTTP1
Application: HTTP
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CRITICAL:HTTP:ANOM
Action: Close Server
Log: (seleccione)
Group: CRITICAL:HTTP:SIGS
Action: Close Client
Log: (seleccione)
Group: HIGH:HTTP:ANOM
Action: Close Client
Log: (seleccione)
Group: HIGH:HTTP:SIGS
Action: Close Client
Log: (seleccione)
Group: MEDIUM:HTTP:ANOM
Action: Close Client
Log: (seleccione)
Group: MEDIUM:HTTP:SIGS
Action: Close Client
Log: (seleccione)
CLI
1. Servicio personalizado
set service HTTP1 protocol tcp src-port 0-65535 dst-port 8080-8080
2. Dirección
set address dmz servidor1 1.2.2.5/32
3. Directiva
device-> set policy id 1 from untrust to dmz any servidor1 HTTP1 permit attack
CRITICAL:HTTP:ANOM action close-server
device-> set policy id 1
device(policy:1)-> set attack CRITICAL:HTTP:SIGS action close-server
device(policy:1)-> set attack HIGH:HTTP:ANOM action close-server
device(policy:1)-> set attack HIGH:HTTP:SIGS action close-server
device(policy:1)-> set attack MEDIUM:HTTP:ANOM action close-server
device(policy:1)-> set attack MEDIUM:HTTP:SIGS action close-server
device(policy:1)-> exit
device-> set policy id 1 application http
save
WebUI
1. Servicio personalizado
Policy > Policy Elements > Services > Custom > New: Introduzca los
siguientes datos y haga clic en OK:
2. Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP2
Application: HTTP
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CRITICAL:HTTP:SIGS
Action: Close
Log: (seleccione)
Group: MEDIUM:HTTP:SIGS
Action: Close
Log: (seleccione)
CLI
1. Servicio personalizado
set service HTTP2 protocol tcp src-port 0-65535 dst-port 8000-8000
2. Directiva
device-> set policy id 1 from untrust to dmz any any HTTP2 permit attack
CRITICAL:HTTP:SIGS action close
device-> set policy id 1
device(policy:1)-> set attack MEDIUM:HTTP:SIGS action close
device(policy:1)-> exit
device-> set policy id 1 application http
save
Asigne un nombre el objeto de ataque. (Todos los objetos de ataque que define
el usuario deben comenzar con “CS:”).
NOTA: Un grupo de objetos de ataque definido por el usuario sólo puede contener objetos
de ataque definidos por el usuario. En el mismo grupo de objetos de ataque no se
pueden mezclar objetos de ataque predefinidos y otros que defina el usuario.
Expresiones regulares
Cuando se introduce el texto de una firma, puede escribir una cadena alfanumérica
de caracteres normales para buscar coincidencias exactas carácter por carácter,
o bien, puede utilizar expresiones regulares para ampliar las posibles coincidencias
de la búsqueda a conjuntos de caracteres. ScreenOS reconoce las siguientes
expresiones regulares como se muestra en la Tabla 14.
Expresiones de grupos ()
El carácter anterior o el | (drop | packet) Buscar drop o packet.
siguiente. Generalmente se Coincide con:
utiliza con ( ) drop
packet
dad, dat
ead, eat
fad, fat
1.Octal es el sistema numérico en base 8 que utiliza únicamente los dígitos del 0 al 7.
2.Hexadecimal es un sistema numérico en base 16 que utiliza los dígitos del 0 al 9 habituales más las letras A–F, que
representan dígitos hexadecimales equivalentes a los valores decimales del 10 al 15.
WebUI
1. Objeto de ataque 1: ftp-stor
Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga
clic en OK:
6. Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
> Haga clic en Multiple, seleccione FTP y después haga clic en OK para
regresar a la página de configuración básica de directivas.
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CS:DMZ DI
Action: Close Server
Log: (seleccione)
CLI
1. Objeto de ataque 1: ftp-stor
set attack cs:ftp-stor ftp-command STOR severity medium
2. Objeto de ataque 2: ftp-user-dm
set attack cs:ftp-user-dm ftp-username dmartin severity low
3. Objeto de ataque 3: url-index
set attack cs:url-index http-url-parsed index.html severity high
4. Objeto de ataque 4: spammer
set attack cs:spammer smtp-from .*@spam.com severity info
5. Grupo de objetos de ataque
set attack group “CS:DMZ DI”
set attack group “CS:DMZ DI” add cs:ftp-stor
set attack group “CS:DMZ DI” add cs:ftp-user-dm
set attack group “CS:DMZ DI” add cs:url-index
set attack group “CS:DMZ DI” add cs:spammer
6. Directiva
set policy id 1 from untrust to dmz any any http permit attack “CS:DMZ DI” action
close-server
set policy id 1
device(policy:1)-> set service ftp
device(policy:1)-> exit
save
NOTA: Las firmas de secuencias de TCP sólo se pueden definir en sistemas de la serie
NetScreen-5000.
Nombre del objeto de ataque (Todos los objetos de ataque definidos por el
usuario deben comenzar con “CS:”).
Definición de patrón
Nivel de gravedad
WebUI
1. Objeto de ataque de firma de secuencia
Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga
clic en OK:
3. Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CS:Gr1
Action: Close Client
Log: (seleccione)
CLI
1. Objeto de ataque de firma de secuencia
set attack “CS:A1” stream “.*satori.*” severity critical
2. Grupo de ataques de firma de secuencia
set attack group “CS:Gr1”
set attack group “CS:Gr1” add “CS:A1”
3. Directiva
set policy from trust to untrust any any any permit attack CS:Gr1 action close-client
save
NOTA: Encontrará una lista completa de todos los parámetros configurables, consulte el
comando di en el manual ScreenOS CLI Reference Guide: IPv4 Command
Descriptions.
Valor
Parámetro del protocolo predeterminado Nuevo
SMB: Número máximo de fallos de inicio de sesión por 4 fallos 8 fallos
minuto
Gnutella: Número máximo de saltos de plazo de vida (TTL) 8 saltos 10 saltos
Valor
Parámetro del protocolo predeterminado Nuevo
AOL Instant Messenger (AIM): Máxima longitud del nombre 10.000 bytes 5.000 bytes
del archivo de transferencia de archivos OSCAR (OFT).
OSCAR: Sistema abierto para la comunicación en tiempo
real, el protocolo que utilizan los clientes AIM.
AOL Instant Messenger: Máxima longitud de una trama FLAP 10.000 bytes 5.000 bytes
(encabezado FLAP, que siempre son de 6 bytes más los
datos).
OSCAR utiliza el protocolo FLAP para establecer conexiones
y abrir los canales entre los clientes AIM.
WebUI
NOTA: Debe utilizar la CLI para modificar los parámetros de anomalías de protocolos.
CLI
set di service smb failed_logins 8
set di service gnutella max_ttl_hops 10
set di service aim max_flap_length 5000
set di service aim max_oft_frame 5000
save
Negación
Normalmente, se utilizan los objetos de ataque para comparar los patrones que son
indicativos de actividad anómala o maliciosa. Sin embargo, también se pueden
utilizar para comparar los patrones indicativos de actividad legítima o benigna. Con
este enfoque, únicamente hay algo sospechoso si un tipo de tráfico no coincide con
un patrón determinado. Para utilizar los objetos de ataques de esta manera, aplique
el concepto de negación.
Una aplicación útil de la negación de objetos de ataque sería bloquear todos los
intentos de inicio de sesión que no se realicen con el nombre del usuario y la
contraseña correcta. Sería demasiado complicado definir todos los nombres de
usuario y contraseñas no válidas y bastante fácil definir las correctas y después
aplicar la negación para invertir lo que el dispositivo de seguridad considera que es
un ataque, es decir, todo con excepción del objeto de ataque especificado.
168 Negación
Capítulo 5: Deep Inspection
Se aplica DI en el tráfico de FTP para el servidor desde todos los hosts en las
zonas Untrust y Trust.
Name: CS:FTP1_USR_OK
Negation: enabled
Context: ftp-username
Pattern: admin1
Severity: high
Name: CS:FTP1_PASS_OK
Negation: enabled
Context: ftp-password
Pattern: pass1
Severity: high
Negación 169
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos,
luego haga clic en Apply:
NOTA: De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará
en modo NAT. Por lo tanto, esta opción ya está habilitada para las interfaces
asociadas a la zona Trust.
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
170 Negación
Capítulo 5: Deep Inspection
2. Dirección
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
6. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Negación 171
Manual de referencia de ScreenOS: Conceptos y ejemplos
7. Directivas
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), ftp1
Service: FTP
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CS:FTP1_LOGIN
Action: Drop
Log: (seleccione)
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), ftp1
Service: FTP
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CS:FTP1_LOGIN
Action: Drop
Log: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone dmz
set interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Dirección
set address dmz ftp1 1.2.2.5/32
3. Objetos de ataque
set attack CS:FTP1_USR_OK ftp-username not admin1 severity high
set attack CS:FTP1_PASS_OK ftp-password not pass1 severity high
set attack group CS:FTP1_LOGIN
set attack group CS:FTP1_LOGIN add CS:FTP1_USR_OK
set attack group CS:FTP1_LOGIN add CS:FTP1_PASS_OK
172 Negación
Capítulo 5: Deep Inspection
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
5. Directivas
set policy from untrust to dmz any ftp1 ftp permit attack CS:FTP1_LOGIN action
drop
set policy from trust to dmz any ftp1 ftp permit attack CS:FTP1_LOGIN action drop
save
Controles ActiveX
La tecnología ActiveX de Microsoft proporciona una herramienta para los
diseñadores web que permite crear páginas web dinámicas e interactivas. Los
controles ActiveX son componentes que permiten a diversos programas interactuar
entre sí. Por ejemplo, ActiveX permite a su explorador abrir una hoja de cálculo o
mostrar su cuenta personal desde una base de datos backend. Los componentes de
ActiveX también pueden contener otros componentes tales como applets de Java,
o archivos como .exe y .zip.
Cuando se visita un sitio web con ActiveX habilitado, el sitio le solicita al equipo que
descargue los controles de ActiveX. Microsoft proporciona un mensaje emergente
que muestra el nombre de la empresa o del programador que autenticó el código
ActiveX que se ofrece para su descarga. Si confía en la procedencia del código,
puede iniciar la descarga de los controles. Si no confía en el origen, puede
rechazarlos.
Applets de Java
Con una finalidad similar a la de ActiveX, los applets de Java también aumentan la
funcionalidad de las páginas web al permitirles interactuar con otros programas.
Los applets de Java se descargan a una máquina virtual de Java (VM) en su equipo.
En la versión inicial de Java, la máquina virtual no permitía que los applets
interactuaran con otros recursos de su equipo. Desde Java 1.1, algunas de estas
restricciones fueron relajadas para proporcionar mayor funcionalidad.
Consecuentemente, los applets de Java ahora pueden acceder a recursos locales
fuera de la VM. Debido a que un hacker puede programar los applets de Java para
funcionar fuera de la VM, plantean la misma amenaza a la seguridad que los
controles de ActiveX.
Archivos EXE
En los archivos ejecutables (es decir, archivos con la extensión .exe) descargados de
Internet, no existe garantía de que puedan ejecutarse sin riesgo. Aunque el sitio de
descarga sea de confianza, un usuario malintencionado podría estar rastreando las
peticiones de descarga de ese sitio, interceptar su petición y responder con un
archivo .exe manipulado con código dañino.
Archivos ZIP
Un archivo ZIP (es decir, un archivo con la extensión .zip), es un tipo de archivo que
contiene unos o más archivos comprimidos. El peligro de descargar un archivo
“.exe” como el presentado en la sección anterior que trata sobre archivos “.exe”
también puede aplicarse a los archivos “.zip”, ya que éstos pueden contener
archivos “.exe”.
WebUI
Screening > Screen (Zone: Untrust): Seleccione Block Java Component y
Block EXE Component y después haga clic en Apply.
CLI
set zone untrust screen component-block jar
set zone untrust screen component-block exe
save
175
Manual de referencia de ScreenOS: Conceptos y ejemplos
Consulte los documentos ISG 2000 and ISG 1000 Field Upgrade para obtener las
instrucciones sobre cómo actualizar los dispositivos para incluir las capacidades de
IDP.
Puede utilizar el dispositivo de seguridad con capacidad para IDP como un sistema
de seguridad de cortafuegos/VPN/IDP completamente integrado que no solamente
analiza el tráfico entre Internet y su red privada, sino también proporciona una
seguridad a nivel de aplicación. También puede utilizar este dispositivo como un
sistema IDP independiente para proteger los segmentos esenciales de su red
privada. Para obtener más información, consulte “Configuración del dispositivo
como un dispositivo IDP independiente” en la página 235.
Flujo de tráfico
Módulo de seguridad
Dispositivo de seguridad
Juniper Networks
Módulo de seguridad
Cada módulo de seguridad, que consta de una CPU doble, mantiene su propia tabla
de sesiones. El CPU doble permite a cada módulo de seguridad ejecutar dos
instancias de IDP por módulo. El comando get sm status muestra el CPU doble por
cada módulo de seguridad (consulte página 180).
Que su dispositivo tenga capacidad para IDP. Para obtener más información,
consulte “Dispositivos de seguridad con capacidad para IDP” en la página 176.
NOTA: Aunque puede realizar la configuración básica del dispositivo mediante la WebUI
o CLI de ScreenOS, necesita NSM para configurar y administrar IDP en el
dispositivo de seguridad.
2. Agregue los componentes de red que desea que IDP proteja mediante la CLI,
WebUI o NetScreen-Security Manager UI.
Dispositivo de seguridad
Juniper Networks
Zona Untrust Zona Trust
Internet
PW R A LA R M T E MP S TAT U S H A
FA N M O D1 M O D2 M O D3 F LA S H
ISG 2000
FTP-Srv1
6. Importe el dispositivo.
Para import the device, haga clic con el botón secundario en el dispositivo que
agregó y seleccione Import device. La importación del dispositivo copia la
información de la directiva de seguridad del dispositivo al servidor NSM de
manera que pueda administrar el dispositivo. La directiva importada se
muestra en NSM bajo Security Policy.
NOTA: Si utiliza el dispositivo como un sistema IDP independiente, debe configurar una
norma de cortafuegos simple que direcciona todo el tráfico para comprobarlo con
las normas IDP. Para obtener más información, consulte “Configuración del
dispositivo como un dispositivo IDP independiente” en la página 235.
9. Deje que el tráfico fluya y vea las sesiones IDP con el siguiente comando:
device->get sm status
SM CPU aval ena Sess_cnt
1 1 1 10 Módulo de seguridad 1
2 1 1 8
3 0 1 0 Módulo de seguridad 2
4 0 1 0
5 0 1 0 Módulo de seguridad 3
6 0 1 0
Figura 58: Configuración de IDP para cambio en caso de fallo activo, pasivo
Dispositivos de
Dispositivo A seguridad
Zona Untrust
PW R
FA N
A LA RM
M OD1
TEM P
M OD2
S TAT U S
M OD3
HA
FLA SH
ISG 2000
Zona Trust
Internet Dispositivo B
PW R
FA N
A LA RM
M OD1
TEM P
M OD2
S TA T U S
M OD3
HA
FLA SH
ISG 2000
FTP-Srv1
Especifique las zonas con las interfaces de HA. Enlace e1/x y e2/x a la zona HA.
Establezca direcciones de IP para las interfaces de la zona Trust en ambos
dispositivos.
Al finalizar la configuración NSRP inicial, los miembros del grupo VSD que
tengan el número de prioridad más cercano a 0 se convierten en el dispositivo
principal. (El valor predeterminado es 100). Si el dispositivo A y B tienen el
mismo valor de prioridad, el dispositivo con la dirección MAC superior se
convierte en el dispositivo principal.
Figura 59: Configuración de IDP para cambio en caso de fallo activo, activo
Dispositivos de
Dispositivo A seguridad
Zona Untrust
Zona Trust
PW R A LA RM TEM P STATU S HA
Internet Dispositivo B
PW R
FA N
A LA RM
M OD1
TEM P
M OD2
STATU S
M OD3
HA
FLA SH
ISG 2000
FTP-Srv1
Dispositivo A (maestro)
ID VSD 0
Dispositivo B (respaldo)
Dispositivo A (respaldo)
ID VSD 1
Dispositivo A (maestro)
Especifique las zonas con las interfaces de HA. Enlace e1/x y e2/x a la zona HA.
Establezca direcciones de IP para las interfaces de la zona Trust en ambos
dispositivos.
Los dispositivos A y B son miembros del mismo clúster NSRP y grupo VSD 0.
Para un cambio en caso de fallo activo, activo; cree un segundo grupo VSD, el
grupo 1.
Dispositivo A
set nsrp vsd-group id 0 priority 1
set nsrp vsd-group id 0 preempt hold-down 10
set nsrp vsd-group id 0 preempt
set nsrp vsd-group id 1
save
Dispositivo B
set nsrp vsd-group id 1 priority 1
set nsrp vsd-group id 1 preempt hold-down 10
set nsrp vsd-group id 1 preempt
save
Cada uno de los dispositivos A y B recibe el 50 por ciento del tráfico de VPN y
red. Si el dispositivo A falla, el dispositivo B se convierte en el dispositivo
principal del grupo VSD 1 al mismo tiempo que continúa siendo el dispositivo
principal del grupo VSD 2 y administra el 100 por ciento del tráfico.
Esta sección describe las bases de normas de IDP, exclusión y puerta de atrás. Para
obtener más información sobre bases de normas de cortafuegos de zona y global y
la base de normas de multicast, consulte la información acerca de la configuración
de directivas de seguridad en el NetScreen-Security Manager Manager
Administrator's Guide.
NOTA: Las reglas IDP, exclusión y puerta de atrás no se incluyende la puerta de atrás al
combinar dos directivas en una única directiva.
IDP: Esta base de normas protege su red de ataques al utilizar objetos de ataque
para detectar ataques conocidos y desconocidos. Juniper Networks proporciona
objetos de ataque predefinidos, los cuales puede utilizar en las normas de IDP.
También puede configurar sus propios objetos de ataque personalizados. Para
obtener más información, consulte “Configuración de los objetos de ataque de
IDP” en la página 215.
NOTA: Juniper Networks actualiza regularmente los objetos de ataque predefinidos para
mantenerse al día con ataques descubiertos recientemente. Para obtener más
información acerca de la actualización de objetos de ataque, consulte
“Administración de IDP” en la página 238.
Exempt: Esta base de normas funciona junto con la base de normas de IDP
para evitar la generación de alarmas innecesarias. Configurará normas en esta
base de normas para excluir falsos positivos conocidos o para evitar que un
origen, destino o par de origen/destino específicos coincidan con una norma de
IDP. Si el tráfico coincide con una norma que se encuentra en la base de
normas de IDP, IDP intenta comparar el tráfico con la base de normas de
exclusión antes de realizar la acción especificada.
Las normas incluidas en todas las bases de normas, incluso las bases de normas
Zone, Global y Multicast, se combinan para crear una directiva de seguridad. Para
indicar al dispositivo que procese y ejecute las normas incluidas en las bases de
normas de IDP, es necesario que habilite IDP en una norma de cortafuegos.
Consulte “Habilitación de IDP en las normas de cortafuegos” en la página 189.
NOTA: Debe crear cada objeto en la base de datos de objetos de direcciones. No hay
objetos de direcciones predeterminados.
Copiar una directiva de seguridad existente a una nueva directiva, la cuál podrá
modificar posteriormente.
2. Cortafuegos Global
3. Multicast
4. IDP
5. Exclusión
6. Puerta de atrás
NOTA: La acción del cortafuegos debe ser permit. No puede habilitar IDP para el tráfico
que el dispositivo deniega o rechaza.
Para habilitar IDP en una norma de cortafuegos, haga clic en el botón secundario en
la columna Rule Options en la norma de cortafuegos basada en zonas o global y
seleccione DI Profile/Enable IDP. Aparece el cuadro de dialogo DI Profile/Enable
IDP, según se muestra en la Figura 60.
NOTA: Estos ajustes del perfil de ataque se aplican solamente a la función de Deep
Inspection (DI) en los dispositivos de cortafuegos/VPN. Cuando instala la licencia
IDP en el dispositivo, la DI está desactivada en el dispositivo.
Habilitación de IDP
De forma predeterminada, la opción IDP está desactivada. Seleccione Enable para
habilitar IDP para el tráfico que coincide con la norma del cortafuegos. Al habilitar
IDP, también puede seleccionar si la función de IDP es funcionar en línea o en el
modo tap en línea en el dispositivo en el que está instalada la directiva de
seguridad.
NOTA: Si no habilita IDP en una norma de cortafuegos para un dispositivo objetivo, aún
puede configurar las normas de IDP para el dispositivo. Sin embargo, no podrá
aplicar las normas de IDP al actualizar la directiva de seguridad en el dispositivo.
En el modo inline tap, IDP recibe una copia de un paquete mientras el paquete
original se redirecciona a la red. IDP examina la copia del paquete e indica
cualquier problema potencial. La inspección de paquetes de IDP no afecta el
redireccionamiento del paquete a la red.
NOTA: Debe implementar el dispositivo con capacidad para IDP en línea. No puede
conectar un dispositivo que está en modo tap en línea a un TAP externo o puerto
SPAN en un conmutador.
El tipo de tráfico de red en el que desea que IDP supervise los ataques,
utilizando las siguientes características:
From Zone/To Zone: Todo el tráfico fluye de una zona origen a una de
destino. Puede seleccionar cualquier zona para el origen o destino; sin
embargo, la zona debe ser válida para los dispositivos de seguridad que
seleccionó en la columna Install On de la norma. También puede utilizar las
excepciones de zona para especificar zonas to y from para cada
dispositivo.
Los ataques para los que desea que IDP busque coincidencias en el tráfico de
red supervisado. Cada ataque se define como un objeto de ataque, lo que
representa un patrón de ataque conocido. Cada vez que se encuentra este
patrón de ataque conocido en el tráfico de red supervisado, el objeto de ataque
coincide. Puede agregar objetos de ataque por categoría, sistema operativo,
gravedad o individualmente.
La acción que desea que IDP realice cuando el tráfico supervisado coincida con
los objetos de ataque de la norma. Puede especificar lo siguiente:
Action: La acción que desea que IDP realice con la conexión actual.
IP Actions: La acción que desea que IDP realice contra conexiones futuras
que utilicen la misma dirección IP.
3. Para configurar una norma de IDP, haga clic en el icono Add que se encuentra
en el lado izquierdo de la ventana Security Policy.
Tráfico coincidente
Al crear sus normas de IDP, debe especificar el tipo de tráfico de red en el que
desea que IDP supervise los ataques. Estas características incluyen los
componentes de red que originan y reciben el tráfico y las zonas de cortafuegos a
través de las cuales pasa el tráfico.
NOTA: Puede crear zonas personalizadas para algunos dispositivos de seguridad. La lista
de zonas desde las que puede seleccionar zonas de origen y de destino incluye las
zonas predefinidas y personalizadas que se han configurado para todos los
dispositivos administrados por NetScreen-Security Manager. Por lo tanto,
solamente deberá seleccionar zonas aplicables al dispositivo en el que desea
instalar la directiva de seguridad.
Puede crear objetos de dirección antes de crear una norma de IDP (consulte el
manual NetScreen-Security Manager Administrator's Guide) o mientras crea o edita
una norma de IDP. Para seleccionar o configurar un objeto de dirección, haga clic
con el botón secundario en la columna Source o Destination de una norma y
seleccione Select Address. En el cuadro de diálogo Select Source Addresses puede
seleccionar un objeto de dirección que ya está creado o hacer clic en el icono Add
para crear un nuevo host, red u objeto de grupo.
Cuanto más específico sea al definir el origen y destino de un ataque, más reducirá
los falsos positivos.
Servicios
Los servicios son protocolos de capa de aplicación que definen la manera en que se
estructuran los datos a medida que pasan a través de la red. Debido a que los
servicios que admite en su red son los mismos servicios que los hackers deben
utilizar para atacar su red, puede especificar los servicios admitidos en la IP de
destino para que su norma sea más eficiente.
En la columna Service, seleccionará el servicio del tráfico que desee que IDP
compare:
Puede crear sus propios objetos de servicio para utilizar en normas, como por
ejemplo objetos de servicio para protocolos que utilizan puertos no estándar. Sin
embargo, no puede comparar objetos de ataque con los protocolos que éstos no
utilizan.
Normas definitivas
El algoritmo normal para coincidencia de normas IDP empieza desde la parte
superior de la base de normas y comprueba el tráfico con todas las normas en la
base de normas que coinciden con el origen, destino y servicio. Una norma
definitiva es una excepción a este algoritmo normal de coincidencia de normas.
Cuando se descubre una coincidencia en una norma definitiva para el origen,
destino y servicio, IDP no continúa comprobando normas subsecuentes del mismo
origen, destino y servicio. No importa si el tráfico coincide o no con los objetos de
ataque de la norma de coincidencia.
Para establecer diferentes acciones para diferentes ataques del mismo origen y
destino. Esto se describe por medio de las normas 3 y 6 en la siguiente sección,
“Ejemplo: Establecimiento de normas definitivas”.
Para pasar por alto el tráfico que se origina desde un origen fiable conocido.
Normalmente, la acción es None para este tipo de norma definitiva. Esto se
describe por medio de la norma 1 en la siguiente sección, “Ejemplo:
Establecimiento de normas definitivas”.
Para pasar por alto el tráfico enviado a un servidor que solamente es vulnerable
a un conjunto de ataques específico. Normalmente, la acción es Drop
Connection para este tipo de norma definitiva.
NOTA: En muchos casos, puede utilizar una norma de exclusión en lugar de una norma
definitiva. Es posible que le resulte más fácil y más directo configurar una norma
de exclusión que una norma definitiva. Consulte la “Configuración de las normas
de exclusión” en la página 205.
Definición de acciones
Puede especificar qué acciones debe realizar IDP contra ataques que coincidan con
las normas que estableció en su directiva de seguridad. Para cada ataque que
coincida con una norma, puede elegir ignorar, descartar o terminar la conexión o
los paquetes de ataque actuales. Si la norma se desencadena, IDP puede realizar
acciones contra la conexión.
La Tabla 16 muestra las acciones que puede especificar para las normas de IDP.
Acción Descripción
Ninguna IDP no realiza ninguna acción contra la conexión. Si una norma
que incluye una acción de None coincide, el registro
correspondiente muestra “accept” en la columna Action del
visualizador de registros.
Ignore IDP ignora un flujo para inspecciones futuras si se encontró una
coincidencia de ataque. En general, evite seleccionar esta acción.
Nota: Esta acción no significa ignorar un ataque.
Diffserv Marking Asigna el valor de service-diferentiation indicado para los paquetes
que están en un ataque, luego los pasa normalmente. Establezca el
valor de service-diferentiation en el cuadro de diálogo que aparece
al seleccionar esta acción en la base de normas.
Observe que la marca diffserv no se aplica al primer paquete que se
detecta como un ataque, sino que se aplica a los paquetes
subsiguientes. La marca no tiene efecto en el modo tap o cuando se
utiliza NSRP.
Drop Packet IDP descarta un paquete de coincidencia antes de que pueda llegar
a su destino pero no termina la conexión. Utilice esta acción para
descartar paquetes en caso de ataques en el tráfico propenso a
simulaciones, como el tráfico de UDP. Descartar una conexión para
dicho tráfico podría resultar en un rechazo del servicio que impide
que reciba tráfico de una dirección IP de origen legítimo.
Drop Connection IDP descarta todos los paquetes asociados con la conexión. Utilice
esta acción para descartar conexiones del tráfico que no es
propenso a simulación.
Close Client and Server IDP termina la conexión y envía un paquete RST al cliente y al
servidor. Si IDP está funcionando en el modo tap en línea, IDP
envía un paquete RST al cliente y al servidor, pero no termina la
conexión.
Close Client IDP termina la conexión al cliente pero no al servidor.
Close Server IDP termina la conexión al servidor, pero no al cliente.
Para obtener más información sobre las acciones de la norma IDP, consulte el
manual NetScreen-Security Manager Manager Administrator's Guide.
Para agregar objetos de ataque a una norma, haga clic con el botón secundario en la
columna Attacks y seleccione Select Attacks. Aparece el cuadro de diálogo Add
Attacks.
Para obtener más información sobre los objetos de ataque y la creación de grupos y
objetos de ataque personalizados, consulte “Configuración de los objetos de ataque
de IDP” en la página 215.
NOTA: Para proteger objetos de dirección esenciales u objetivos populares para el ataque,
como su servidor de correo, utilice niveles de gravedad para garantizar una
máxima protección.
La Tabla 17 muestra los niveles de gravedad de IDP, junto con sus notificaciones y
acciones recomendadas.
Nivel de Notificación
gravedad Descripción Acción recomendada recomendada
Critical Los ataques intentan evadir un IPS, que una máquina se quede Drop Packet Logging
colgada u obtener privilegios a nivel del sistema. Drop Connection Alert
Major Los ataques intentan que el servicio se caiga, realizar un rechazo de Drop Packet Logging
servicio, instalar o utilizar un caballo de Troya, u obtener acceso a Drop Connection Alert
nivel de usuario a un host.
Minor Los ataques intentan obtener información esencial mediante la Ninguna Logging
navegación de directorios o filtraciones de información.
Warning Los ataques intentan obtener información no esencial o analizar la Ninguna Logging
red. También puede ser tráfico de ataques obsoletos (pero
probablemente inofensivos).
Info Los ataques son tráfico normal, inofensivo que contiene fallos de Ninguno Ninguno
búsqueda de URL, DNS y cadenas de comunidad públicas SNMP.
Puede utilizar los objetos de ataque de información para obtener
información sobre su red.
Establecimiento de la acción de IP
La columna IP Action aparece solamente cuando visualiza la directiva de seguridad
en modo ampliado. Para cambiar la visualización de la directiva de seguridad de
modo compacto a ampliada, seleccione View > Expanded Mode.
Si el tráfico de red actual coincide con una norma, IDP puede realizar una acción de
IP contra futuro tráfico de red que utilice la misma dirección IP. Las acciones de IP
son similares a otras acciones; direccionan IDP para que descarte o termine la
conexión. Sin embargo, debido a que ahora ya tiene la dirección IP del hacker,
puede elegir bloquear al hacker durante un tiempo especificado. Si los hackers no
pueden volver a conectarse inmediatamente a su red, es posible que intenten
atacar objetivos más fáciles.
Utilice acciones de IP junto con acciones y registro para asegurar su red. En una
norma, primero configure una acción para detectar e impedir que conexiones
maliciosas actuales alcancen sus objetos de dirección. Después, haga clic con el
botón secundario en la columna IP Action de la norma y seleccione Configure para
ver el cuadro de diálogo Configure IP Action. Habilite y configure una acción de IP
para impedir conexiones maliciosas futuras desde la dirección IP del hacker.
IDP Notify. IDP no lleva a cabo ninguna acción contra el tráfico futuro, pero
registra el evento. Éste es el valor predeterminado.
IDP Drop. IDP descarta las conexiones futuras de bloqueo que coinciden con
los criterios del cuadro Blocking Options.
IDP Close. IDP cierra futuras conexiones que coinciden con el criterio que se
encuentra en el cuadro Blocking Options.
From Zone. IDP bloquea el tráfico futuro basándose en la zona de origen del
tráfico de ataque.
Establecimiento de la notificación
La primera vez que diseña una directiva de seguridad, es posible que se sienta
tentado a registrar todos los ataques y dejar que la directiva se ejecute
indefinidamente. ¡No haga esto! Algunos objetos de ataque son solamente
informativos y otros pueden generar falsos positivos y registros redundantes. Si está
sobrecargado con datos, podría pasar por alto algo importante. Recuerde que las
directivas de seguridad que generan demasiados registros son peligrosas para la
seguridad de su red, ya que podría descubrir un ataque demasiado tarde o pasar
por alto una violación de la seguridad completamente si tiene que filtrar a través de
cientos de registros. El exceso de registros también puede afectar a la capacidad de
ejecución de IDP, el rendimiento y el espacio disponible en el disco. Una buena
directiva de seguridad genera suficientes registros para documentar completamente
sólo los eventos de seguridad importantes en la red.
Para registrar un ataque de una norma, haga clic con el botón secundario en la
columna Notification de la norma y seleccione Configure. Aparece el cuadro de
diálogo Configure Notification.
Paquetes de registro
Puede registrar paquetes individuales en el tráfico de red que coincidan con una
norma calculando los datos del paquete de ataque. La visualización de los paquetes
utilizados en un ataque en su red puede ayudarle a determinar la magnitud del
intento de ataque y su propósito, si el ataque ha tenido éxito o no, y cualquier daño
posible ocasionado a su red.
NOTA: Para mejorar el rendimiento de IDP, registre solamente los paquetes recibidos
después del ataque.
NOTA: Las capturas de paquetes están restringidas a 256 paquetes antes y después de un
ataque.
Establecimiento de la gravedad
La columna Severity aparece solamente cuando visualiza la directiva de seguridad
en modo ampliado. Para cambiar la visualización de la directiva de seguridad de
modo compacto a ampliado, de la barra de menú, seleccione View > Expanded
Mode.
Para cambiar la gravedad de una norma, haga clic con el botón secundario en la
columna Severity de la norma y seleccione un nivel de gravedad.
Establecimiento de objetivos
Para cada norma de la base de normas de IDP, puede seleccionar el dispositivo de
seguridad que utilizará esa norma para detectar e impedir los ataques. Cuando
instala la directiva de seguridad a la cual pertenece la norma, ésta se activa
solamente en el dispositivo que seleccionó en la columna Install On de la base de
normas.
Introducción de comentarios
Puede introducir anotaciones sobre la norma en la columna Comments. La
información de la columna Comments no se envía al dispositivo objetivo. Para
introducir un comentario, haga clic con el botón secundario en la columna
Comments y seleccione Edit Comments. Aparece el cuadro de diálogo Edit
Comments. Puede introducir un comentario de hasta 1024 caracteres.
Es posible que desee utilizar una norma de exclusión con las siguientes
condiciones:
Cuando una norma de IDP utiliza un grupo de objetos de ataque que contiene
uno o más objetos de ataque que producen falsos positivos o registros
irrelevantes.
También puede utilizar una norma de exclusión si la base de normas de IDP utiliza
grupos de objetos de ataque dinámicos o estáticos que contengan uno o más
objetos de ataque que producen falsos positivos o registros irrelevantes.
El origen y destino del tráfico que desea excluir. Puede establecer el origen o
destino en “any” para excluir el tráfico de la red que se origina de cualquier
origen o se envía a cualquier destino. También puede especificar “negate” para
especificar todos los orígenes o destino, excepto las direcciones especificadas.
Los ataques que desea que IDP excluya en las direcciones de origen/destino
especificadas. Debe incluir por lo menos un objeto de ataque en una norma de
exclusión.
3. Para configurar una norma de exclusión, haga clic en el icono Add que se
encuentra en el lado izquierdo de la ventana Security Policy.
NOTA: Puede crear zonas personalizadas para algunos dispositivos de seguridad. La lista
de zonas desde las que puede seleccionar zonas de origen y de destino incluye las
zonas predefinidas y personalizadas que se han configurado para todos los
dispositivos administrados por NetScreen-Security Manager. Por lo tanto,
solamente deberá seleccionar zonas aplicables al dispositivo en el que desea
instalar la directiva de seguridad.
Puede crear objetos de dirección antes de crear una norma de exclusión (consulte el
manual NetScreen-Security Manager Administrator's Guide) o mientras crea o edita
una norma de exclusión. Para seleccionar o configurar un objeto de dirección, haga
clic con el botón secundario en la columna Source o Destination de una norma y
seleccione Select Address. En el cuadro de diálogo Select Source Addresses puede
seleccionar un objeto de dirección que ya está creado o hacer clic en el icono Add
para crear un nuevo host, red u objeto de grupo.
Establecimiento de objetivos
Para cada norma de la base de normas de exclusión, puede seleccionar el
dispositivo con capacidad para IDP que utilizará esa norma para detectar e impedir
ataques. Cuando instala la directiva de seguridad a la cual pertenece la norma, ésta
se activa solamente en el dispositivo que seleccionó en la columna Install On de la
base de normas.
Introducción de comentarios
Puede introducir anotaciones sobre la norma en la columna Comments. La
información de la columna Comments no se envía al dispositivo objetivo. Para
introducir un comentario, haga clic con el botón secundario en la columna
Comments y seleccione Edit Comments. Aparece el cuadro de diálogo Edit
Comments. Puede introducir un comentario de hasta 1024 caracteres.
Para crear una norma de exclusión desde el visualizador de registros, realice los
siguientes pasos:
2. Haga clic con el botón secundario en un registro que contenga un ataque que
desea excluir y seleccione Exempt.
NOTA: Si la base de normas no existe cuando cree una norma de exclusión desde el
visualizador de registros, la base de normas se crea automáticamente y se agrega
la norma.
Las direcciones de origen y destino del tráfico que desea supervisar. Para
detectar el tráfico interactivo entrante, establezca el origen en “any” y el
destino de la dirección de IP del dispositivo de red que desea proteger. Para
detectar el tráfico interactivo saliente, establezca el origen en la dirección IP del
dispositivo de red que desea proteger y el destino en “any”.
Los servicios que ofrece el origen o destino, así como los servicios interactivos
que los hackers pueden instalar y utilizar.
NOTA: No incluya Telnet, SSH, RSH, NetMeeting o VNC, ya que estos servicios se utilizan
a menudo para controlar legítimamente un sistema remoto y su inclusión podría
generar falsos positivos.
NOTA: La base de normas de puerta de atrás es una base de normas definitivas. Es decir,
cuando IDP detecta una coincidencia con una norma en la base de normas de
puerta de atrás, ésta no ejecuta normas sucesivas.
2. Para configurar una norma de puerta de atrás, haga clic en la esquina derecha
superior de la ventana Security Policy (consulte la Figura 77).
NOTA: Puede crear zonas personalizadas para algunos dispositivos de seguridad. La lista
de zonas desde las que puede seleccionar zonas de origen y de destino incluye las
zonas predefinidas y personalizadas que se han configurado para todos los
dispositivos administrados por NetScreen-Security Manager. Por lo tanto,
solamente deberá seleccionar zonas aplicables al dispositivo en el que desea
instalar la directiva de seguridad.
Puede crear objetos de dirección antes de crear una norma de puerta de atrás
(consulte el manual NetScreen-Security Manager Administrator's Guide) o mientras
crea o edita una norma de puerta de atrás. Para seleccionar o configurar un objeto
de dirección, haga clic con el botón secundario en la columna Source o Destination
de una norma y seleccione Select Address. En el cuadro de diálogo Select Source
Addresses puede seleccionar un objeto de dirección que ya está creado o hacer clic
en el icono Add para crear un nuevo host, red u objeto de grupo.
Servicios
Seleccione los objetos de servicio interactivos. Asegúrese de incluir servicios
ofrecidos por la IP de origen o destino así como los servicios interactivos que no
están; los hackers pueden utilizar una puerta de atrás para instalar cualquier
servicio interactivo. No incluya Telnet, SSH, RSH, NetMeeting o VNC, ya que estos
servicios se utilizan a menudo para controlar legítimamente un sistema remoto y su
inclusión podría generar falsos positivos.
Establecimiento de acciones
Utilice los siguientes pasos para configurar una acción para realizar en caso que IDP
detecte tráfico interactivo.
Acción Descripción
Accept IDP acepta el tráfico interactivo.
Drop Connection IDP descarta la conexión interactiva sin enviar un paquete de RST al remitente, evitando que el tráfico
llegue a su destino. Utilice esta acción para descartar conexiones del tráfico que no es propenso a
simulación.
Close Client and IDP cierra la conexión interactiva y envía un paquete RST al cliente y al servidor. Si IDP está funcionando
Server en el modo de programa rastreador, IDP envía un paquete RST al cliente y al servidor, pero no cierra la
conexión.
Close client IDP cierra la conexión interactiva al cliente, pero no al servidor.
Close Server IDP cierra la conexión interactiva al servidor, pero no al cliente.
Establecimiento de la notificación
La primera vez que diseña una directiva de seguridad, es posible que se sienta
tentado a registrar todos los ataques y dejar que la directiva se ejecute
indefinidamente. ¡No haga esto! Algunos objetos de ataque son solamente
informativos y otros pueden generar falsos positivos y registros redundantes. Si está
sobrecargado con datos, podría pasar por alto algo importante. Recuerde que las
directivas de seguridad que generan demasiados registros son peligrosas para la
seguridad de su red, ya que podría descubrir un ataque demasiado tarde o pasar
por alto una violación de la seguridad completamente si tiene que filtrar a través de
cientos de registros. El exceso de registros también puede afectar a la capacidad de
ejecución de IDP, el rendimiento y el espacio disponible en el disco. Una buena
directiva de seguridad genera suficientes registros para documentar completamente
sólo los eventos de seguridad importantes en la red.
Para registrar un ataque de una norma, haga clic con el botón secundario en la
columna Notification de la norma y seleccione Configure. Aparece el cuadro de
diálogo Configure Notification.
Paquetes de registro
Puede registrar paquetes individuales en el tráfico de red que coincidan con una
norma capturando los datos del paquete de ataque. La visualización de los paquetes
utilizados en un ataque en su red puede ayudarle a determinar la magnitud del
intento de ataque y su propósito,si el ataque ha tenido éxito o no, y cualquier daño
posible ocasionado a su red.
NOTA: Para mejorar el rendimiento de IDP, registre solamente los paquetes recibidos
después del ataque.
NOTA: Las capturas de paquetes están restringidas a 256 paquetes antes y después del
ataque.
Establecimiento de la gravedad
Puede ignorar la gravedad de un ataque inherente en base a cada norma dentro de
la base de normas de puerta de atrás. Puede establecer la gravedad en Default, Info,
Warning, Minor, Major o Critical.
Para cambiar la gravedad de una norma, haga clic con el botón secundario en la
columna Severity y seleccione un nivel de gravedad.
Establecimiento de objetivos
Para cada norma de la base de normas de puerta de atrás, puede seleccionar el
dispositivo de seguridad que utilizará esa norma para detectar e impedir los
ataques. Cuando instala la directiva de seguridad a la cual pertenece la norma, ésta
se activa solamente en los dispositivos que seleccionó en la columna Install On de
la base de normas.
Introducción de comentarios
Puede introducir anotaciones sobre la norma en la columna Comments. La
información de la columna Comments no se envía al dispositivo objetivo. Para
introducir un comentario, haga clic con el botón secundario en la columna
Comments y seleccione Edit Comments. Aparece el cuadro de diálogo Edit
Comments. Puede introducir un comentario de hasta 1024 caracteres
NOTA: Solamente los dispositivos de seguridad con capacidades para IDP admiten IDP.
Un objeto de ataque compuesto le permite ser muy específico sobre los eventos que
deben ocurrir antes de que IDP identifique el tráfico como un ataque. Por ejemplo,
es posible que desee realizar una acción solamente si la sesión de FTP incluye un
intento de inicio de sección fallido de usuarios específicos.
Para visualizar grupos y objetos de ataque predefinidos, realice los siguientes pasos:
Categoría
Para buscar todas las normas que utilizan un objeto de ataque predefinido, haga clic
con el botón secundario en el objeto de ataque y seleccione View Usages.
Para visualizar una descripción detallada de un objeto de ataque, haga doble clic en
el ataque.
Recommended, una lista de todos los objetos de ataque que Juniper Networks
considera como amenazas graves, organizadas por categorías.
Para buscar todas las normas que utilizan un grupo de objetos de ataque
predefinido, haga clic con el botón secundario en el grupo de objetos de ataque y
seleccione View Usages.
Para visualizar una descripción detallada de un objeto de ataque, haga doble clic en
el ataque.
Para obtener más información sobre los grupos predefinidos, consulte el manual
NetScreen-Security Manager Manager Administrator's Guide.
3. Haga clic en el icono Add. Aparece el cuadro de diálogo Custom Attack con la
ficha General seleccionada.
d. Escriba una categoría para este ataque. Puede utilizar una categoría
predefinida o definir una nueva categoría.
e. Introduzca una o más palabras clave para este ataque que le puedan ayudar
a encontrarlo posteriormente. Una palabra clave es un identificador único
utilizado para visualizar el objeto de ataque en los registros. Las palabras
clave indican las palabras importantes que se relacionan con el ataque y
objeto de ataque.
f. Revise la casilla de verificación si desea que este objeto de ataque sea parte
de su conjunto de riesgos más altos de objetos de ataque. Posteriormente,
cuando agregue este objeto de ataque a los grupos dinámicos, puede
especificar si sólo se incluirán los objetos de ataque recomendados. Para
obtener más información sobre los objetos de ataque recomendados,
consulte el manual NetScreen-Security Manager Manager Administrator's
Guide.
1. Configure los parámetros generales del ataque mediante los siguientes pasos:
Any permite que IDP compare la firma en todos los servicios (los
ataques pueden utilizar múltiples servicios para atacar su red).
ICMP (especificar ID) permite que IDP compare la firma del ICMP
especificado.
Time Binding permite que IDP detecte una secuencia de los mismos
ataques durante un período. Si selecciona Time Binding, puede especificar
los siguientes atributos enlazados al objeto de ataque durante un minuto:
La Tabla 20 enumera los contextos de servicio que puede utilizar para los
ataques.
Time Binding permite que IDP detecte una secuencia de los mismos
ataques durante un período especificado. Si selecciona Time Binding,
puede especificar los siguientes atributos que están enlazados al objeto de
ataque durante un minuto:
Todos los miembros del objeto de ataque compuesto utilizan el mismo ajuste
de servicio o enlace de servicio, como FTP, Telnet, YMSG, TCP/80, etc.
Any permite que IDP compare la firma en todos los servicios (los
ataques pueden utilizar múltiples servicios para atacar su red).
ICMP (especificar ID) permite que IDP compare la firma del ICMP
especificado.
Time Binding permite que IDP detecte una secuencia de los mismos
ataques durante un período especificado. Si selecciona Time Binding,
puede especificar los siguientes atributos que están enlazados al objeto de
ataque durante un minuto:
DFA Pattern. Especifique el patrón con el que IDP debe buscar una
coincidencia. Debe construir el patrón de ataque de la misma manera que
lo haría al crear un nuevo objeto de ataque de firma.
Puede crear grupos estáticos, que contienen solamente los grupos u objetos de
ataque que especifique o grupos dinámicos, que contienen objetos de ataque
basados en el criterio que especifique.
Un grupo estático personalizado puede incluir los mismos miembros que un grupo
estático predefinido, más los siguientes miembros:
Los grupos estáticos requieren más mantenimiento que los grupos dinámicos
debido a que debe agregar o eliminar manualmente los objetos de ataque en el
grupo estático para poder cambiar los miembros. Sin embargo, puede incluir un
grupo dinámico dentro de un grupo estático para actualizar automáticamente
algunos objetos de ataque. Por ejemplo, el sistema operativo del grupo de objetos
de ataque predefinido es un grupo estático que contiene cuatro grupos estáticos
predefinidos: BSD, Linux, Solaris y Windows. El grupo BSD contiene el grupo
dinámico predefinido BSD-Services-Critical en el que puede agregar objetos de
ataque durante una actualización de la base de datos de ataques.
3. Haga clic en el icono Add y seleccione Add Static Group. Aparece el cuadro de
diálogo New Static Group.
3. Haga clic en el icono Add y seleccione Add Dynamic Group. Aparece el cuadro
de diálogo New Dynamic Group.
5. En la ficha Filters, haga clic en el icono Add y seleccione una de las siguientes
opciones:
NOTA: Juniper Networks ha asignado un nivel de gravedad a todos los objetos de ataque
predefinidos. Sin embargo, puede editar este ajuste para que coincida con las
necesidades de su red.
Add Recommended Filter incluye sólo los ataques designados como las
amenazas más graves al grupo dinámico. En el futuro, Juniper Networks
sólo designará como Recomended los ataques que considere amenazas
graves. Estos ajustes se actualizarán con las nuevas actualizaciones de
objetos de ataque. Además, puede designar los objetos de ataque
personalizados como Recommended o no. Para obtener más información
sobre las acciones recomendadas, consulte el manual NetScreen-Security
Manager Manager Administrator's Guide.
Puede crear los filtros de uno en uno; a medida que agregue cada criterio, IDP lo
compara con los atributos de cada objeto de ataque e inmediatamente filtra
cualquier objeto de ataque que no coincida. Si crea un filtro con atributos que no
coinciden con ningún objeto de ataque, aparece un mensaje advirtiéndole de que su
grupo dinámico no tiene miembros.
1. En la ficha Custom Attack Groups, haga clic en el icono Add y seleccione Add
Dynamic Group. Aparece el cuadro de diálogo New Dynamic Group.
3. En la ficha Filters, haga clic en el icono Add y después agregue los filtros que
determinan qué objetos de ataque deben estar en el grupo:
IDP aplica automáticamente todos los filtros a toda la base de datos de objetos
de ataque, identifica los objetos de ataque que cumplen con un criterio
definido, y agrega los objetos que coinciden como miembros del grupo.
4. Visualice los miembros del grupo haciendo clic en la ficha Members como se
muestra en la Figura 82:
Para todos los nuevos objetos de ataque, la actualización compara los atributos
predefinidos de cada objeto de ataque para cada criterio de grupo dinámico y
agrega los objetos de ataque que coinciden.
Para todos los objetos de ataque eliminados, la actualización elimina los objetos
de ataque de sus grupos dinámicos.
Habilitación de IDP
Para habilitar IDP, necesita configurar una norma de cortafuegos en una directiva de
seguridad que dirige el tráfico entre las zonas aplicables para revisarlas en
comparación con las bases de normas de IDP. Puede hacer esta norma de
cortafuegos muy simple, es decir, que pueda comparar todo el tráfico de todos los
orígenes a todos los destinos para todos los servicios.
2. Haga clic con el botón secundario en la columna Rule Options para la norma de
cortafuegos, después seleccione DI Profile/Enable IDP.
4. Configure las normas de IDP, creando bases de normas según sea necesario.
2. Haga clic en la ficha Roles, después haga clic en el icono Add para crear una
función denominada IDP_Only. Seleccione tareas específicas a la
administración y configuración IDP, tales como:
Attack Update
Create/View/Edit/Delete Policies
Seleccione cualquier otra tarea que pueda ser útil al administrador IDP, por
ejemplo, puede seleccionar las opciones para visualizar trabajos y el monitor de
estado del sistema.
4. Haga clic en la ficha Administrators, después haga clic en el icono Add para
crear un administrador denominado IDP_Administrator. Aparece el cuadro de
diálogo New Admin con la ficha General seleccionada.
7. Haga clic en la ficha Permissions y haga clic en el icono Add para seleccionar la
función IDP_Only para este administrador.
8. Haga clic en OK para cerrar el cuadro de diálogo New Select Role and Domains.
Haga clic en OK para cerrar el cuadro de diálogo New Admin. Haga clic en OK
para cerrar el cuadro de diálogo Manage Administrators and Domains.
Administración de IDP
Esta sección describe la administración de IDP en el dispositivo con capacidad para
IDP.
NOTA: Para la función DI, todas las firmas actualizadas se envían a su dispositivo
administrado. Para obtener más información sobre la actualización de la base de
datos de objetos de ataque para DI en su dispositivo administrado, consulte el
manual NetScreen-Security Manager Manager Administrator's Guide.
Realice los siguientes pasos para ver la versión del motor IDP que se ejecuta
actualmente en el dispositivo.
1. Seleccione Devices > IDP Detector Engine > IDP Detector Engine. Aparece
el cuadro de diálogo Change Device Sigpack
NOTA: La versión de motor IDP que instale en su dispositivo de seguridad debe ser
compatible con la versión del firmware que se está ejecutando en el dispositivo.
No puede degradar la versión de motor IDP en el dispositivo.
2. Haga clic en Next y seleccione los dispositivos administrados en los que desea
instalar la actualización del motor IDP.
Action
Protocol
Subcategory
Severity
Device
Fragmentos ICMP
El protocolo de mensajes de control de Internet (“Internet Control Message
Protocol” o “ICMP”) ofrece posibilidades de comunicación de errores y de
comprobación de redes. Dado que los paquetes ICMP contienen mensajes muy
cortos, no existe ningún motivo legítimo para que los paquetes ICMP resulten
fragmentados. Cuando un paquete ICMP es tan grande que necesita fragmentarse,
hay algún problema. Si habilita la opción SCREEN “ICMP Fragment Protection”, el
dispositivo de seguridad bloquea cualquier paquete ICMP que tenga el indicador de
más fragmentos (“More Fragments”) activado o que contenga algún valor de
desplazamiento en el campo de desplazamiento.
Dirección de origen
Dirección de destino
Opciones
Datos
Para bloquear los paquetes ICMP fragmentados, utilice uno de los siguientes
métodos, donde la zona de seguridad especificada es la zona en la que se
originaron los fragmentos:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione ICMP
Fragment Protection y haga clic en Apply.
CLI
set zone zona screen icmp-fragment
Dirección de origen
Dirección de destino
Opciones
Para bloquear los paquetes ICMP de gran tamaño, utilice uno de los siguientes
métodos, donde la zona de seguridad especificada es la zona en la que se
originaron los paquetes:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Large
Size ICMP Packet (Size > 1024) Protection y haga clic en Apply.
CLI
set zone zona screen icmp-large
Opciones IP incorrectas
La norma RFC 791, Protocolo de Internet, especifica una serie de opciones que
ofrecen controles de enrutamiento, herramientas de diagnóstico y medidas de
seguridad especiales. Aunque la finalidad original prevista para estas opciones era
legítima, algunas personas han hallado la forma de explotarlas para lograr objetivos
menos loables. (Para ver un resumen de las vulnerabilidades de las opciones IP que
los hackers pueden explotar, consulte “Reconocimiento de red mediante opciones
IP” en la página 10).
Encabezado IP Longitud del Tipo de servicio Longitud total del paquete (en bytes)
Versión
encabezado
Identificación 0 D M Desplazamiento del fragmento
Dirección de origen
Dirección de destino
Opciones
Carga de datos
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Bad IP
Option Protection, luego haga clic en Apply.
CLI
set zone zona screen ip-bad-option
Protocolos desconocidos
Por el momento, los tipos de protocolos con los números de identificación 137 o
superiores están reservados y no definidos. Debido precisamente a que estos
protocolos no están definidos, no se puede saber por anticipado si un determinado
protocolo desconocido es legítimo o malicioso. Salvo que su red utilice un protocolo
no estándar con un número de identificación 137 o superior, una buena medida de
precaución es impedir que esos elementos desconocidos puedan entrar en su red
protegida.
Dirección de origen
Dirección de destino
Opciones
Carga de datos
Para descartar los paquetes que utilicen un protocolo desconocido, utilice uno de
los siguientes métodos, donde la zona de seguridad especificada es la zona en la
que se originan los paquetes:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione
Unknown Protocol Protection, luego haga clic en Apply.
CLI
set zone zona screen unknown-protocol
Fragmentos de paquetes IP
A medida que los paquetes pasan por diferentes redes, en ocasiones resulta
necesario dividirlos en trozos más pequeños (fragmentos) para adaptar su tamaño a
la unidad de transmisión máxima (MTU) de cada red. Aprovechando los fragmentos
IP, un hacker puede intentar explotar las vulnerabilidades existentes en el código de
reensamblaje de paquetes de determinadas implementaciones de pilas IP (“IP
stacks”). Cuando la víctima recibe estos paquetes, los resultados pueden variar
desde un procesamiento incorrecto de los paquetes hasta la caída total del sistema.
Longitud del
Encabezado IP Versión Tipo de servicio Longitud total del paquete (en bytes)
encabezado
Desplazamiento
Identificación 0 D M del fragmento
Tiempo de vida (TTL) Protocolo Suma de comprobación del encabezado
Dirección de origen
Dirección de destino
Opciones
Carga de datos
Para descartar los paquetes IP fragmentados, utilice uno de los siguientes métodos,
donde la zona de seguridad especificada es la zona de origen de los fragmentos:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Block
Fragment Traffic, luego haga clic en Apply.
CLI
set zone zona screen block-frag
Fragmentos SYN
El protocolo de Internet (IP) encapsula los segmentos SYN del protocolo de control
de transmisiones (TCP) en el paquete IP que inicia una conexión de TCP. Dado que
la finalidad de este paquete es iniciar una conexión e invocar un segmento
SYN/ACK como respuesta, el segmento SYN generalmente no contiene datos. Como
el paquete IP es pequeño, no existe ningún motivo legítimo para su fragmentación.
Un paquete SYN fragmentado es algo anómalo y, por lo tanto, sospechoso. Como
medida preventiva, impida que tales elementos desconocidos puedan entrar en su
red protegida.
Para descartar los paquetes IP que contengan fragmentos SYN, utilice uno de los
siguientes métodos, donde la zona de seguridad especificada es la zona en la que se
originan los paquetes:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione SYN
Fragment Protection, luego haga clic en Apply.
CLI
set zone zona screen syn-frag
Encabezado IP Versión Longitud del Tipo de servicio Longitud total del paquete (en bytes)
encabezado
Identificación 0 D M Desplazamientodel
fragmento
Tiempo de vida (TTL) Protocolo Suma de comprobación del encabezado
Dirección de origen
Dirección de destino
Encabezado ICMP Número de puerto de origen de 16 bits Número de puerto de destino de 16 bits
NOTA: Un grupo de objetos de ataque definido por el usuario sólo puede contener objetos
de ataque definidos por el usuario. En el mismo grupo de objetos de ataque no se
pueden mezclar objetos de ataque predefinidos y que define el usuario.
A-I
Manual de referencia de ScreenOS: Conceptos y ejemplos
A-II
Apéndice A: Contextos para las firmas definidas por el usuario
A-III
Manual de referencia de ScreenOS: Conceptos y ejemplos
A-IV
Índice
A asignación de grandes cantidades de paquetes
acciones de ataque ............................................ 143 a 151 simultáneos de la tabla de sesiones .........................19
close ........................................................................143 ataques
close client .............................................................144 asignación de grandes cantidades de paquetes
close server ............................................................143 simultáneos de la tabla de sesiones....................19
drop ........................................................................144 direcciones MAC desconocidas .............................43
drop packet ............................................................144 DOS ...................................................................29 a 56
ignore......................................................................144 etapas .........................................................................2
none ........................................................................144 Fragmentos de paquetes IP .................................247
Actualización del motor IDP .......................................239 Fragmentos SYN ....................................................248
Actualizaciones de la base de datos de ataques ICMP
descargar ................................................................239 fragmentos ........................................................243
introducción ...........................................................238 inundaciones ......................................................49
Administración en base a funciones inundación de la tabla de sesiones .......................30
Bases de normas de IDP ......................................188 Inundaciones SYN ...........................................37 a 43
Configuración de un administrador sólo de Inundaciones UDP ...................................................51
IDP ........................................................................237 objetivos comunes ....................................................1
agentes zombie ........................................................29, 31 opciones de detección y defensa ......................2 a 5
AIM ................................................................................135 paquetes ICMP grandes ........................................244
ALG ..................................................................................59 Ping of Death ...........................................................53
análisis antivirus .................................................... 62 a 88 protocolos desconocidos ......................................246
descompresión ........................................................92 Teardrop ...................................................................54
extensiones de archivo ...........................................93 terrestres ..................................................................52
FTP ............................................................................73 WinNuke ...................................................................55
goteo HTTP ..............................................................87
HTTP .........................................................................74 B
HTTP “keep-alive” ...................................................86 barrida de puertos ...........................................................9
IMAP .........................................................................76 barrido de direcciones ....................................................8
MIME.........................................................................75 base de datos de objetos de ataque.................124 a 132
modo de fallo ...........................................................85 actualización automática ..............................127, 128
POP3 .........................................................................76 actualización inmediata ........................................127
recursos de AV por cliente .....................................84 actualización manual ............................................130
SMTP .........................................................................78 cambiar la URL predeterminada .........................130
suscripción ...............................................................81 notificación automática y actualización
análisis FIN .....................................................................16 manual .................................................................129
anomalías en el protocolo ..........................................138 Base de normas de exclusión
ALG .........................................................................136 Adición a una directiva de seguridad ..................206
Aplicaciones de mensajería inmediata ...............135 introducción ...........................................................205
Aplicaciones P2P ...................................................135 Base de normas de puerta de atrás
configuración de parámetros ...............................167 Adición a una directiva de seguridad ..................211
protocolos admitidos .................................. 133 a 137 introducción ...........................................................210
protocolos básicos de red.....................................133 Bases de normas de IDP
applets Java, bloquear .................................................174 Adición a una directiva de seguridad ..................192
archivos exe, bloquear ................................................174 Administración en base a funciones ...................188
archivos zip, bloquear .................................................174 introducción ...........................................................191
Índice IX-I
Manual de referencia de ScreenOS: Conceptos y ejemplos
IX-II Índice
Índice
Índice IX-III
Manual de referencia de ScreenOS: Conceptos y ejemplos
IX-IV Índice
Índice
Índice IX-V
Manual de referencia de ScreenOS: Conceptos y ejemplos
IX-VI Índice
Conceptos y ejemplos
Manual de referencia de ScreenOS
Volumen 5:
Redes privadas virtuales
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen vii
Convenciones del documento ....................................................................... viii
Convenciones de la interfaz de usuario web ........................................... viii
Convenciones de interfaz de línea de comandos .................................... viii
Convenciones de nomenclatura y conjuntos de caracteres ....................... ix
Convenciones para las ilustraciones .......................................................... x
Asistencia y documentación técnica................................................................ xi
Contenido iii
Manual de referencia de ScreenOS: Conceptos y ejemplos
iv Contenido
Contenido
Contenido v
Manual de referencia de ScreenOS: Conceptos y ejemplos
Índice ........................................................................................................................IX-I
vi Contenido
Acerca de este volumen
vii
Manual de referencia de ScreenOS: Conceptos y ejemplos
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Para abrir la ayuda en línea para los ajustes de configuración, haga clic en el signo
de interrogación (?) en la parte superior izquierda de la pantalla.
En ejemplos:
NOTA: Para introducir palabras clave, basta con introducir los primeros caracteres para
identificar la palabra de forma inequívoca. Al escribir set adm u whee j12fmt54
se ingresará el comando set admin user wheezer j12fmt54. Sin embargo, todos
los comandos documentados aquí se encuentran presentes en su totalidad.
Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá
estar entre comillas dobles; por ejemplo:
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Interfaz de túnel
Servidor
Túnel VPN
Enrutador
Dispositivos de seguridad
Conmutador Juniper Networks
Concentrador
“Modos” en la página 4
“Protocolos” en la página 6
“Fase 1” en la página 9
“Fase 2” en la página 11
1
Manual de referencia de ScreenOS: Conceptos y ejemplos
Una conexión VPN puede enlazar dos redes de área local (LAN) entre sí, o un
usuario de acceso telefónico remoto y una LAN. El tráfico que circula entre estos
dos puntos atraviesa determinados recursos compartidos, como enrutadores,
conmutadores y otros equipos de red que conforman la WAN pública. Para
garantizar la seguridad de las comunicaciones VPN a través de la WAN, los dos
participantes crean un túnel de seguridad IP (IPSec).
ScreenOS admite la tecnología IPSec para la creación de túneles VPN con dos tipos
de mecanismos de elaboración de claves:
Clave manual
Conceptos de IPSec
La seguridad IP (IPSec) es un conjunto de protocolos relacionados utilizados para
garantizar la seguridad de las comunicaciones en la capa de paquetes IP mediante
encriptación. La IPSec se compone de dos modos y dos protocolos principales:
Nota: ScreenOS
no admite el modo de
transporte
transporte con AH.
Dominio de interpretación
(DOI)
Administración de claves y SA
(manual y automática)
Conceptos de IPSec 3
Manual de referencia de ScreenOS: Conceptos y ejemplos
Modos
La seguridad IPSec funciona en uno de dos modos: transporte o túnel Cuando
ambos extremos del túnel son hosts, se puede utilizar tanto el modo de transporte
como el modo de túnel. Cuando al menos uno de los puntos finales de un túnel es
una puerta de enlace de seguridad (como un enrutador o un cortafuegos), hay que
utilizar el modo de túnel. Los dispositivos de seguridad de Juniper Networks
funcionan siempre en modo de túnel cuando se trata de túneles IPSec y en modo
de transporte cuando se trata de túneles L2TP sobre IPSec.
Modo de transporte
El paquete IP original no está encapsulado en otro paquete IP, como se muestra en
la Figura 3. El paquete completo se puede autenticar (con AH), la carga se puede
encriptar (con ESP), y el encabezado original continúa en texto sin formato tal
como se envía por la WAN.
Autenticado
Modo de transporte,
ESP Original ESP Carga de datos
Encriptado
Autenticado
Modo de túnel
El paquete IP original completo (carga y encabezado) está encapsulado dentro de
otra carga IP y tiene adjunto un nuevo encabezado, como se muestra en la Figura 4.
El paquete original completo se puede encriptar, autenticar o ambas cosas. Con AH,
se autentican el AH y los nuevos encabezados. Con ESP, se autentica el encabezado
ESP.
Autenticado
Encriptado
Autenticado
4 Conceptos de IPSec
Capítulo 1: Seguridad del protocolo de Internet
Dispositivo A Dispositivo B
Puerta de enlace de túnel Puerta de enlace de túnel
Internet
LAN LAN
Túnel
1 2
B
A
A B Carga de datos 1 2 A B Carga de datos A B Carga de datos
NOTA: Algunos clientes VPN, como NetScreen-Remote, permiten definir una dirección IP
interna virtual. En estos casos, la dirección IP interna virtual es la dirección IP de
origen en el encabezado del paquete original del tráfico originado por el cliente,
y la dirección IP que el ISP asigna dinámicamente al cliente de acceso telefónico
es la dirección IP de origen en el encabezado externo.
Conceptos de IPSec 5
Manual de referencia de ScreenOS: Conceptos y ejemplos
Protocolos
IPSec utiliza dos protocolos para garantizar la seguridad de las comunicaciones en
la capa IP:
Encabezado de autenticación
El protocolo de encabezado de autenticación (AH) ofrece un medio para verificar la
autenticidad/integridad del contenido y el origen de un paquete. Puede autenticar el
paquete por la suma de comprobación calculada a través de un código de
autenticación de mensajes basado en hash (HMAC) mediante una clave secreta y
funciones MD5 o SHA-1 hash.
NOTA: Para obtener más información sobre los algoritmos MD5 y SHA-1, consulte las
siguientes normas RFC: (MD5) 1321, 2403; (SHA-1) 2404. Para obtener
información sobre HMAC, consulte la norma RFC 2104.
Con ESP, es posible encriptar y autenticar, sólo encriptar o sólo autenticar. Para la
encriptación se puede seleccionar uno de los siguientes algoritmos de encriptación:
Triple DES (3DES): Una versión más potente de DES en la que el algoritmo
original DES se aplica en tres rondas utilizando una clave de 168 bits. DES
ofrece un ahorro de rendimiento significativo, pero no se considera aceptable
para numerosas transferencias de material delicado o clasificado.
6 Conceptos de IPSec
Capítulo 1: Seguridad del protocolo de Internet
Administración de claves
La distribución y la administración de claves son fundamentales para el uso
satisfactorio de las redes VPN. IPSec admite los métodos de distribución de claves
manual y automático.
Clave manual
Con las claves manuales, los administradores de ambos extremos de un túnel
configuran todos los parámetros de seguridad. Ésta es una técnica viable para redes
pequeñas y estáticas, donde la distribución, el mantenimiento y el seguimiento de
las claves no resulta difícil. Sin embargo, la distribución segura de configuraciones
de clave manual a través de largas distancias genera problemas de seguridad.
Excepto en el caso de que las claves se transmitan “cara a cara”, no es posible estar
completamente seguro de que las claves no hayan quedado comprometidas
durante la transferencia. Además, a la hora de modificar la clave nos enfrentamos a
los mismos problemas que a la hora de distribuirla inicialmente.
AutoKey IKE
Cuando es necesario crear y administrar numerosos túneles, se requiere un método
en el que no haya que configurar cada elemento de forma manual. IPSec admite la
generación y negociación automatizada de claves y asociaciones de seguridad
mediante el protocolo de intercambio de claves de Internet (IKE). ScreenOS
denomina estas negociaciones de túnel automatizadas “AutoKey IKE” y admite
AutoKey IKE con claves previamente compartidas y AutoKey IKE con certificados.
Conceptos de IPSec 7
Manual de referencia de ScreenOS: Conceptos y ejemplos
NOTA: Una clave previamente compartida es una clave que se utiliza tanto para la
encriptación como para la desencriptación y que ambos participantes deben
poseer antes de iniciar la comunicación.
NOTA: Para obtener ejemplos de ambos túneles (clave manual y AutoKey IKE), consulte
“Redes privadas virtuales de punto a punto” en la página 81.
Asociaciones de seguridad
Una asociación de seguridad (SA) es un acuerdo unidireccional entre los
participantes VPN por lo que respecta a los métodos y parámetros empleados para
garantizar la seguridad de un canal de comunicaciones. Una comunicación
bidireccional completa requiere al menos dos SA, una para cada dirección.
Periodo de vigencia de SA
Para el tráfico VPN saliente, la directiva invoca la SA asociada al túnel VPN. Para el
tráfico entrante, el dispositivo de seguridad consulta la SA mediante los siguientes
tres elementos:
IP de destino
8 Conceptos de IPSec
Capítulo 1: Seguridad del protocolo de Internet
Negociación de túnel
Para un túnel IPSec de clave manual, como todos los parámetros de la SA se han
definido previamente, no es necesario negociar cuál SA utilizar. Básicamente, el
túnel ya se ha establecido. Cuando el tráfico coincide con una directiva que utilice
ese túnel de clave manual o cuando una ruta utiliza el túnel, el dispositivo de
seguridad simplemente encripta y autentica los datos, como se haya determinado y
los envía a la puerta de enlace de destino.
Para establecer un túnel IPSec AutoKey IKE se requieren dos fases de negociación:
Fase 1
La fase 1 de una negociación de túnel AutoKey IKE consiste en el intercambio de
propuestas sobre cómo autenticar y garantizar la seguridad del canal. El
intercambio se puede realizar en uno de estos dos modos: inámico o principal. En
cualquiera de los dos modos, los participantes intercambian propuestas de servicios
de seguridad aceptables, como por ejemplo:
Una negociación de fase 1 correcta concluye cuando ambos extremos del túnel se
ponen de acuerdo para aceptar al menos un conjunto de los parámetros de
seguridad de fase 1 propuestos y comienzan a procesarlos. Los dispositivos de
seguridad de Juniper Networks admiten hasta cuatro propuestas para negociaciones
de fase 1 y permiten definir el grado de restricción del rango aceptable de
parámetros de seguridad para la negociación de claves.
Las propuestas predefinidas de fase 1 que ofrece ScreenOS son las siguientes:
Negociación de túnel 9
Manual de referencia de ScreenOS: Conceptos y ejemplos
NOTA: Cuando un usuario VPN de acceso telefónico negocia un túnel AutoKey IKE con
una clave previamente compartida, se debe utilizar el modo dinámico. Recuerde
también que un usuario VPN de acceso telefónico puede utilizar una dirección de
correo electrónico, un nombre de dominio completo (FQDN) o una dirección IP
como su ID IKE. Un interlocutor dinámico puede utilizar una dirección de correo
electrónico o un FQDN, pero no una dirección IP.
10 Negociación de túnel
Capítulo 1: Seguridad del protocolo de Internet
Intercambio Diffie-Hellman
Un intercambio Diffie-Hellman (DH) permite a los participantes elaborar un valor
secreto compartido. El punto fuerte de esta técnica es que permite a los
participantes crear el valor secreto a través de un medio no seguro sin tener que
transmitir este valor por la línea. Hay cinco grupos Diffie-Hellman; ScreenOS
admite los grupos 1, 2 y 5. El tamaño del módulo primario utilizado en el cálculo de
cada grupo varía del siguiente modo:
Fase 2
Una vez que los participantes han establecido un canal seguro y autenticado,
continúan con la fase 2, en la que negocian las SA para garantizar la seguridad de
los datos que se van a transmitir a través del túnel IPSec.
Negociación de túnel 11
Manual de referencia de ScreenOS: Conceptos y ejemplos
Las propuestas predefinidas de fase 2 que ofrece ScreenOS son las siguientes:
Seguridad aplicada: IPSec protege el tráfico enviado entre los dos puntos
terminales del túnel usando los parámetros de seguridad definidos en las SA
que los interlocutores acordaron durante la configuración del túnel. IPSec
puede aplicarse en uno de dos modos: transporte o túnel. Ambos modos
admiten los dos protocolos IPSec: carga de seguridad encapsulada (ESP) y
encabezado de autenticación (AH).
Paquetes IKE
Cuando un paquete de texto sin formato que requiere encapsulamiento llega al
dispositivo de seguridad y no existe ninguna SA activa de fase 2 para ese túnel, el
dispositivo de seguridad inicia las negociaciones IKE (y descarta el paquete). Las
direcciones de origen y de destino en el encabezado del paquete IP son las de las
puertas de enlace IKE local y remota, respectivamente. La carga de datos del
paquete IP icnluye un segmento UDP que encapsula una asociación de seguridad
de Internet y protocolo de gestión de claves (ISAKMP), o paquete IKE. El formato de
los paquetes IKE es igual para la fase 1 y la fase 2.
Tiempo de vida (TTL) Protocolo (17 para UDP) Suma de comprobación del encabezado
Carga de datos IP
Encabezado UDP
Puerto de origen (500 para IKE) Puerto de destino (500 para IKE)
Carga de datos siguiente Ver may Ver men Tipo del intercambio Indicadores
ID del mensaje
Longitud del mensaje
El campo de carga de datos siguiente contiene un número que indica uno de los
siguientes tipos de carga de datos:
Cada carga de datos ISAKMP comienza con el mismo encabezado genérico, como
se muestra en la Figura 8.
Carga de datos
Puede haber múltiples cargas de datos ISAKMP encadenadas, indicándose cada tipo
de carga de datos subsiguiente en el valor del campo del siguiente encabezado. Un
valor de 0000 indica la última carga de datos ISAKMP. Consulte la Figura 9 en la
página 16 para obtener un ejemplo.
Paquetes IPSec
Una vez completadas las negociaciones IKE y después de que las dos puertas de
enlace IKE hayan establecido las asociaciones de seguridad de fase 1 y fase 2 (SA),
el dispositivo NetScreen aplica la protección IPSec a los paquetes IP de texto sin
formato subsiguientes que los hosts situados detrás de una puerta de enlace IKE
envían a los hosts que se encuentran detrás de la otra puerta de enlace (asumiendo
que las directivas permitan el tráfico). Si la SA de fase 2 especifica el protocolo de
seguridad encapsulada (ESP) en modo de túnel, el paquete se parecerá al que
aparece debajo. El dispositivo de seguridad agrega dos encabezados adicionales al
paquete original enviado por el host.
NOTA: Para obtener más información sobre ESP, consulte “Carga de seguridad
encapsulada” en la página 6. Para obtener información sobre el modo de túnel,
consulte “Modo de túnel” en la página 4.
Figura 10: Paquete IPSec — datos de seguridad encapsulada (ESP) en el modo de túnel
Paquete IPSec
enviado por la puerta Paquete original
de enlace IKE enviado por el host iniciador
Encabezado Encabezado Encabezado Encabezado
IP2 ESP IP1 TCP Carga de datos
Como muestra la Figura 10, el paquete que el host iniciador construye incluye la
carga de datos, el encabezado TCP y el encabezado IP interno (IP1).
Tiempo de vida (TTL) Protocolo (50 para ESP) Suma de comprobación del encabezado
Carga de datos
Encabezado ESP
Índice de parámetros de seguridad (“Security Parameters Index” o SPI) del interlocutor remoto *
Número correlativo*
Versión Longitud de Tipo de servicio Tamaño total del paquete (en bytes)
encabezado
Identificación 0 D M Desplazamiento del fragmento
Tiempo de vida (TTL) Protocolo (6 para TCP) Suma de comprobación del encabezado
Carga de datos
Encabezado TCP
Número de secuencia
Número de reconocimiento
Longitud de U A P R S F
encabezado Reservado R C S S Y I Tamaño de la ventana
G K H T N N
Datos
19
Manual de referencia de ScreenOS: Conceptos y ejemplos
El método inverso también resulta de gran utilidad; esto es, encriptar los datos con
una clave privada y que se puedan desencriptar con la clave pública
correspondiente. Este método se conoce como firma digital. Si, por ejemplo, Alicia
desea que se sepa que ella es la autora de un mensaje, lo encripta con su clave
privada y lo envía de forma pública a Juan. A continuación, Juan sólo puede
desencriptar los datos utilizando la clave pública de Alicia, lo que significa que lo ha
enviado ella.
Firma de un certificado
1. La autoridad de certificación (CA) que emite el certificado lo somete a una
operación matemática en la que se utiliza un algoritmo “hash” (MD5 o SHA-1)
para generar una codificación.
Emisor (CA)
Clave privada de la CA
Receptor
Clave privada de la CA
Las CA subordinadas
validan certificados locales
y a otras CA.
Certificación cruzada
Certificados y CRL
Un certificado digital es un método electrónico para verificar la identidad de un
usuario utilizando la palabra de una tercera parte en la que se confía, conocida
como autoridad de certificación (CA). El servidor de CA que se utilice puede ser
propiedad de una CA, que también se encargue de su manejo, o de su propia
organización, en cuyo caso usted será su propia CA. Si utiliza una CA independiente,
debe ponerse en contacto con ella para obtener las direcciones de los servidores de
CA y CRL (y conseguir certificados y listas de revocación de certificados) o la
información que dichos servidores necesitan cuando envían peticiones de
certificados personales. Si es su propia CA, podrá hacerlo usted mismo.
NOTA: ScreenOS admite las siguientes CA: Baltimore, Entrust, Microsoft, Netscape, RSA
Keon y Verisign.
24 Certificados y CRL
Capítulo 2: Criptografía de claves públicas
Durante el proceso de negociación, puede haber muchos casos en los que sea
necesario revocar un certificado. Es posible que quiera revocar un certificado si
sospecha que es peligroso o si su propietario ha dejado la empresa. Las
revocaciones y validaciones de certificados se pueden administrar localmente
(aunque esta solución es limitada) o con referencia a la CRL de una CA, a la que se
puede acceder en línea de forma automática en intervalos diarios, semanales o
mensuales o según el intervalo predefinido por la CA.
Cuando reciba estos archivos (los archivos de certificado suelen tener extensión la
.cer y los archivos de CRL, la extensión .crl), cárguelos en el dispositivo de
seguridad siguiendo el procedimiento descrito en “Petición manual de un
certificado” en la página 26.
NOTA: Si piensa utilizar el correo electrónico para enviar un archivo PKCS 10 y obtener
los certificados, debe configurar adecuadamente los ajustes de ScreenOS para
poder enviar mensajes de correo electrónico al administrador del sistema. Deberá
establecer los servidores DNS principal y secundario, y especificar los ajustes de
dirección del servidor SMTP y del servidor de correo.
Certificados y CRL 25
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
1. Generación del certificado
Objects > Certificates > New: Introduzca los siguientes datos y haga clic
en Generate:
26 Certificados y CRL
Capítulo 2: Criptografía de claves públicas
2. Petición de certificado
El administrador de seguridad abre el archivo y copia su contenido, procurando
copiar el texto completo pero no los espacios en blanco situados delante o
detrás del texto (comenzando por “-----BEGIN CERTIFICATE REQUEST-----” y
finalizando en “-----END CERTIFICATE REQUEST-----”).
CLI
1. Generación del certificado
set pki x509 dn country-name US
set pki x509 dn email mzhang@juniper.net
set pki x509 dn ip 10.10.5.44
set pki x509 dn local-name “Santa Clara”
set pki x509 dn name “Michael Zhang”
set pki x509 dn org-name “Juniper Networks”
set pki x509 dn org-unit-name Development
set pki x509 phone 408-730-6000
set pki x509 dn state-name CA
set pki x509 default send-to admin@juniper.net
exec pki rsa new-key 1024
Certificados y CRL 27
Manual de referencia de ScreenOS: Conceptos y ejemplos
2. Petición de certificado
El administrador de seguridad abre el archivo y copia su contenido, procurando
copiar el texto completo pero no los espacios en blanco situados delante o
detrás del texto (comenzando por “-----BEGIN CERTIFICATE REQUEST-----” y
finalizando en “-----END CERTIFICATE REQUEST-----”).
NOTA: Los dispositivos de seguridad de Juniper Networks configurados con ScreenOS 2.5
o versiones posteriores (incluyendo los sistemas virtuales) permiten cargar
certificados locales desde distintas CA.
En este ejemplo se muestra cómo se deben cargar dos archivos distintos, llamados
auth.cer (certificado de CA) y local.cer (su clave pública), junto con el archivo de
CRL llamado distrust.crl.
WebUI
1. Objects > Certificates: Seleccione Load Cert y después haga clic en Browse.
28 Certificados y CRL
Capítulo 2: Criptografía de claves públicas
4. Objects > Certificates: Seleccione Load Cert y después haga clic en Browse.
7. Objects > Certificates: Seleccione Load CRL y después haga clic en Browse.
CLI
exec pki x509 tftp 198.168.1.5 cert-name auth.cer
exec pki x509 tftp 198.168.1.5 cert-name local.cer
exec pki x509 tftp 198.168.1.5 crl-name distrust.crl
Certificados y CRL 29
Manual de referencia de ScreenOS: Conceptos y ejemplos
NOTA: El número de índice (IDX) para el certificado de Entrust CA es 1. Para poder ver
una lista de los números IDX de todos los certificados de CA cargados en un
dispositivo de seguridad, utilice el siguiente comando CLI: get pki x509 list
ca-cert.
WebUI
Objects > Certificates (Show: CA) > Server Settings (para NetScreen):
Introduzca los siguientes datos y haga clic en OK:
Objects > Certificates > Default Cert Validation Settings: Introduzca los
siguientes datos y haga clic en OK:
30 Certificados y CRL
Capítulo 2: Criptografía de claves públicas
CLI
set pki authority 1 cert-path full
set pki authority 1 cert-status crl url “ldap:///CN=Entrust,CN=en2001,
CN=PublicKeyServices,CN=Services,CN=Configuration,DC=EN2000,DC=com?
CertificateRevocationList?base?objectclass=CRLDistributionPoint”
set pki authority 1 cert-status crl server-name 2.2.2.121
set pki authority 1 cert-status crl refresh daily
set pki authority default cert-path full
set pki authority default cert-status crl url “ldap:///CN=NetScreen,
CN=safecert,CN=PublicKeyServices,CN=Services,CN=Configuration,DC=SAFE
CERT,
DC=com?CertificateRevocationList?base?objectclass=CRLDistributionPoint”
set pki authority default cert-status crl server-name 10.1.1.200
set pki authority default cert-status crl refresh daily
save
Ajustar el reloj del sistema. (Consulte “Reloj del sistema” en la página 2-256.)
RA CGI: http://ipsec.verisign.com/cgi-bin/pkiclient.exe
Certificados y CRL 31
Manual de referencia de ScreenOS: Conceptos y ejemplos
CA CGI: http://ipsec.verisign.com/cgi-bin/pkiclient.exe
Contraseña de desafío
WebUI
1. Ajustes del servidor de CA
Objects > Certificates > Show CA > Server Settings (para Verisign): Introduzca
los siguientes datos y haga clic en OK:
Polling Interval: 30
Certificate Authentication: Auto
Certificate Renew: 14
32 Certificados y CRL
Capítulo 2: Criptografía de claves públicas
NOTA: El valor 1024 indica la longitud en bits del par de claves. Si va a utilizar el
certificado para SSL, asegúrese de que utiliza una longitud de bits que también sea
compatible con su explorador.
Ejecute el comando CLI get pki x509 pkcs para que el dispositivo de seguridad
genere un archivo PKCS nº. 10 y, a continuación, siga uno de estos pasos:
Guardarlo en disco
3. Inscripción automática
Seleccione la opción Automatically enroll to, luego la opción Existing CA
server settings y finalmente seleccione Verisign en la lista desplegable.
CLI
1. Ajustes del servidor de CA
set pki authority 1 cert-path full
set pki authority 1 scep ca-cgi “http://ipsec.verisign.com/cgi-bin
/pkiclient.exe”
set pki authority 1 scep ra-cgi “http://ipsec.verisign.com/cgi-bin
/pkiclient.exe”
set pki authority 1 scep polling-int 30
set pki authority 1 scep renew-start 14
Certificados y CRL 33
Manual de referencia de ScreenOS: Conceptos y ejemplos
Debe especificar una ruta RA CGI aunque la autoridad de registro (RA) no exista. Si
la RA no existe, utilice el valor especificado para la CA CGI.
34 Certificados y CRL
Capítulo 2: Criptografía de claves públicas
Para evitar problemas con esta función, el dispositivo de seguridad debe ser capaz
de acceder al servidor SCEP y el certificado debe estar presente en el propio
dispositivo de seguridad durante el proceso de renovación. También debe
asegurarse de que la CA que emite el certificado pueda hacer lo siguiente:
Puede utilizar comandos CLI para configurar un dispositivo de seguridad para OCSP.
La mayoría de estos comandos utilizan un número de identificación para asociar la
URL de referencia de la revocación con el certificado de CA. Puede obtener este
número ID con el siguiente comando CLI:
Certificados autofirmados
Un certificado autofirmado es un certificado firmado y emitido por la misma
entidad; es decir, el emisor y el sujeto del certificado coinciden. Por ejemplo, los
certificados CA de todas las autoridades de certificación raíz (CA) son autofirmados.
NOTA: Para obtener más información sobre SSL, incluyendo el mecanismo de redirección
HTTP a SSL, consulte “Secure Sockets Layer” en la página 3-5.
38 Certificados autofirmados
Capítulo 2: Criptografía de claves públicas
NOTA: Para averiguar cómo crear otro certificado autofirmado, consulte “Creación
manual de certificados autofirmados” en la página 40. Para averiguar cómo
eliminar un certificado autofirmado y autogenerado, consulte “Eliminar
certificados autofirmados” en la página 46.
Validación de certificados
Durante el establecimiento de conexión SSL, el dispositivo de seguridad se
autentica enviando un certificado al cliente SSL. Cuando el dispositivo de seguridad
envía un certificado autofirmado, el cliente SSL no puede validarlo comprobando la
firma de la CA emisora porque no la publicó ninguna CA. Cuando el dispositivo de
seguridad presenta un certificado autofirmado para establecer una sesión SSL, el
explorador del equipo del administrador intenta validarlo con un certificado CA en
su almacén de CA (autoridades de certificación). Si no puede encontrar esa
autoridad, el explorador visualiza un mensaje como el que se muestra en la
Figura 16, pidiendo al administrador que acepte o rechace el certificado.
Sin poder recurrir a la validación del certificado por parte de una CA imparcial e
independiente, el administrador que inicie una sesión a través de SSL podría
preguntarse si el certificado autofirmado recibido realmente procede del dispositivo
de seguridad al que está intentando conectarse. (Después de todo, el certificado
podría ser un impostor que esté utilizando un ataque por interposición de intrusos
(man-in-the-middle attack) para intentar enmascararse como dispositivo de
seguridad). El administrador puede validar el certificado recibido utilizando el
nombre del sujeto y la huella digital del certificado autofirmado. Puede entregar el
nombre del sujeto y la huella digital al administrador para que pueda validar el
certificado autofirmado cuando el dispositivo de seguridad lo suministre más
adelante para autenticarse.
Certificados autofirmados 39
Manual de referencia de ScreenOS: Conceptos y ejemplos
Puede que desee utilizar un certificado con un nombre de sujeto distinto del
creado automáticamente.
40 Certificados autofirmados
Capítulo 2: Criptografía de claves públicas
Establecer una conexión Secure Sockets Layer (SSL) para proteger el tráfico
administrativo hacia un dispositivo de seguridad
Name: 4ssl
Organization: jnpr
FQDN: www.juniper.net
Certificados autofirmados 41
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
1. Definir los atributos del certificado
Objects > Certificates > New: Introduzca los siguientes datos y haga clic
en Generate:
Puede copiar el nombre del sujeto y la huella digital desde esta página y
comunicarlos a otros administradores que pretendan utilizar SSL al administrar el
dispositivo de seguridad. Cuando inicien una conexión SSL, podrán utilizar esta
información para asegurarse de que el certificado que reciben procede, de hecho,
del dispositivo de seguridad.
CLI
1. Definir los atributos del certificado
set pki x509 dn name 4ssl
set pki x509 dn org-name jnpr
set pki x509 cert-fqdn www.juniper.net
save
42 Certificados autofirmados
Capítulo 2: Criptografía de claves públicas
Certificados autofirmados 43
Manual de referencia de ScreenOS: Conceptos y ejemplos
Puede copiar el nombre del sujeto subject name y la huella digital fingerprint
desde esta página y comunicarlos a otros administradores que pretendan utilizar
SSL para administrar el dispositivo de seguridad. Cuando inicien una conexión SSL,
podrán utilizar esta información para asegurarse de que el certificado que reciben
procede, de hecho, del dispositivo de seguridad.
44 Certificados autofirmados
Capítulo 2: Criptografía de claves públicas
Autogeneración de certificados
La primera vez que se encienda el dispositivo de seguridad, generará
automáticamente un certificado autofirmado. El principal propósito de este
certificado es reconocer inmediatamente SSL después del arranque inicial de un
dispositivo de seguridad. Para ver este certificado, utilice el comando CLI siguiente:
get ssl
web SSL enable.
web SSL port number(443).
web SSL cert: Default - System Self-Signed Cert.
web SSL cipher(RC4_MD5).
Certificados autofirmados 45
Manual de referencia de ScreenOS: Conceptos y ejemplos
¿Existe un
cert generado
automáticamente y Sí
autofirmado?
Sí
No generar
automáticamente
¿Existe Cert un certificado
para Sí
autofirmado.
SSL?
No
Generar automáticamente un
certificado autofirmado.
46 Certificados autofirmados
Capítulo 2: Criptografía de claves públicas
Para obtener información sobre la redirección del tráfico HTTP a SSL, consulte
“Redireccionamiento de HTTP a SSL” en la página 3-8.
Certificados autofirmados 47
Manual de referencia de ScreenOS: Conceptos y ejemplos
48 Certificados autofirmados
Capítulo 3
Directrices para las redes privadas
virtuales
La segunda mitad del capítulo examina las diferencias que existen entre los túneles
VPN basados en rutas y los túneles VPN basados en directivas. También revisa el
flujo de paquetes de un túnel VPN AutoKey IKE punto a punto basado en directivas
y basado en rutas para ver las etapas de procesamiento de entrada y salida por las
que pasa un paquete. El capítulo concluye con algunos consejos de configuración
VPN que hay que tener en cuenta a la hora de configurar un túnel.
49
Manual de referencia de ScreenOS: Conceptos y ejemplos
Opciones criptográficas
Durante la configuración de una VPN es necesario tomar numerosas decisiones
sobre la criptografía que se desea utilizar. Surgirán preguntas sobre cuál es el grupo
Diffie-Hellman adecuado, qué algoritmo de encriptación ofrece el mejor equilibrio
entre seguridad y rendimiento, etc. En esta sección se presentan todas las opciones
criptográficas requeridas para configurar un túnel VPN punto a punto básico y un
túnel VPN de acceso telefónico básico. También se indican una o más ventajas de
cada opción para ayudarle a tomar una decisión.
La primera decisión que hay que tomar es si se va a optar por un túnel VPN punto a
punto (entre dos dispositivos de seguridad) o por un túnel VPN de acceso telefónico
(desde el cliente VPN NetScreen-Remote hasta el dispositivo de seguridad). Aunque
esta decisión depende de la configuración de red, las diferencias entre estos dos
tipos de túneles afectan a algunas opciones criptográficas. Por lo tanto, las opciones
se presentan en dos figuras distintas:
Cuando haya decidido qué tipo de túnel desea configurar (de acceso telefónico o
punto a punto), consulte la Figura 19 o la Figura 20 para obtener las indicaciones
oportunas. En cada figura se presentan las decisiones criptográficas que deberá
tomar durante la configuración del túnel. A continuación, se señalan los motivos
que justifican la elección de cada opción de la figura.
50 Opciones criptográficas
Capítulo 3: Directrices para las redes privadas virtuales
2. Modo:
Dinámico o principal
Clave manual
Resulta útil para depurar problemas IKE.
Principal
Recomendado.
Opciones criptográficas 51
Manual de referencia de ScreenOS: Conceptos y ejemplos
768
Ofrece más seguridad que la opción de 512 bits.
1024
Recomendado
2048
Ofrece la máxima seguridad.
Grupo de Diffie-Hellman 2
Recomendado
52 Opciones criptográficas
Capítulo 3: Directrices para las redes privadas virtuales
Grupo de Diffie-Hellman 5
Ofrece la máxima seguridad
Tiene un mayor nivel de encriptación que DES y 3DES si las longitudes de clave
son iguales
DES
Su gasto de procesamiento es inferior al de 3DES y AES.
3DES
Ofrece más seguridad criptográfica que DES.
MD5
Su gasto de procesamiento es inferior al de SHA-1.
SHA-1
Recomendado
Opciones criptográficas 53
Manual de referencia de ScreenOS: Conceptos y ejemplos
U-FQDN
Nombre de dominio completo de usuario (U-FQDN, una dirección de correo
electrónico): se puede utilizar con una clave previamente compartida o un
certificado si el U-FQDN aparece en el campo SubjectAltName.
FQDN
Nombre de dominio completo (FQDN): se puede utilizar con una clave
previamente compartida o un certificado si el FQDN aparece en el campo
SubjectAltName.
Resulta útil para puertas de enlace VPN que tengan direcciones IP dinámicas.
ASN1-DN
Sólo se puede utilizar con certificados.
U-FQDN
Nombre de dominio completo de usuario (U-FQDN, una dirección de correo
electrónico): se puede utilizar con una clave previamente compartida o un
certificado si el U-FQDN aparece en el campo SubjectAltName.
FQDN
Nombre de dominio completo (FQDN): se puede utilizar con una clave
previamente compartida o un certificado si el FQDN aparece en el campo
SubjectAltName.
Resulta útil para puertas de enlace VPN que tengan direcciones IP dinámicas.
54 Opciones criptográficas
Capítulo 3: Directrices para las redes privadas virtuales
ASN1-DN
Sólo se puede utilizar con certificados.
No
Desactivar esta opción tal vez sea la solución a problemas de compatibilidad con
interlocutores de terceros.
Confidencialidad directa perfecta (PFS): ofrece una mayor seguridad porque los
interlocutores realizan un segundo intercambio Diffie-Hellman para generar la
clave utilizada para la encriptación/desencriptación IPSec.
No
Agiliza la configuración del túnel.
Grupo de Diffie-Hellman 2
Recomendado
Grupo de Diffie-Hellman 5
Ofrece la máxima seguridad.
Opciones criptográficas 55
Manual de referencia de ScreenOS: Conceptos y ejemplos
AH
Encabezado de autenticación (AH): ofrece autenticación del paquete IP completo,
incluyendo el encabezado IPSec y el encabezado IP externo
Transporte
Es necesario para el soporte del túnel L2TP sobre IPSec
Encriptación y autenticación
Recomendado
Autenticación
Resulta útil cuando se requiere autenticación, pero no confidencialidad. Por
ejemplo, cuando la información no es secreta, pero es importante determinar que
procede realmente de la persona que dice enviarlo y que nadie ha manipulado el
contenido durante la transmisión.
Tiene un mayor nivel de encriptación que DES y 3DES si las longitudes de clave
son iguales
56 Opciones criptográficas
Capítulo 3: Directrices para las redes privadas virtuales
DES
Su gasto de procesamiento es inferior al de 3DES y AES
3DES
Ofrece más seguridad criptográfica que DES
SHA-1
Recomendado
NOTA: La Figura 20 muestra las opciones que se recomiendan en negrita. Para obtener
información sobre las distintas opciones IPSec, consulte el “Seguridad del
protocolo de Internet” en la página 1.
Opciones criptográficas 57
Manual de referencia de ScreenOS: Conceptos y ejemplos
1. Modo:
Dinámico o principal
Principal
Ofrece protección de identidad
58 Opciones criptográficas
Capítulo 3: Directrices para las redes privadas virtuales
768
Ofrece más seguridad que la opción de 512 bits.
1024
Recomendado
2048
Ofrece la máxima seguridad
Grupo de Diffie-Hellman 2
Recomendado
Grupo de Diffie-Hellman 5
Ofrece la máxima seguridad
Tiene un mayor nivel de encriptación que DES y 3DES si las longitudes de clave
son iguales
Opciones criptográficas 59
Manual de referencia de ScreenOS: Conceptos y ejemplos
DES
Su gasto de procesamiento es inferior al de 3DES y AES
3DES
Ofrece más seguridad criptográfica que DES
MD5
Su gasto de procesamiento es inferior al de SHA-1
SHA-1
Recomendado
U-FQDN
Recomendado
FQDN
Nombre de dominio completo (FQDN): se puede utilizar con una clave
previamente compartida o un certificado si el FQDN aparece en el campo
SubjectAltName.
Resulta útil para puertas de enlace VPN que tengan direcciones IP dinámicas.
ASN1-DN
Sólo se puede utilizar con certificados.
60 Opciones criptográficas
Capítulo 3: Directrices para las redes privadas virtuales
U-FQDN
Recomendado
FQDN
Nombre de dominio completo (FQDN): se puede utilizar con una clave
previamente compartida o un certificado si el FQDN aparece en el campo
SubjectAltName.
Resulta útil para puertas de enlace VPN que tengan direcciones IP dinámicas.
ASN1-DN
Sólo se puede utilizar con certificados.
No
Desactivar esta opción tal vez sea la solución a problemas de compatibilidad con
interlocutores de terceros
Confidencialidad directa perfecta (PFS): ofrece una mayor seguridad porque los
interlocutores realizan un segundo intercambio Diffie-Hellman para generar la
clave utilizada para la encriptación/desencriptación IPSec
Opciones criptográficas 61
Manual de referencia de ScreenOS: Conceptos y ejemplos
No
Agiliza la configuración del túnel.
Grupo de Diffie-Hellman 2
Recomendado.
Grupo de Diffie-Hellman 5
Ofrece la máxima seguridad
AH
Encabezado de autenticación (AH): ofrece autenticación del paquete IP completo,
incluyendo el encabezado IPSec y el encabezado IP externo
Transporte
Es necesario para el soporte del túnel L2TP sobre IPSec
62 Opciones criptográficas
Capítulo 3: Directrices para las redes privadas virtuales
Encriptación y autenticación
Recomendado
Autenticación
Resulta útil cuando se requiere autenticación, pero no confidencialidad. Por
ejemplo, cuando la información no es secreta, pero es importante determinar que
procede realmente de la persona que dice enviarlo y que nadie ha manipulado el
contenido durante la transmisión.
Tiene un mayor nivel de encriptación que DES y 3DES si las longitudes de clave
son iguales
DES
Su gasto de procesamiento es inferior al de 3DES y AES.
3DES
Ofrece más seguridad criptográfica que DES
SHA-1
Recomendado
Opciones criptográficas 63
Manual de referencia de ScreenOS: Conceptos y ejemplos
NOTA: Normalmente, una interfaz Tunnel está asociada a un solo túnel. No obstante,
también es posible asociar una interfaz Tunnel a varios túneles. Para obtener más
información, consulte “Múltiples túneles por interfaz de túnel” en la página 263.
Por lo tanto, con un túnel VPN basado en directivas, un túnel se puede considerar
como un elemento en la construcción de una directiva. Con un túnel VPN basado
en rutas, un túnel se puede considerar como un medio para entregar tráfico, y la
directiva se puede considerar como un método para permitir o denegar la entrega
de dicho tráfico.
El número de túneles VPN basados en directivas que se puede crear está limitado
por el número de directivas que admita el dispositivo. El número de túneles VPN
basados en rutas que se puede crear está limitado por el número de entradas de
ruta o por el número de interfaces Tunnel que admita el dispositivo (el que sea más
pequeño).
Dicho esto, si el cliente de acceso telefónico admite una dirección IP interna virtual
(como NetScreen-Remote), existen argumentos convincentes para utilizar una
configuración VPN basada en rutas. Un túnel VPN de acceso telefónico basado en
rutas presenta las siguientes ventajas:
Se pueden definir rutas para forzar el tráfico a través del túnel, al contrario de lo
que ocurre con una configuración VPN basada en directivas.
Puede ajustar la ID de proxy para que acepte cualquier dirección IP del cliente
VPN de acceso telefónico configurando la dirección del cliente remoto como
255.255.255.255/32.
Puede definir una o más direcciones IP asignadas (MIP) en la interfaz del túnel.
NOTA: Para obtener un ejemplo de una configuración VPN basada en rutas para un
cliente de acceso telefónico, consulte “VPN de acceso telefónico basada en rutas,
interlocutor dinámico” en la página 170.
Una empresa con sede en Tokio acaba de abrir una sucursal en París y necesita
conectar los dos puntos mediante un túnel IPSec. El túnel tiene las siguientes
características: AutoKey IKE, protocolo ESP, AES para encriptación, SHA-1 para
autenticación con clave previamente compartida y comprobación contra
reprocesamiento de paquetes habilitada. Los dispositivos de seguridad que
protegen cada punto se encuentran en modo NAT y todas las zonas se ubican en el
dominio de enrutamiento trust-vr. Las direcciones se muestran en la Figura 21 en la
página 66.
tunnel.1, 10.1.2.1/24
Interfaz de salida: ethernet3, 1.1.1.1/24
ethernet1
10.1.1.1/24 Enrutador externo: 1.1.1.250
10.1.1.5
Internet París
Tokio
LAN VPN1 LAN
10.2.2.5
Enrutador externo: 2.2.2.250
ethernet1
Interfaz de salida: ethernet3, 2.2.2.2/24 10.2.2.1/24
tunnel.2, 10.2.1.1/24
Oficina
Zona Untrust de París Zona Trust
Tokio (iniciador)
1. El host en 10.1.1.5 envía un paquete para 10.2.2.5 a 10.1.1.1, que es la
dirección IP ethernet1 y es la puerta de enlace predeterminada configurada en
los ajustes TCP/IP del host.
7. El motor de directivas realiza una consulta de directivas entre las zonas Trust y
Untrust (según lo determinado por las correspondientes interfaces de entrada y
de salida). La acción especificada en la directiva que coincide con la dirección
de origen y la zona, la dirección de destino y la zona, y el servicio es permitir.
París (destinatario)
1. El paquete llega a 2.2.2.2, que es la dirección IP de ethernet3, una interfaz
asociada a la zona Untrust.
Tokio (iniciador)
Las primeras etapas del flujo de paquetes saliente son las mismas para las
configuraciones VPN basadas en rutas y las basadas en directivas hasta que se
producen las consultas de rutas y de directivas:
París (destinatario)
La mayoría de las etapas del flujo de paquetes entrante en el extremo del
destinatario son idénticas tanto para las configuraciones VPN basadas en directivas
como para las basadas en rutas, excepto que el túnel no está asociado a una interfaz
Tunnel, sino a una zona de túnel. El dispositivo de seguridad averigua que el
paquete ha llegado a través de vpn1, que está asociada a la zona de túnel
Untrust-Tun, cuya zona portadora es la zona Untrust. Al contrario de lo que ocurre
en las VPN basadas en rutas, el dispositivo de seguridad considera que ethernet3 es
la interfaz de entrada del paquete desencriptado (y no tunnel.1).
El flujo cambia cuando concluye la desencriptación del paquete. En este punto, las
consultas de rutas y directivas difieren:
El método más simple para garantizar que las ID de proxy coinciden es utilizar
0.0.0.0/0 para la dirección local, 0.0.0.0/0 para la dirección remota y “any” para el
servicio. En lugar de utilizar la ID de proxy para el control de acceso, se utilizan
directivas para controlar el tráfico procedente de y destinado a la VPN. Para obtener
ejemplos de configuraciones VPN con ID de proxy configurables por el usuario,
consulte los ejemplos de VPN basadas en rutas del “Redes privadas virtuales de
punto a punto” en la página 81.
Para obtener más información sobre las ID de proxy cuando se utilizan con NAT-src
y NAT-dst, consulte “Sitios VPN con direcciones superpuestas” en la página 142.
NOTA: El interlocutor 1 también puede definir una ID de proxy que coincida con la ID de
proxy del interlocutor 2. La ID de proxy definida por el usuario del interlocutor 1
reemplaza la ID de proxy que el dispositivo de seguridad deriva de los
componentes de la directiva.
Para evitar reenrutar el tráfico previsto originalmente para un túnel VPN a la WAN
pública como texto sin formato, puede configurar el dispositivo de seguridad para
que desvíe dicho tráfico a otro túnel, reenrutarlo a una línea arrendada o
simplemente descartarlo, utilizando una de las siguientes soluciones:
Ruta Null
Si el estado de un túnel VPN cambia a “fuera de línea”, el dispositivo de seguridad
cambia cualquier ruta que haga referencia a esa interfaz Tunnel a “fuera de línea”. Si
la ruta a la interfaz Tunnel deja de estar disponible y la opción siguiente es la ruta
predeterminada (por ejemplo), a continuación el dispositivo de seguridad utiliza la
ruta predeterminada para reenviar el tráfico previsto originalmente para el túnel
VPN. Para evitar enviar tráfico en texto sin formato hacia la WAN pública cuando se
produce un cambio de ruta, puede utilizar una ruta Null. Una ruta Null apunta a la
misma dirección de destino que la ruta a través de la interfaz Tunnel, pero dirige el
tráfico hacia la interfaz Null. La interfaz Null es una interfaz lógica que descarta el
tráfico enviado hacia ella. Asigne a la ruta Null una métrica más elevada (más
alejada de cero) que la ruta que utiliza la interfaz Tunnel para que la ruta Null tenga
una prioridad inferior.
Por ejemplo, si crea una ruta estática a través de tunnel.1 hacia una LAN remota
con la dirección IP 10.2.2.0/24, su métrica recibirá automáticamente el valor
predeterminado 1:
En la tabla de enrutamiento anterior, un asterisco (*) indica que una ruta está
activa, S indica una ruta estática y “C” indica una ruta conectada.
Cuando utilice una línea de acceso telefónico o arrendada como ruta de siguiente
opción, todavía existe la posibilidad de que las rutas de primera y de segunda
opción puedan desactivarse simultáneamente. En ese caso, el dispositivo de
seguridad recurre a la tercera opción, que puede ser la ruta predeterminada. En
previsión de tal situación, puede convertir a la ruta de acceso telefónico o
arrendada en la segunda opción y a la ruta Null en la tercera opción (consulte “Ruta
Null” en la página 74). La Figura 22 muestra cómo estas opciones de tratamiento de
un fallo de enrutamiento pueden funcionar en conjunto.
Ruta terciaria: utilice la interfaz Null para descartar tráfico (métrica = 10)
Finalmente, agregará una ruta NULL con una métrica de 10. Si la ruta preferida falla
y a continuación también falla la ruta secundaria, el dispositivo de seguridad
descartará todos los paquetes. Todas las zonas de seguridad se encuentran en el
dominio de enrutamiento trust-vr.
NOTA: Este ejemplo muestra únicamente la configuración para cuatro rutas (tres para la
conmutación por error más la ruta predeterminada) en el dispositivo-A.
Figura 23: Fallo de enrutamiento hacia una línea arrendada y después a la ruta Null
WebUI (dispositivo-A)
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
CLI (dispositivo-A)
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1
set vrouter trust-vr route 10.2.2.0/24 interface ethernet4 gateway 1.2.2.5 metric
2
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10
save
Puede verificar la presencia de las nuevas rutas ejecutando el comando get route.
NOTA: Las versiones anteriores a ScreenOS 5.1.0 no admiten interfaces Null (consulte
“Ruta Null” en la página 74). Sin embargo, puede utilizar una interfaz Tunnel
ficticia para lograr el mismo objetivo.
1. Cree una segunda interfaz Tunnel, pero no la asocie a un túnel VPN. En su lugar,
asóciela a una zona Tunnel que se encuentre en el mismo dominio de
enrutamiento virtual que la primera interfaz Tunnel.
NOTA: Si una interfaz Tunnel está asociada a una zona de túnel, su estado siempre será
activo.
2. Defina una segunda ruta hacia el mismo destino utilizando esta segunda
interfaz Tunnel y asígnele una métrica más alta (más alejada de cero) que la de
la ruta preferida.
1. Cree un enrutador virtual independiente para utilizarlo con todas las rutas que
apunten a interfaces Tunnel y déle, por ejemplo, el nombre “VR-VPN”.
2. Cree una zona de seguridad (llamada, por ejemplo, “zona VPN”) y asóciela a
VR-VPN.
3. Asocie todas las interfaces Tunnel a la zona VPN e introduzca todas las
direcciones de ubicaciones remotas a las que desee acceder a través de túneles
VPN en esta zona.
En este capítulo se explica cómo configurar un túnel de red privada virtual (VPN)
punto a punto entre dos dispositivos de seguridad de Juniper Networks. Aquí se
examinan los túneles VPN basados en rutas y basados en directivas, se presentan
los diversos elementos que hay que tener en cuenta al configurar un túnel y se
ofrecen varios ejemplos.
81
Manual de referencia de ScreenOS: Conceptos y ejemplos
Túnel VPN punto a punto AutoKey IKE (con clave previamente compartida o
certificados)
Si una puerta de enlace tiene una dirección estática, y la otra tiene una dirección
asignada de forma dinámica, se puede configurar el siguiente tipo de túnel:
Túnel VPN punto a punto de interlocutor dinámico AutoKey IKE (con clave
previamente compartida o certificados)
Tal como se utiliza aquí, una VPN punto a punto estática implica la existencia de un
túnel IPSec para conectar dos puntos, cada uno de ellos con un dispositivo de
seguridad operativo como puerta de enlace segura. La interfaz o subinterfaz física
utilizada como interfaz de salida en ambos dispositivos tiene una dirección IP fija,
y los hosts internos también tienen direcciones IP estáticas. Si el dispositivo de
seguridad se encuentra en modo transparente, utiliza la dirección VLAN1 como
dirección IP para la interfaz de salida. Con una VPN punto a punto estática, los
hosts situados en cualquier extremo del túnel pueden iniciar la configuración del
túnel VPN porque la dirección IP de la puerta de enlace remota se mantiene
constante y, por tanto, accesible.
NOTA: Para obtener más información sobre las opciones de VPN disponibles, consulte
“Seguridad del protocolo de Internet” en la página 1. Si desea obtener ayuda para
elegir entre las distintas opciones, consulte “Directrices para las redes privadas
virtuales” en la página 49.
Direcciones
AutoKey IKE
Interlocutor dinámico
Clave manual
Rutas
Directivas
Ethernet1 se encuentra en modo NAT, por lo que cada administrador puede asignar
direcciones IP a todos los hosts internos, incluso si el tráfico pasa de la zona Trust a
la zona Untrust, el dispositivo de seguridad traduce la dirección IP de origen de los
encabezados de los paquetes a la dirección de la interfaz de la zona Untrust,
ethernet3 (1.1.1.1 para Tokio y 2.2.2.2 para París).
Para una VPN basada en rutas, cada administrador asocia la interfaz de túnel
tunnel.1 al túnel VPN vpn1. Definiendo una ruta al espacio de direcciones de la LAN
de la oficina remota, el dispositivo de seguridad puede dirigir todo el tráfico
asociado a dicha LAN a la interfaz tunnel.1, y por tanto, a través del túnel al que
está asociada tunnel.1.
2. Direcciones
Los administradores definen direcciones para su posterior uso en directivas de
entrada y salida. El administrador de la oficina de Tokio define las direcciones que
aparecen en la mitad superior de la Figura 26. Asimismo, el administrador de la
oficina de París configura las direcciones que aparecen en la mitad inferior de la
figura.
From: 0.0.0.0/0
To: 10.2.2.0/24
Service: ANY
To: 10.1.1.0/24
From: 10.2.2.0/24
Service: ANY
NOTA: A partir de ScreenOS 5.0.0, también es posible definir ID de proxy para túneles
VPN de los que se incluyen referencias en configuraciones VPN basadas en
directivas.
3. VPN
Es posible configurar una de las tres VPN siguientes:
AutoKey IKE
Interlocutor dinámico
Clave manual
trust-vr Oficina
Dest 10.2.2.0/24 Zona Trust Zona Untrust
Utilizar tunnel. 1 de Tokio
tunnel.1, sin numerar Trust_LAN
Dest 10.2.2.0/24 ethernet1 ethernet3, 1.1.1.1/24 Trust, 10.2.2.0/24
Utilizar NULL 10.1.1.1/24 París
Metric: 50 Interfaz Null Enrutador externo, 1.1.1.250 Untrust,
NAT
10.2.2.0/24
Dest 0.0.0.0/0 Internet trust-vr
LAN LAN
Utilizar eth3 Tunnel:vpn1 Dest 10.1.1.0/24
Puerta de enlace: Utilizar tunnel. 1
1.1.1.250
Trust_LAN enrutador externo, 2.2.2.250 Interfaz Null
Dest 10.1.1.0/24
Trust, 10.1.1.0/24 ethernet3, 2.2.2.2/24 ethernet1 Utilizar NULL
10.2.2.1/24 Metric: 50
Tokio tunnel.1, sin numerar NAT
Untrust, 10.1.1.0/24 Oficina de Dest 0.0.0.0/0
Zona Untrust París Zona Trust Utilizar eth3
Puerta de enlace:
2.2.2.250
4. Rutas
Los administradores de cada extremo del túnel deben configurar al menos las rutas
siguientes:
Una ruta para el tráfico destinado a una dirección de la LAN remota a través de
tunnel.1.
Una ruta predeterminada para el resto del tráfico, incluyendo el tráfico de túnel
VPN externo, para el acceso a Internet a través de ethernet3 y el enrutador
externo situado más allá (1.1.1.250 para la oficina de Tokio y 2.2.2.250 para la
de París). El enrutador externo es la puerta de enlace predeterminada hacia la
que el dispositivo de seguridad reenvía todo el tráfico para el que no disponga
de una ruta específica en su tabla de enrutamiento.
Una ruta Null, de modo que si en algún momento el estado cambia de tunnel.1
a “fuera de línea” y cualquier ruta que haga referencia a tunnel.1 se desactiva,
el dispositivo de seguridad no utilice la ruta predeterminada para reenviar el
tráfico destinado a la LAN remota fuera de ethernet3 sin encriptar. Una ruta
Null utiliza la LAN remota como dirección de destino, pero envía tráfico a la
interfaz Null, una interfaz lógica que descarta todo el tráfico que recibe. Asigne
a la ruta Null una métrica superior (más alejada de cero) que la ruta a la LAN
remota que utiliza tunnel.1, haciendo la ruta Null menos preferente que la ruta
que hace referencia a la interfaz de tunnel.1.
5. Directivas
Los administradores de cada extremo del túnel definen directivas para permitir el
tráfico entre las dos oficinas:
Una directiva que permita cualquier tipo de tráfico desde “París” o “Tokio” en la
zona Untrust hasta “Trust_LAN” en la zona Trust
Como la ruta preferente al punto remoto indica tunnel.1, que está asociada al túnel
VPN vpn1, no es necesario que la directiva haga referencia al túnel VPN.
Túnel VPN
3. Introducir las direcciones IP de los puntos finales local y remoto en las libretas
de direcciones para las zonas Trust y Untrust.
5. Definir directivas para la circulación del tráfico VPN entre ambos sitios.
WebUI (Tokio)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Policy > Policy Elements> > Addresses > List > New: Introduzca los
siguientes datos y haga clic en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Name: To_Paris
Source Address: Trust_LAN
Destination Address: Paris_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
Name: From_Paris
Source Address: Paris_Office
Destination Address: Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
WebUI (París)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Policy > Policy Elements> > Addresses > List > New: Introduzca los
siguientes datos y haga clic en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Name: Paris_Tokyo
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_Tokyo
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
5. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: To_Tokyo
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Tokyo_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: From_Tokyo
Source Address:
Address Book Entry: (seleccione), Tokyo_Office
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
CLI (Tokio)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust Trust_LAN 10.1.1.0/24
set address untrust Paris_Office 10.2.2.0/24
3. VPN
Clave previamente compartida
set ike gateway To_Paris address 2.2.2.2 main outgoing-interface ethernet3
preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn Tokyo_Paris gateway To_Paris sec-level compatible
set vpn Tokyo_Paris bind interface tunnel.1
set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any
(o bien)
Certificado
set ike gateway To_Paris address 2.2.2.2 main outgoing-interface ethernet3
proposal rsa-g2-3des-sha
set ike gateway To_Paris cert peer-ca 1
set ike gateway To_Paris cert peer-cert-type x509-sig
set vpn Tokyo_Paris gateway To_Paris sec-level compatible
set vpn Tokyo_Paris bind interface tunnel.1
set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10
5. Directivas
set policy top name “To Paris” from trust to untrust Trust_LAN Paris_Office any
permit
set policy top name “From Paris” from untrust to trust Paris_Office Trust_LAN any
permit
save
CLI (París)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust Trust_LAN 10.2.2.0/24
set address untrust Tokyo_Office 10.1.1.0/24
3. VPN
Clave previamente compartida
set ike gateway To_Tokyo address 1.1.1.1 main outgoing-interface ethernet3
preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn Paris_Tokyo gateway To_Tokyo sec-level compatible
set vpn Paris_Tokyo bind interface tunnel.1
set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any
(o bien)
Certificado
set ike gateway To_Tokyo address 1.1.1.1 main outgoing-interface ethernet3
proposal rsa-g2-3des-sha
set ike gateway To_Tokyo cert peer-ca 1
set ike gateway To_Tokyo cert peer-cert-type x509-sig
set vpn Paris_Tokyo gateway To_Tokyo sec-level compatible
set vpn Paris_Tokyo bind interface tunnel.1
set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.1.1.0/24 interface null metric 10
5. Directivas
set policy top name “To Tokyo” from trust to untrust Trust_LAN Tokyo_Office any
permit
set policy top name “From Tokyo” from untrust to trust Tokyo_Office Trust_LAN any
permit
save
6. Configurar directivas.
WebUI (Tokio)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
WebUI (París)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
5. Diresctivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
CLI (Tokio)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust Trust_LAN 10.1.1.0/24
set address untrust paris_office 10.2.2.0/24
3. VPN
Clave previamente compartida
set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3
preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn tokyo_paris gateway to_paris sec-level compatible
(o bien)
Certificados
set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3
proposal rsa-g2-3des-sha
set ike gateway to_paris cert peer-ca 1
set ike gateway to_paris cert peer-cert-type x509-sig
set vpn tokyo_paris gateway to_paris sec-level compatible
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
5. Directivas
set policy top name “To/From Paris” from trust to untrust Trust_LAN paris_office
any tunnel vpn tokyo_paris
set policy top name “To/From Paris” from untrust to trust paris_office Trust_LAN
any tunnel vpn tokyo_paris
save
CLI (París)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
2. Direcciones
set address trust Trust_LAN 10.2.2.0/24
set address untrust tokyo_office 10.1.1.0/24
3. VPN
Clave previamente compartida
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3
preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn paris_tokyo gateway to_tokyo sec-level compatible
(o bien)
Certificados
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3
proposal rsa-g2-3des-sha
set ike gateway to_tokyo cert peer-ca 1
set ike gateway to_tokyo cert peer-cert-type x509-sig
set vpn paris_tokyo gateway to_tokyo tunnel proposal nopfs-esp-3des-sha
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
5. Directivas
set policy top name “To/From Tokyo” from trust to untrust Trust_LAN tokyo_office
any tunnel vpn paris_tokyo
set policy top name “To/From Tokyo” from untrust to trust tokyo_office Trust_LAN
any tunnel vpn paris_tokyo
save
Zona Zona
Zona Zona Trust
Untrust Untrust
Trust
Interfaz de salida Interfaz de salida
Zona Untrust Zona Untrust
Tokio eth3 y puerta de enlace eth3, 2.2.2.2/24 París
Zona Trust asignadas dinámicamente Puerta de enlace Zona Trust
eth1, 10.1.1.1/24 por el ISP 2.2.2.250 eth1, 10.2.2.1/24
Internet
Túnel VPN
Indique tres rutas en los dispositivos de seguridad en cada extremo del túnel VPN:
Una ruta Null al destino. Asigne una métrica más alta (más alejada de cero) a la
ruta Null para que se convierta en la siguiente opción de ruta al destino.
A continuación, si el estado de la interfaz de túnel cambia a “fuera de línea” y la
ruta que hace referencia a esa interfaz también se desactiva, el dispositivo de
seguridad utiliza la ruta Null, que descarta todo tráfico enviado hacia él, en
lugar de la ruta predeterminada, que reenvía tráfico no encriptado.
Finalmente, configure directivas para permitir tráfico bidireccional entre los dos
sitios.
WebUI (Tokio)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
(o bien)
Certificados
Local ID: pmason@abc.com
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Paris_Office
Service: Any
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Paris_Office
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: Any
Action: Permit
Position at Top: (seleccione)
WebUI (París)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
5. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Tokyo_Office
Service: Any
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Tokyo_Office
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: Any
Action: Permit
Position at Top: (seleccione)
CLI (Tokio)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 dhcp client
set interface ethernet3 dhcp client settings server 1.1.1.5
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust Trust_LAN 10.1.1.0/24
set address untrust Paris_Office 10.2.2.0/24
3. VPN
Clave previamente compartida
set ike gateway To_Paris address 2.2.2.2 aggressive local-id pmason@abc.com
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn Tokyo_Paris gateway To_Paris tunnel sec-level compatible
set vpn Tokyo_Paris bind interface tunnel.1
set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any
(o bien)
Certificados
set ike gateway To_Paris address 2.2.2.2 aggressive local-id pmason@abc.com
outgoing-interface ethernet3 proposal rsa-g2-3des-sha
set ike gateway To_Paris cert peer-ca 1
set ike gateway To_Paris cert peer-cert-type x509-sig
set vpn Tokyo_Paris gateway To_Paris tunnel sec-level compatible
set vpn Tokyo_Paris bind interface tunnel.1
set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10
5. Directivas
set policy top from trust to untrust Trust_LAN Paris_Office any permit
set policy top from untrust to trust Paris_Office Trust_LAN any permit
save
CLI (París)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust Trust_LAN 10.2.2.0/24
set address untrust Tokyo_Office 10.1.1.0/24
3. VPN
Clave previamente compartida
set ike gateway To_Tokyo dynamic pmason@abc.com aggressive outgoing-interface
ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn Paris_Tokyo gateway To_Tokyo tunnel sec-level compatible
set vpn Paris_Tokyo bind interface tunnel.1
set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any
(o bien)
Certificados
set ike gateway To_Tokyo dynamic pmason@abc.com aggressive outgoing-interface
ethernet3 proposal rsa-g2-3des-sha
set ike gateway To_Tokyo cert peer-ca 1
set ike gateway To_Tokyo cert peer-cert-type x509-sig
set vpn Paris_Tokyo gateway To_Tokyo tunnel sec-level compatible
set vpn Paris_Tokyo bind interface tunnel.1
set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.1.1.0/24 interface null metric 10
5. Directivas
set policy top from trust to untrust Trust_LAN Tokyo_Office any permit
set policy top from untrust to trust Tokyo_Office Trust_LAN any permit
save
A B A B
NOTA: Como Phil es un usuario de autenticación, antes de que pueda realizar una
petición SMTP o POP3, debe iniciar primero una conexión HTTP, FTP o Telnet
para que el dispositivo A pueda responder con un mensaje de petición de inicio de
sesión/usuario de cortafuegos para autenticarle. Una vez que el dispositivo A le
haya autenticado, tendrá permiso para establecer contacto con el servidor de
correo corporativo a través del túnel VPN.
El servidor de correo puede enviar la petición IDENT a través del túnel sólo si los
administradores de los dispositivos A y B agregan un servicio personalizado para
ello (TCP, puerto 113) y configuran directivas que permitan el tráfico a través del
túnel hacia la subred 10.10.10.0/24.
WebUI (dispositivo-A)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
2. Usuario
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Services > Group > New: Introduzca los
siguientes datos, mueva los siguientes servicios; finalmente, haga clic en OK:
5. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
(o bien)
Certificados
Local ID: pmason@abc.com
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Name: branch_corp
Security Level: Compatible
Remote Gateway Tunnel: To_Mail
6. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
7. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (select), Trusted_network
Destination Address:
Address Book Entry: (seleccione), Mail_Server
Service: Remote_Mail
Action: Tunnel
VPN Tunnel: branch_corp
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
Authentication: (seleccione)
Auth Server: Cliente FTP
User: (seleccione), Local Auth User - pmason
WebUI (dispositivo-B)
1. Interfaces
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Services > Groups > New: Introduzca los
siguientes datos, mueva los siguientes servicios; finalmente, haga clic en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Mail_Server
Destination Address:
Address Book Entry: (select), branch_office
Service: Remote_Mail
Action: Tunnel
VPN Tunnel: corp_branch
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
CLI (dispositivo-A)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 dhcp client
set interface ethernet3 dhcp client settings server 1.1.1.5
2. Usuario
set user pmason password Nd4syst4
3. Direcciones
set address trust “trusted network” 10.1.1.0/24
set address untrust “mail server” 3.3.3.5/32
4. Servicios
set service ident protocol tcp src-port 0-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add http
set group service remote_mail add ftp
set group service remote_mail add telnet
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
5. VPN
Clave previamente compartida
set ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@abc.com
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn branch_corp gateway to_mail sec-level compatible
(o bien)
Certificados
set ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@abc.com
outgoing-interface ethernet3 proposal rsa-g2-3des-sha
set ike gateway to_mail cert peer-ca 1
set ike gateway to_mail cert peer-cert-type x509-sig
set vpn branch_corp gateway to_mail sec-level compatible
6. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3
7. Directivas
set policy top from trust to untrust “trusted network” “mail server” remote_mail
tunnel vpn branch_corp auth server Local user pmason
set policy top from untrust to trust “mail server” “trusted network” remote_mail
tunnel vpn branch_corp
save
CLI (dispositivo-B)
1. Interfaces
set interface ethernet2 zone dmz
set interface ethernet2 ip 3.3.3.3/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
2. Direcciones
set address dmz “mail server” 3.3.3.5/32
set address untrust “branch office” 10.1.1.0/24
3. Servicios
set service ident protocol tcp src-port 0-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
4. VPN
Clave previamente compartida
set ike gateway to_branch dynamic pmason@abc.com aggressive
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn corp_branch gateway to_branch tunnel sec-level compatible
(o bien)
Certificados
set ike gateway to_branch dynamic pmason@abc.com aggressive
outgoing-interface ethernet3 proposal rsa-g2-3des-sha
set ike gateway to_branch cert peer-ca 1
set ike gateway to_branch cert peer-cert-type x509-sig
set vpn corp_branch gateway to_branch sec-level compatible
5. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
6. Directivas
set policy top from dmz to untrust “mail server” “branch office” remote_mail
tunnel vpn corp_branch
set policy top from untrust to dmz “branch office” “mail server” remote_mail
tunnel vpn corp_branch
save
Tokio:
París:
Para configurar el túnel, lleve a cabo los siguientes pasos en los dispositivos de
seguridad situados a ambos extremos del túnel:
3. Introducir las direcciones IP de los puntos finales local y remoto en las libretas
de direcciones para las zonas Trust y Untrust.
5. Definir directivas para la circulación del tráfico VPN entre ambos sitios.
WebUI (Tokio)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
> Advanced: Introduzca los siguientes ajustes avanzados; luego haga clic
en Return para regresar a la página de configuración básica del túnel de clave
manual:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Name: To_Paris
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Paris_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: From_Paris
Source Address:
Address Book Entry: (seleccione), Paris_Office
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
WebUI (París)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
> Advanced: Introduzca los siguientes ajustes avanzados; luego haga clic
en Return para regresar a la página de configuración básica del túnel de
clave manual:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Name: To_Tokyo
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Tokyo_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: From_Tokyo
Source Address:
Address Book Entry: (seleccione), Tokyo_Office
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
CLI (Tokio)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust Trust_LAN 10.1.1.0/24
set address untrust Paris_Office 10.2.2.0/24
3. VPN
set vpn Tokyo_Paris manual 3020 3030 gateway 2.2.2.2 outgoing-interface
ethernet3 esp 3des password asdlk24234 auth sha-1 password PNas134a
set vpn Tokyo_Paris bind interface tunnel.1
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10
5. Directivas
set policy top name “To Paris” from trust to untrust Trust_LAN Paris_Office any
permit
set policy top name “From Paris” from untrust to trust Paris_Office Trust_LAN any
permit
save
CLI (París)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust Trust_LAN 10.2.2.0/24
set address untrust Tokyo_Office 10.1.1.0/24
3. VPN
set vpn Paris_Tokyo manual 3030 3020 gateway 1.1.1.1 outgoing-interface
ethernet3 esp 3des password asdlk24234 auth sha-1 password PNas134a
set vpn Paris_Tokyo bind interface tunnel.1
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.1.1.0/24 interface null metric 10
5. Directivas
set policy top name “To Tokyo” from trust to untrust Trust_LAN Tokyo_Office any
permit
set policy top name “From Tokyo” from untrust to trust Tokyo_Office Trust_LAN any
permit
save
Tokio:
París:
Túnel VPN
Para configurar el túnel, lleve a cabo los siguientes pasos en los dispositivos de
seguridad situados a ambos extremos del túnel:
3. Introducir las direcciones IP de los puntos finales local y remoto en las libretas
de direcciones para las zonas Trust y Untrust.
5. Configurar directivas para que el tráfico VPN circule de forma bidireccional por
el túnel.
WebUI (Tokio)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
3. VPN
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK:
> Advanced: Introduzca los siguientes ajustes avanzados; luego haga clic
en Return para regresar a la página de configuración básica del túnel de
clave manual:
WebUI (París)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes
datos y haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 2.2.2.2/24
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
> Advanced: Introduzca los siguientes ajustes avanzados; luego haga clic
en Return para regresar a la página de configuración básica del túnel de
clave manual:
5. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
CLI (Tokio)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust Trust_LAN 10.1.1.0/24
set address untrust paris_office 10.2.2.0/24
3. VPN
set vpn tokyo_paris manual 3020 3030 gateway 2.2.2.2 outgoing-interface
ethernet3 esp 3des password asdlk24234 auth sha-1 password PNas134a
set vpn tokyo_paris bind zone untrust-tun
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
5. Directivas
set policy top name “To/From Paris” from trust to untrust Trust_LAN paris_office
any tunnel vpn tokyo_paris
set policy top name “To/From Paris” from untrust to trust paris_office Trust_LAN
any tunnel vpn tokyo_paris
save
CLI (París)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
2. Direcciones
set address trust Trust_LAN 10.2.2.0/24
set address untrust tokyo_office 10.1.1.0/24
3. VPN
set vpn paris_tokyo manual 3030 3020 gateway 1.1.1.1 outgoing-interface
ethernet3 esp 3des password asdlk24234 auth sha-1 password PNas134a
set vpn paris_tokyo bind zone untrust-tun
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
5. Directivas
set policy top name “To/From Tokyo” from trust to untrust Trust_LAN tokyo_office
any tunnel vpn paris_tokyo
set policy top name “To/From Tokyo” from untrust to trust tokyo_office Trust_LAN
any tunnel vpn paris_tokyo
save
Internet
www.jnpr.net
Túnel VPN
1.1.1.202 = www.jnpr.net
Alias
También es posible utilizar un alias para el FQDN del interlocutor IKE remoto si el
servidor DNS al que consulta el dispositivo de seguridad local devuelve sólo una
dirección IP. Si el servidor DNS devuelve varias direcciones IP, el dispositivo local
utilizará la primera que reciba. Como no existe ninguna garantía sobre el orden de
aparición de las direcciones en la respuesta del servidor DNS, es posible que el
dispositivo de seguridad local utilice la dirección IP incorrecta y, por tanto, las
negociaciones IKE podrían fracasar.
Figura 37: Respuestas múltiples de DNS que derivan en el éxito o el fracaso de la negociación IKE
Dispositivo de seguridad local El dispositivo de seguridad local desea Interlocutor IKE remoto
establecer un túnel VPN IKE con su
interlocutor remoto. Utiliza www.jnpr.net
como dirección de puerta de enlace remota.
Respuesta DNS:
El dispositivo utiliza
esta dirección IP. www.jnpr.net = 1.1.1.202
www.jnpr.net = 1.1.1.114
www.jnpr.net = 1.1.1.20
Dispositivo de seguridad local Si el interlocutor IKE remoto se encuentra en 1.1.1.202, Interlocutor IKE remoto
las negociaciones IKE se desarrollan con éxito.
4. Introducir las direcciones IP de los puntos finales local y remoto en las libretas
de direcciones para las zonas Trust y Untrust.
WebUI (Tokio)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Name: To_Paris
Source Address: Trust_LAN
Destination Address: Paris_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > Policy (From: Untrust, To: Trust) > New Policy: Introduzca los
siguientes datos y haga clic en OK:
Name: From_Paris
Source Address: Paris_Office
Destination Address: Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
WebUI (París)
1. Nombre de host y nombre de dominio
Network > DNS: Introduzca los siguientes datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Name: Paris_Tokyo
Security Level: Custom
Remote Gateway:
Predefined: (seleccione), To_Tokyo
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Name: To_Tokyo
Source Address: Trust_LAN
Destination Address: Tokyo_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: From_Tokyo
Source Address: Tokyo_Office
Destination Address: Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
CLI (Tokio)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust Trust_LAN 10.1.1.0/24
set address untrust paris_office 10.2.2.0/24
3. VPN
Clave previamente compartida
set ike gateway to_paris address www.nspar.com main outgoing-interface
ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn tokyo_paris gateway to_paris sec-level compatible
set vpn tokyo_paris bind interface tunnel.1
set vpn tokyo_paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any
(o bien)
Certificado
set ike gateway to_paris address www.nspar.com main outgoing-interface
ethernet3 proposal rsa-g2-3des-sha
set ike gateway to_paris cert peer-ca 1
set ike gateway to_paris cert peer-cert-type x509-sig
set vpn tokyo_paris gateway to_paris sec-level compatible
set vpn tokyo_paris bind interface tunnel.1
set vpn tokyo_paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10
5. Directivas
set policy top name “To Paris” from trust to untrust Trust_LAN paris_office any
permit
set policy top name “From Paris” from untrust to trust paris_office Trust_LAN any
permit
save
CLI (París)
1. Nombre de host y nombre de dominio
set hostname www
set domain nspar.com
2. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip dhcp-client enable
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
3. Direcciones
set address trust Trust_LAN 10.2.2.0/24
set address untrust tokyo_office 10.1.1.0/24
4. VPN
Clave previamente compartida
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3
preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn paris_tokyo gateway to_tokyo sec-level compatible
set vpn paris_tokyo bind interface tunnel.1
set vpn paris_tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any
(o bien)
Certificado
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3
proposal rsa-g2-3des-sha
set ike gateway to_tokyo cert peer-ca 1
set ike gateway to_tokyo cert peer-cert-type x509-sig
set vpn paris_tokyo gateway to_tokyo sec-level compatible
set vpn paris_tokyo bind interface tunnel.1
set vpn paris_tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any
5. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.1.1.0/24 interface null metric 10
6. Directivas
set policy top name “To Tokyo” from trust to untrust Trust_LAN tokyo_office any
permit
set policy top name “From Tokyo” from untrust to trust tokyo_office Trust_LAN any
permit
save
Para NAT-src, las interfaces situadas a ambos extremos del túnel deben poseer
direcciones IP en subredes exclusivas entre sí, con un conjunto de direcciones IP
dinámicas (DIP) en cada una de dichas subredes. Las directivas que regulan el
tráfico VPN saliente pueden aplicar NAT-src mediante direcciones de conjunto DIP
para traducir las direcciones de origen originales y convertirlas en direcciones de un
espacio de direcciones neutro.
NOTA: El rango de direcciones en un conjunto de DIP debe estar en la misma subred que
la interfaz de túnel, pero no es necesario que el conjunto incluya la dirección IP de
la interfaz o cualquier otra dirección MIP o VIP que pueda encontrarse en dicha
subred. Para las interfaces de la zona de seguridad, es posible definir una
dirección IP extendida y un conjunto de DIP auxiliar en una subred distinta de la
de la dirección IP de la interfaz. Para obtener más información, consulte “Uso de
DIP en una subred distinta” en la página 2-146.
NAT-dst basada en directivas: una directiva puede aplicar NAT-dst para traducir
el tráfico VPN entrante y convertirlo en una dirección que se encuentre en la
misma subred que la interfaz de túnel (pero no en el mismo rango que el
conjunto de DIP local utilizado para el tráfico VPN saliente) o en una dirección
de otra subred a la que el dispositivo de seguridad tenga una entrada en su
tabla de rutas. (Para encontrar información acerca de los aspectos que rodean a
la configuracióin de NAT-dst, consulte “Enrutamiento para NAT-Dst” en la
página 8-32.)
Dirección IP asignada (MIP): una directiva puede hacer referencia a una MIP
como dirección de destino. La MIP utiliza una dirección que se encuentra en la
misma subred que la interfaz de túnel (pero no en el mismo rango que el
conjunto de DIP local utilizado para el tráfico VPN de salida). (Para encontrar
información acerca de las MIP, consulte “Direcciones IP asignadas” en la
página 8-63.)
El tráfico VPN entre dos puntos con direcciones superpuestas requiere la traducción
de direcciones en ambos sentidos. Como la dirección de origen del tráfico saliente
no puede ser la misma que la dirección de destino del tráfico entrante (la dirección
NAT-dst o MIP no puede estar en el conjunto de DIP), las direcciones de las que se
incluyen referencias en las directivas de entrada y salida no pueden ser simétricas.
NOTA: Una ID de proxy es un tipo de acuerdo entre interlocutores IKE para permitir el
tráfico a través de un túnel si el tráfico cumple una tupla especificada de dirección
local, dirección remota y servicio.
Puede utilizar una configuración de túnel VPN basada en rutas, que debe tener
una ID de proxy definida por el usuario. Con una configuración de túnel VPN
basada en rutas, no se hace referencia de forma específica a un túnel VPN en
una directiva. En su lugar, la directiva controla (permite o deniega) el acceso a
un destino en particular. La ruta que conduce a dicho destino apunta a una
interfaz de túnel que, a su vez, está asociada a un túnel VPN. Como el túnel
VPN no está asociado directamente a ninguna directiva a partir de la que se
pueda derivar una ID de proxy de la dirección de origen, la dirección de destino
y el servicio, habrá que definir una ID de proxy de forma manual. (Recuerde
que una configuración VPN basada en rutas también permite crear múltiples
directivas que hagan uso de un único túnel VPN; es decir, una SA de fase 2
sencilla).
Examine las direcciones de la Figura 39, en la que se ejemplifica un túnel VPN entre
dos puntos con espacios de direcciones superpuestas.
Direcciones en directivas
Dispositivo A Dispositivo B
Local Remota Servicio Local Remota Servicio
Salida 10.10.1.2/32 10.20.2.5/32 Any Entrada 10.20.2.5/32 10.10.1.2/32 Any
Entrada 10.10.1.5/32 10.20.2.2/32 Any Salida 10.20.2.2/32 10.10.1.5/32 Any
Como se muestra en la tabla, existen dos ID de proxy: una para el tráfico VPN
entrante y otra para el saliente. Cuando el dispositivo A envía tráfico por primera
vez desde 10.10.1.2/32 hasta 10.20.2.5/32, los dos interlocutores realizan
negociaciones IKE y generan asociaciones de seguridad (SA) de fase 1 y fase 2. La
SA de fase 2 da como resultado la ID de proxy de salida anterior para el dispositivo
A y la ID de proxy de entrada para el dispositivo B.
Para crear un solo túnel para tráfico VPN bidireccional, puede definir las siguientes
ID de proxy con direcciones cuyo alcance incluya las direcciones de origen y
destino traducidas en cada extremo del túnel:
Dispositivo A Dispositivo B
Local Remota Servicio Local Remota Servicio
10.10.1.0/24 10.20.2.0/24 Any 10.20.2.0/24 10.10.1.0/24 Any
o bien
0.0.0.0/0 0.0.0.0/0 Any 0.0.0.0/0 0.0.0.0/0 Any
NOTA: La dirección 0.0.0.0/0 incluye todas las direcciones IP y, por tanto, las direcciones
del conjunto de DIP y MIP.
Para crear un túnel VPN para el tráfico bidireccional entre dos puntos con espacios
de direcciones superpuestas cuando las direcciones para NAT-src y NAT-dst
configuradas en el mismo dispositivo se encuentran en subredes distintas, la ID de
proxy para el túnel debe ser (IP local) 0.0.0.0/0 – (IP remota) 0.0.0.0/0 – tipo de
servicio. Si desea utilizar direcciones más restrictivas en la ID de proxy, las
direcciones para NAT-src y NAT-dst deberán encontrarse en la misma subred.
NOTA: Para obtener más información sobre la traducción de direcciones de red de origen
y destino (NAT-src y NAT-dst), consulte el Volumen 8: Traducción de direcciones.
Las configuraciones de ambos extremos del túnel utilizan los siguientes parámetros:
AutoKey IKE, clave previamente compartida (“netscreen1”) y el nivel de seguridad
predefinido como “Compatible” para propuestas de fase 1 y fase 2. (Para ver los
detalles sobre estas propuestas, consulte “Negociación de túnel” en la página 9).
A B B A
servidorA
Tunnel.1 10.10.1.1/24 Tunnel.1 10.20.1.1/24
10.1.1.5
WebUI (dispositivo-A)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
ID: 5
IP Address Range: (seleccione), 10.10.1.2 ~ 10.10.1.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
3. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
NOTA: La interfaz de salida no necesita estar en la misma zona a la que está asociada la
interfaz del túnel, aunque en este caso se encuentran en la misma zona.
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), servidorB
Service: FTP
Action: Permit
Position at Top: (seleccione)
NAT:
Source Translation: (seleccione)
DIP On: 5 (10.10.1.2–10.10.1.2)/X-late
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), branch1
Destination Address:
Address Book Entry: (seleccione), virtualA
Service: FTP
Action: Permit
Position at Top: (seleccione)
NAT:
Destination Translation: (seleccione)
Translate to IP: (seleccione), 10.1.1.5
Map to Port: (anule la selección)
WebUI (dispositivo-B)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
ID: 6
IP Address Range: (seleccione), 10.20.1.2 ~ 10.20.1.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
3. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
NOTA: La interfaz de salida no necesita estar en la misma zona a la que está asociada la
interfaz del túnel, aunque en este caso se encuentran en la misma zona.
5. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), servidorA
Service: FTP
Action: Permit
Position at Top: (seleccione)
NAT:
Source Translation: (seleccione)
DIP on: 6 (10.20.1.2–10.20.1.2)/X-late
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), virtualB
Service: FTP
Action: Permit
Position at Top: (seleccione)
NAT:
Destination Translation: (seleccione)
Translate to IP: 10.1.1.5
Map to Port: (anule la selección)
CLI (dispositivo-A)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip 10.10.1.1/24
2. DIP
set interface tunnel.1 dip 5 10.10.1.2 10.10.1.2
3. Direcciones
set address trust corp 10.1.1.0/24
set address trust virtualA 10.10.1.5/32
set address untrust branch1 10.20.1.2/32
set address untrust servidorB 10.20.1.5/32
4. VPN
set ike gateway branch1 address 2.2.2.2 outgoing-interface ethernet3 preshare
netscreen1 sec-level compatible
set vpn vpn1 gateway branch1 sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 10.10.1.0/24 remote-ip 10.20.1.0/24 any
NOTA: La interfaz de salida no necesita estar en la misma zona a la que está asociada la
interfaz del túnel, aunque en este caso se encuentran en la misma zona.
5. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.20.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.20.1.0/24 interface null metric 10
6. Directivas
set policy top from trust to untrust corp servidorB ftp nat src dip-id 5 permit
set policy top from untrust to trust branch1 virtualA ftp nat dst ip 10.1.1.5 permit
save
CLI (dispositivo-B)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip 10.20.1.1/24
2. DIP
set interface tunnel.1 dip 6 10.20.1.2 10.20.1.2
3. Direcciones
set address trust branch1 10.1.1.0/24
set address trust virtualB 10.20.1.5/32
set address untrust corp 10.10.1.2/32
set address untrust servidorA 10.10.1.5/32
4. VPN
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare
netscreen1 sec-level compatible
set vpn vpn1 gateway corp sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 10.20.1.0/24 remote-ip 10.10.1.0/24 any
NOTA: La interfaz de salida no necesita estar en la misma zona a la que está asociada la
interfaz del túnel, aunque en este caso se encuentran en la misma zona.
5. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
set vrouter trust-vr route 10.10.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.10.1.0/24 interface null metric 10
6. Directivas
set policy top from trust to untrust branch1 servidorA ftp nat src dip-id 6 permit
set policy top from untrust to trust corp virtualB ftp nat dst ip 10.1.1.5 permit
save
Elementos de
configuración Dispositivo A Dispositivo B
Zona V1-Trust Interfaz: ethernet1, 0.0.0.0/0 Interfaz: ethernet1, 0.0.0.0/0
(habilitar administración para el (habilitar administración para el
administrador local) administrador local)
Zona V1-Untrust Interfaz: ethernet3, 0.0.0.0/0 Interfaz: ethernet3, 0.0.0.0/0
Interfaz VLAN1 Dirección IP: 1.1.1.1/24 Dirección IP: 2.2.2.2/24
IP de administración: 1.1.1.21 IP de administración: 2.2.2.3
Direcciones lan_local: 1.1.1.0/24 en V1-Untrust lan_local: 2.2.2.0/24 en V1-Trust
lan_interlocutor: 2.2.2.0/24 en V1-Untrust lan_interlocutor: 1.1.1.0/24 en V1-Untrust
Puerta de enlace IKE gw1, 2.2.2.2, clave precompartida gw1, 1.1.1.1, clave precompartida
h1p8A24nG5, h1p8A24nG5, seguridad: compatible
seguridad: compatible
Túnel VPN seguridad: compatible seguridad: compatible
Directivas lan_local -> lan_interlocutor, cualquier lan_local -> lan_interlocutor, cualquier
servicio, vpn1 servicio, vpn1
lan_interlocutor -> lan_local, cualquier lan_interlocutor -> lan_local, cualquier
servicio, vpn1 servicio, vpn1
Enrutador externo Dirección IP: 1.1.1.250 Dirección IP: 2.2.2.250
Ruta 0.0.0.0/0, usar interfaz VLAN1 0.0.0.0/0, usar interfaz VLAN1
a puerta de enlace 1.1.1.250 a puerta de enlace 2.2.2.250
1.Puede separar el tráfico VPN del administrativo utilizando la dirección IP de administración para recibir el tráfico
administrativo y la dirección VLAN1 para terminar el tráfico VPN.
3. Introducir las direcciones IP de los puntos finales local y remoto en las libretas
de direcciones para las zonas V1-Trust y V1-Untrust.
6. Definir directivas para la circulación del tráfico VPN entre ambos sitios.
WebUI (dispositivo-A)
1. Interfaces
Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguientes
datos y haga clic en OK:
IP Address/Netmask: 1.1.1.1/24
Manage IP: 1.1.1.2
Management Services: WebUI, Telnet, Ping
NOTA: Se deben habilitar las opciones de administración para WebUI, Telnet y Ping tanto
en la zona V1-Trust como en la interfaz VLAN1 para que un administrador local de
la zona V1-Trust pueda acceder a la dirección IP de administración de VLAN1. Si la
administración a través de la WebUI aún no está habilitada en las interfaces de
zona V1-Trust y VLAN1, no será posible acceder al dispositivo de seguridad a
través de la WebUI para realizar estos ajustes. En su lugar, deberá habilitar la
administración mediante WebUI en estas interfaces a través de una conexión de
consola.
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), lan_local
Destination Address:
Address Book Entry: (seleccione), lan_interlocutor
Service: ANY
Action: Zona
Tunnel VPN: vpn1
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
WebUI (dispositivo-B)
1. Interfaces
Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguientes
datos y haga clic en OK:
IP Address/Netmask: 2.2.2.2/24
Manage IP: 2.2.2.3
Management Services: WebUI, Telnet, Ping
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), lan_local
Destination Address:
Address Book Entry: (seleccione), lan_interlocutor
Service: ANY
Action: Zona
Tunnel VPN: vpn1
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
CLI (dispositivo-A)
1. Interfaces y zonas
unset interface ethernet1 ip
unset interface ethernet1 zone
set interface ethernet1 zone v1-trust
set zone v1-trust manage web
set zone v1-trust manage telnet
set zone v1-trust manage ping
unset interface ethernet3 ip
unset interface ethernet3 zone
set interface ethernet3 zone v1-untrust
set interface vlan1 ip 1.1.1.1/24
set interface vlan1 manage-ip 1.1.1.2
set interface vlan1 manage web
set interface vlan1 manage telnet
set interface vlan1 manage ping
NOTA: Se deben habilitar las opciones de administración para WebUI, Telnet y Ping tanto
en la zona V1-Trust como en la interfaz VLAN1 para que un administrador local de
la zona V1-Trust pueda acceder a la dirección IP de administración de VLAN1.
2. Direcciones
set address v1-trust lan_local 1.1.1.0/24
set address v1-untrust lan_interlocutor 2.2.2.0/24
3. VPN
set ike gateway gw1 address 2.2.2.2 main outgoing-interface v1-untrust preshare
h1p8A24nG5 sec-level compatible
set vpn vpn1 gateway gw1 sec-level compatible
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 1.1.1.250
5. Directivas
set policy top from v1-trust to v1-untrust lan_local lan_interlocutor any tunnel vpn
vpn1
set policy top from v1-untrust to v1-trust lan_interlocutor lan_local any tunnel vpn
vpn1
save
CLI (dispositivo-B)
1. Interfaces y zonas
unset interface ethernet1 ip
unset interface ethernet1 zone
set interface ethernet1 zone v1-trust
set zone v1-trust manage
unset interface ethernet3 ip
unset interface ethernet3 zone
set interface ethernet3 zone v1-untrust
set interface vlan1 ip 2.2.2.2/24
set interface vlan1 manage-ip 2.2.2.3
set interface vlan1 manage
2. Direcciones
set address v1-trust lan_local 2.2.2.0/24
set address v1-untrust lan_interlocutor 1.1.1.0/24
3. VPN
set ike gateway gw1 address 1.1.1.1 main outgoing-interface v1-untrust preshare
h1p8A24nG5 sec-level compatible
set vpn vpn1 gateway gw1 sec-level compatible
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 2.2.2.250
5. Directivas
set policy top from v1-trust to v1-untrust lan_local lan_interlocutor any tunnel vpn
vpn1
set policy top from v1-untrust to v1-trust lan_interlocutor lan_local any tunnel vpn
vpn1
save
163
Manual de referencia de ScreenOS: Conceptos y ejemplos
Acceso telefónico
Es posible configurar túneles para usuarios de VPN de acceso telefónico de forma
individual o reuniendo varios usuarios en un grupo VPN de acceso telefónico, en
cuyo caso sólo tendrá que configurar un túnel. También es posible crear un usuario
de identificación IKE de grupo, lo que permite definir un usuario cuya identificación
IKE se utilizará como parte de todas las ID IKE de los usuarios IKE de acceso
telefónico. Esto permite ahorrar bastante tiempo cuando hay grandes grupos de
usuarios de acceso telefónico, puesto que no tendrá que configurar a cada usuario
IKE individualmente.
NOTA: Para obtener más información sobre la creación de grupos de usuarios IKE,
consulte “Usuarios y grupos de usuarios IKE” en la página 9-69. Para obtener más
información sobre la función de identificación IKE de grupo, consulte
“Identificación IKE de grupo” en la página 188.
Si el cliente de acceso telefónico admite una dirección IP interna virtual, como hace
el dispositivo NetScreen-Remote, también puede crear un túnel AutoKey IKE de
VPN de acceso telefónico para interlocutor dinámico (con clave o certificados
previamente compartidos). Puede configurar una puerta de enlace segura
Juniper Networks con una dirección IP estática para asegurar un túnel IPSec a un
cliente NetScreen-Remote o a otro dispositivo de seguridad con una dirección IP
dinámica.
NOTA: Para obtener más información sobre las opciones de VPN disponibles, consulte
“Seguridad del protocolo de Internet” en la página 1. Si desea obtener ayuda para
elegir entre las distintas opciones, consulte “Directrices para las redes privadas
virtuales” en la página 49.
Para configurar el túnel AutoKey IKE utilizando AutoKey IKE con una clave
previamente compartida o con certificados, es necesario realizar la siguiente
configuración en la empresa:
6. Crear una directiva de la zona Untrust a la zona Trust que permita que el
usuario de acceso telefónico acceda a UNIX.
Zona Zona
Untrust Trust
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Certificados
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
(o bien)
6. Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), UNIX
Service: ANY
Action: Tunnel
Tunnel VPN: Wendy_UNIX
Modify matching bidirectional VPN policy: (anule la selección)
Position at Top: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Dirección
set address trust unix 10.1.1.5/32
3. Usuario
set user wendy ike-id u-fqdn wparker@email.com
4. VPN
Certificados
set ike gateway wendy_nsr dialup wendy aggressive outgoing-interface ethernet3
proposal rsa-g2-3des-sha
set ike gateway wendy_nsr cert peer-ca 1
set ike gateway wendy_nsr cert peer-cert-type x509-sig
set vpn wendy_unix gateway wendy_nsr sec-level compatible
(o bien)
5. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
6. Directiva
set policy top from untrust to trust “Dial-Up VPN” unix any tunnel vpn wendy_unix
save
2. Haga clic en Add a new connection y escriba UNIX junto al icono de nueva
conexión que aparecerá en pantalla.
4. Haga clic en el signo MÁS, que se ubica a la izquierda del icono de UNIX para
ampliar la directiva de la conexión.
Haga clic en Pre-shared Key > Enter Key: Escriba h1p8A24nG5, después
haga clic en OK.
(o bien)
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y
después en el símbolo MÁS situado a la izquierda de Authentication (Phase 1) y
de Key Exchange (Phase 2) para ampliar aún más la directiva.
(o bien)
9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Puede crear una ruta asociando la dirección con una interfaz de túnel unida a
un túnel VPN apropiado.
NOTA: El servidor de correo puede enviar la petición IDENT a través del túnel sólo si el
administrador de seguridad agrega un servicio personalizado para ello (TCP,
puerto 113) y establece una directiva de salida que permita el tráfico a través del
túnel hacia 10.10.10.1.
Una ruta Null al destino. Asigne una métrica más alta (más alejada de cero) a la
ruta Null para que se convierta en la siguiente opción de ruta al destino.
A continuación, si el estado de la interfaz de túnel cambia a “fuera de línea” y la
ruta que hace referencia a esa interfaz también se desactiva, el dispositivo de
seguridad utiliza la ruta Null, que descarta todo tráfico enviado hacia él, en
lugar de la ruta predeterminada, que reenvía tráfico no encriptado.
Finalmente, creará directivas que permitan el flujo del tráfico fluya en ambas
direcciones entre Phil y el servidor de correo.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Services > Group > New: Introduzca los
siguientes datos, mueva los siguientes servicios; finalmente, haga clic en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Phil
Destination Address:
Address Book Entry: (seleccione), Mail Server
Service: Remote_Mail
Action: Permit
Position at Top: (seleccione)
Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Mail Server
Destination Address:
Address Book Entry: (seleccione), Phil
Service: Remote_Mail
Action: Permit
Position at Top: (seleccione)
CLI
1. Interfaces
set interface ethernet2 zone dmz
set interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address dmz “Mail Server” 1.2.2.5/32
set address untrust phil 10.10.10.1/32
3. Servicios
set service ident protocol tcp src-port 1-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
4. VPN
Clave previamente compartida
set ike gateway to_phil dynamic pm@juniper.net aggressive outgoing-interface
ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn corp_phil gateway to_phil sec-level compatible
set vpn corp_phil bind interface tunnel.1
set vpn corp_phil proxy-id local-ip 1.2.2.5/32 remote-ip 10.10.10.1/32 any
(o bien)
Certificados
set ike gateway to_phil dynamic pm@juniper.net aggressive outgoing-interface
ethernet3 proposal rsa-g2-3des-sha
set ike gateway to_phil cert peer-ca 1
set ike gateway to_phil cert peer-cert-type x509-sig
set vpn corp_phil gateway to_phil sec-level compatible
set vpn corp_phil bind interface tunnel.1
set vpn corp_phil proxy-id local-ip 1.2.2.5/32 remote-ip 10.10.10.1/32 any
5. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.10.10.1/32 interface tunnel.1
set vrouter trust-vr route 10.10.10.1/32 interface null metric 10
6. Directivas
set policy top from dmz to untrust “Mail Server” phil remote_mail permit
set policy top from untrust to dmz phil “Mail Server” remote_mail permit
save
NetScreen-Remote
1. Haga clic en Options > Global Policy Settings y seleccione la casilla de
verificación Allow to Specify Internal Network Address.
3. Haga clic en el botón Add a new connection y escriba Mail junto al icono de la
nueva conexión que aparecerá en pantalla.
5. Haga clic en el signo MÁS, que se ubica a la izquierda del icono de UNIX para
ampliar la directiva de la conexión.
Haga clic en Pre-shared Key > Enter Key: Escriba h1p8A24nG5, después haga
clic en OK.
(o bien)
8. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y
después en el símbolo MÁS situado a la izquierda de Authentication (Phase 1) y
de Key Exchange (Phase 2) para ampliar aún más la directiva.
(o bien)
10. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
NOTA: El servidor de correo puede enviar la petición IDENT a través del túnel sólo si el
administrador de seguridad agrega un servicio personalizado para ello (TCP,
puerto 113) y establece una directiva de salida que permita el tráfico a través del
túnel hacia 10.10.10.1.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Services > Group > New: Introduzca los
siguientes datos, mueva los siguientes servicios; finalmente, haga clic en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
6. Directivas
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Phil
Destination Address:
Address Book Entry: (seleccione), Mail Server
Service: Remote_Mail
Action: Tunnel
VPN Tunnel: corp_Phil
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
CLI
1. Interfaces
set interface ethernet2 zone dmz
set interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address dmz “mail server” 1.2.2.5/32
set address untrust phil 10.10.10.1/32
3. Servicios
set service ident protocol tcp src-port 1-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
4. VPN
Clave previamente compartida
set ike gateway to_phil dynamic pm@juniper.net aggressive outgoing-interface
ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn corp_phil gateway to_phil sec-level compatible
(o bien)
Certificados
set ike gateway to_phil dynamic pm@juniper.net aggressive outgoing-interface
ethernet3 proposal rsa-g2-3des-sha
set ike gateway to_phil cert peer-ca 1
set ike gateway to_phil cert peer-cert-type x509-sig
set vpn corp_phil gateway to_phil sec-level compatible
5. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
6. Directivas
set policy top from untrust to dmz phil “mail server” remote_mail tunnel vpn
corp_phil
set policy top from dmz to untrust “mail server” phil remote_mail tunnel vpn
corp_phil
save
NetScreen-Remote
1. Haga clic en Options > Global Policy Settings y seleccione Allow to Specify
Internal Network Address.
3. Haga clic en Add a new connection y escriba Mail junto al icono de nueva
conexión que aparecerá en pantalla.
5. Haga clic en el signo MÁS, que se ubica a la izquierda del icono de UNIX para
ampliar la directiva de la conexión.
Click Pre-shared Key > Enter Key: Escriba h1p8A24nG5, después haga clic
en OK.
(o bien)
8. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y
después en el símbolo MÁS situado a la izquierda de Authentication (Phase 1) y
de Key Exchange (Phase 2) para ampliar aún más la directiva.
(o bien)
10. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
El usuario IKE inicia una conexión VPN al dispositivo de seguridad desde la zona
Untrust para acceder a los servidores corporativos de la zona Trust. Una vez el
usuario IKE establece la conexión VPN, el tráfico se puede iniciar desde cualquiera
de los dos extremos del túnel.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Users > Local > New: Introduzca los siguientes
datos y haga clic en OK:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), trust_net
Service: ANY
Action: Tunnel
VPN Tunnel: VPN_dial
Modify matching bidirectional VPN policy: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Objetos
set address trust trust_net 10.1.1.0/24
set user dialup-j ike-id u-fqdn jf@ns.com
3. VPN
set ike gateway dialup1 dialup dialup-j aggressive outgoing-interface ethernet3
preshare Jf11d7uU proposal pre-g2-3des-sha
set vpn VPN_dial gateway dialup1 sec-level compatible
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
5. Directivas
set policy from untrust to trust “Dial-Up VPN” trust_net any tunnel vpn VPN_dial
set policy from trust to untrust trust_net “Dial-Up VPN” any tunnel vpn VPN_dial
save
2. Haga clic en Add a new connection y escriba Corp junto al icono de nueva
conexión que aparecerá en pantalla.
4. Haga clic en el signo MÁS, que se ubica a la izquierda del icono de UNIX para
ampliar la directiva de la conexión.
Click Pre-shared Key > Enter Key: Escriba Jf11d7uU y después haga clic
en OK.
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y
después en el símbolo MÁS situado a la izquierda de Authentication (Phase 1) y
de Key Exchange (Phase 2) para ampliar aún más la directiva.
(o bien)
9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Para evitar este problema, el método de identificación IKE de grupo permite que
una sola definición esté disponible para múltiples usuarios. La definición de usuario
para una identificación IKE de grupo se aplica a todos los usuarios que tengan
certificados con valores específicos en el nombre completo (DN) o a todos los
usuarios cuya identificación IKE completa y clave previamente compartida en su
cliente VPN coincida con una identificación IKE parcial y una clave previamente
compartida del dispositivo de seguridad.
Puede configurar una identificación IKE de grupo con certificados tal y como se
indica a continuación:
En el dispositivo de seguridad:
1. Cree un nuevo usuario de identificación IKE de grupo con una identidad IKE
parcial (como ou=sales,o=netscreen) y especifique cuántos usuarios de acceso
telefónico podrán utilizar el perfil de la identificación IKE de grupo para
conectarse.
NOTA: Sólo puede asignar un usuario de ID IKE de grupo a un grupo de usuarios IKE.
En el cliente VPN:
1. Obtenga y cargue un certificado cuyo nombre completo contenga la misma
información definida en la identificación IKE parcial del dispositivo de
seguridad.
A partir de ese momento, cada usuario IKE de acceso telefónico que disponga de
un certificado con elementos de nombre completo que coincidan con la
identificación IKE parcial definida en el perfil de usuario de la ID IKE de grupo
podrá establecer correctamente un túnel al dispositivo de seguridad. Por ejemplo, si
el usuario de ID IKE de grupo tiene la ID IKE OU=sales,O=netscreen, el dispositivo
de seguridad aceptará las negociaciones de fase 1 de cualquier usuario que tenga
un certificado con esos elementos en su nombre completo. El número máximo de
usuarios IKE de acceso telefónico que se podrán conectar al dispositivo de
seguridad dependerá del número máximo de sesiones simultáneas que especifique
en el perfil de usuario de identificación IKE de grupo.
C=us Leyenda:
General
C = País
ST=ca
ST = Estado
L=sunnyvale L = Localidad
O = Organización
O=juniper OU = Unidad organizativa
CN = Nombre común
OU=sales
CN=jozef
Específico
una ID IKE de tipo Wildcard del ASN1-DN compara las dos ID IKE, aunque el orden
de los valores en las dos ID difiera.
O=juniper L=
L= O=juniper
ST=ca OU=
C=us CN=
Figura 47: Éxito y fallo de la autenticación utilizando las ID de tipo Container del ASN1-DN
ID IKE de ASN1-DN del usuario ID IKE Container del ASN1-DN
IKE de acceso telefónico del usuario IKE de grupo
E= E=
El primer ASN1-DN de usuario
IKE de acceso telefónico
contiene valores exactamente
iguales a los de ASN1-DN C=us C=us
ASN1-DN. El orden de las
entradas múltiples en el campo Autenticación
de identificación OU también ST=ca ST=
es idéntico. satisfactoria
L= sf L=
O=juniper O=juniper
OU=mkt,OU=dom,OU=west OU=mkt,OU=dom,OU=west
CN=rick CN=
E= E=
O=juniper O=juniper
OU=mkt,OU=west,OU=dom OU=mkt,OU=dom,OU=west
CN=tony CN=
Los usuarios IKE de acceso telefónico envían un nombre completo como su ID IKE.
El nombre completo (DN) en un certificado para un usuario IKE de acceso
telefónico en este grupo puede aparecer como la siguiente cadena:
C=us,ST=ca,L=sunnyvale,O=netscreen,OU=marketing,CN=carrie
nowocin,CN=a2010002,CN=ns500,
CN=4085557800,CN=rsa-key,CN=10.10.5.44
Para los niveles de seguridad de las fase 1 y fase 2, debe especificar la propuesta de
fase 1 (rsa-g2-3des-sha para certificados) y seleccionar el conjunto de propuestas
predefinido “Compatible” para la fase 2.
Ahora debe configurar una VPN de acceso telefónico y una directiva que permita el
tráfico HTTP a través del túnel VPN para acceder al servidor Web1. También se
incluirá la configuración del cliente VPN remoto (utilizando NetScreen-Remote).
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > User Groups > Local > New: Escriba oficina_1 en el campo Group
Name, realice la acción que se indica a continuación y después haga clic en OK:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), web1
Service: HTTP
Action: Tunnel
Tunnel VPN: Corp_VPN
Modify matching bidirectional VPN policy: (anule la selección)
Position at Top: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Dirección
set address trust web1 10.1.1.5/32
3. Usuarios
set user Usuario1 ike-id asn1-dn wildcard o=juniper,ou=marketing share-limit 10
set user-group oficina_1 user Usuario1
4. VPN
set ike gateway Corp_GW dialup oficina_1 aggressive outgoing-interface ethernet3
proposal rsa-g2-3des-sha
set ike gateway Corp_GW cert peer-ca 1
set ike gateway Corp_GW cert peer-cert-type x509-sig
set vpn Corp_VPN gateway Corp_GW sec-level compatible
5. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
6. Directiva
set policy top from untrust to trust “Dial-Up VPN” web1 http tunnel vpn Corp_VPN
save
2. Haga clic en Add a new connection y escriba web1 junto al icono de nueva
conexión que aparecerá en pantalla.
4. Haga clic en el signo MÁS situado a la izquierda del icono de web1 para ampliar
la directiva de la conexión.
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y
después en el símbolo MÁS situado a la izquierda de Authentication (Phase 1) y
de Key Exchange (Phase 2) para ampliar aún más la directiva.
9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
ID IKE completa
Usuarios IKE de +
acceso telefónico Clave previamente Grupo de usuarios de acceso telefónico
compartida
alice.eng.jnpr.net
+
011fg3322eda837c
El tipo de ID IKE que utilice para la ID IKE de grupo con función de clave
previamente compartida puede ser una dirección de correo electrónico o un
nombre de dominio completo (FQDN).
En el dispositivo de seguridad:
1. Cree un nuevo usuario de identificación IKE de grupo con una identidad IKE
parcial (como juniper.net) y especifique la cantidad de usuarios de acceso
telefónico que podrán utilizar el perfil de la identificación IKE de grupo para
conectarse.
En el cliente VPN:
Configure un túnel VPN al dispositivo de seguridad utilizando el modo dinámico
en las negociaciones de la fase 1 e introduzca la clave previamente compartida
que generó anteriormente en el dispositivo de seguridad.
Tanto para las negociaciones de fase 1 como para las de fase 2, deberá seleccionar
el nivel de seguridad predefinido como “Compatible”. Todas las zonas de seguridad
se encuentran en el dominio de enrutamiento trust-vr.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > User Groups > Local > New: Escriba oficina_2 en
el campo Group Name, realice la acción que se indica a continuación y después
haga clic en OK:
NOTA: La WebUI sólo permite introducir un valor para la clave previamente compartida,
pero no un valor inicial a partir del cual el dispositivo de seguridad derive una
clave previamente compartida. Para introducir un valor inicial para clave
previamente compartida al configurar una puerta de enlace IKE, debe utilizar la
interfaz CLI.
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
6. Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), web1
Service: HTTP
Action: Tunnel
Tunnel VPN: Corp_VPN
Modify matching bidirectional VPN policy: (anule la selección)
Position at Top: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Dirección
set address trust web1 10.1.1.5/32
3. Usuarios
set user Usuario2 ike-id u-fqdn juniper.net share-limit 10
set user-group oficina_2 user Usuario2
4. VPN
set ike gateway Corp_GW dialup oficina_2 aggressive seed-preshare jk930k
sec-level compatible
set vpn Corp_VPN gateway Corp_GW sec-level compatible
5. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
6. Directiva
set policy top from untrust to trust “Dial-Up VPN” web1 http tunnel vpn Corp_VPN
save
2. Haga clic en Add a new connection y escriba web1 junto al icono de nueva
conexión que aparecerá en pantalla.
4. Haga clic en el signo MÁS situado a la izquierda del icono de web1 para ampliar
la directiva de la conexión.
6. Haga clic en My Identity: Click Pre-shared Key > Enter Key: Escriba
11ccce1d396f8f29ffa93d11257f691af96916f2, después haga clic en OK.
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y
después en el símbolo MÁS situado a la izquierda de Authentication (Fase 1) y
de Key Exchange (Fase 2) para ampliar aún más la directiva.
9. Haga clic en Authentication (Fase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
10. Haga clic en Authentication (Fase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
11. Haga clic en Authentication (Fase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
14. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
15. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Con la función de ID IKE de grupo, la ID IKE puede ser una dirección de correo
electrónico o un nombre de dominio completo (FQDN). Para esta función, la ID
IKE debe ser una dirección de correo electrónico.
4. Defina los usuarios XAuth y habilite XAuth en la puerta de enlace IKE remota.
En el cliente VPN:
Tanto para las negociaciones de fase 1 como de fase 2, deberá seleccionar el nivel
de seguridad predefinido como “Compatible”. Todas las zonas de seguridad se
encuentran en el dominio de enrutamiento trust-vr.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > User Groups > Local > New: Escriba V_R en el
campo Group Name, realice la acción que se indica a continuación y después
haga clic en OK:
Policy > Policy Elements > Users > Local > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Users > Local > New: Introduzca los siguientes
datos y haga clic en OK:
> Advanced: Introduzca los siguientes datos, después haga clic en Return
para regresar a la página de configuración básica de puerta de enlace:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
5. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), web1
Service: HTTP
Action: Tunnel
Tunnel VPN: Sales_VPN
Modify matching bidirectional VPN policy: (anule la selección)
Position at Top: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Dirección
set address trust web1 10.1.1.5/32
3. Usuarios
set user Ventas_remotas ike-id sales@ns.com share-limit 250
set user-group V_R user Ventas_remotas
set user Joe password 1234
set user Joe type xauth
set user Mike password 5678
set user Mike type xauth
4. VPN
set ike gateway sales_gateway dialup V_R aggressive outgoing-interface ethernet3
preshare abcd1234 sec-level compatible
set ike gateway sales_gateway xauth
set vpn sales_vpn gateway sales_gateway sec-level compatible
set vpn sales_vpn bind zone untrust-tun
5. Ruta
set route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
6. Directiva
set policy top from untrust to trust “Dial-Up VPN” web1 http tunnel vpn sales_vpn
save
2. Haga clic en Add a new connection y escriba web1 junto al icono de nueva
conexión que aparecerá en pantalla.
4. Haga clic en el signo MÁS situado a la izquierda del icono de web1 para ampliar
la directiva de la conexión.
6. Haga clic en My Identity: Click Pre-shared Key > Enter Key: Escriba
abcd1234, después haga clic en OK.
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y
después en el símbolo MÁS situado a la izquierda de Authentication (Fase 1) y
de Key Exchange (Fase 2) para ampliar aún más la directiva.
9. Haga clic en Authentication (Fase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
10. Haga clic en Authentication (Fase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
11. Haga clic en Authentication (Fase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
14. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
15. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Introducción al L2TP
El protocolo L2TP proporciona a un usuario de acceso telefónico una forma de
realizar una conexión con un protocolo punto a punto virtual (PPP) a un servidor de
red L2TP (LNS), que puede ser un dispositivo de seguridad. L2TP envía tramas PPP
por un túnel entre un concentrador de acceso L2TP (LAC) y el LNS.
En origen, el protocolo L2TP se diseñó para que un LAC residente en un sitio ISP se
conectase por túnel a un LNS en el sitio de otro ISP o empresa. El túnel L2TP no
llega hasta al equipo del usuario de acceso telefónico, sino únicamente hasta el LAC
en el ISP local del usuario de acceso telefónico. (A veces, a esto se le llama
configuración L2TP obligatoria.)
Figura 52: Túnel L2TP entre el cliente VPN (LAC) y el dispositivo de seguridad (LNS)
NetScreen-Remote o
Windows 2000 (LAC) Dispositivo de
Internet seguridad (LNS)
ISP
LAN
corporativa
Túnel L2TP
(reenvío de sesiones PPP
del LAC al LNS)
De hecho, el cliente recibe dos direcciones IP, una para su conexión física al ISP,
y otra lógica procedente del LNS. Cuando el cliente se conecta a su ISP, por ejemplo
utilizando el protocolo PPP, el ISP realiza las asignaciones de IP y DNS, y autentica
al cliente. Esto permite a los usuarios conectarse a Internet con una dirección IP
pública, que se convierte en la dirección IP externa del túnel L2TP.
Después, cuando el túnel L2TP reenvía las tramas PPP encapsuladas al dispositivo
de seguridad, éste asigna al cliente una dirección IP y los ajustes de DNS y WINS. La
dirección IP puede ser del conjunto de direcciones privadas no utilizadas en
Internet. Ésta se convierte en la dirección IP interna del túnel L2TP.
Dispositivo de
Internet seguridad (LNS)
LAN corporativa
10.1.1.0/24
NOTA: Las direcciones IP asignadas al cliente L2TP deben estar en una subred diferente
de la de las direcciones IP en la LAN corporativa.
NOTA: De forma predeterminada, Windows 2000 realiza L2TP sobre IPSec. Para obligarlo
a utilizar sólo L2TP, debe dirigirse a la clave ProhibitIPSec en el registro y cambiar
0 (L2TP sobre IPSec) por 1 (sólo L2TP). (Antes de hacerlo, Juniper Networks
recomienda hacer una copia de seguridad del registro). Haga clic en Inicio >
Ejecutar: Escriba regedit. Haga doble clic en HKEY_LOCAL_MACHINE >
System > CurrentControlSet > Services > RasMan > Parameters. Haga doble
clic en ProhibitIPSec: Escriba 1 en el campo Value data, seleccione Hexadecimal
como base de numeración y después haga clic en OK. Reinicie. (Si no encuentra
esta entrada en el registro, consulte la documentación de Microsoft Windows para
obtener información sobre como crear una).
Directiva de acceso telefónico saliente para túneles L2TP y L2TP sobre IPSec
(Una directiva de acceso telefónico saliente se puede emparejar con una
entrante para proporcionar un túnel bidirecciones).
NOTA: La base de datos local y los servidores RADIUS son compatibles con PAP y con
CHAP SecurID y los servidores LDAP sólo son compatibles con PAP.
Túneles L2TP y L2TP sobre IPSec para el sistema raíz y los sistemas virtuales
NOTA: Para utilizar el protocolo L2TP, el dispositivo de seguridad debe operar en la capa
3, con interfaces de la zona de seguridad en modo NAT o de rutas. Cuando el
dispositivo de seguridad opera en la capa 2, con interfaces de la zona de seguridad
en modo transparente, no aparece información relacionada con el L2TP en el
WebUI y los comandos CLI relativos al L2TP provocan mensajes de error.
Encapsulado
Cuando un usuario de acceso telefónico dentro de una red IP envía datos por un
túnel L2TP, el LAC encapsula el paquete IP dentro de una serie de tramas de la
capa 2, paquetes de la capa 3 y segmentos de la capa 4. Suponiendo que el usuario
de acceso telefónico se conecte al ISP local por un enlace PPP, el encapsulado será
como se muestra en la Figura 55 en la página 215.
DATOS
IP CARGA DE DATOS
IP CARGA DE DATOS
Desencapsulado
Cuando el LAC inicia el enlace PPP hacia el ISP, el desencapsulado y reenvío del
contenido anidado será como se indica en la Figura 56 en la página 216.
IP CARGA DE DATOS
LNS
PPP CARGA DE DATOS
IP CARGA DE DATOS
DATOS
1. El ISP finaliza el enlace PPP y asigna una dirección IP al equipo del usuario.
5. El LNS procesa la trama L2TP, utilizando los datos tunnel ID y call ID del
encabezado L2TP para identificar el túnel L2TP concreto. Después, el LNS quita
el encabezado L2TP.
6. El LNS procesa la trama PPP y asigna una dirección lógica IP al equipo del
usuario.
NOTA: El servidor RADIUS o SecurID que se utiliza para autenticar a los usuarios L2TP
puede ser el mismo servidor utilizado para los usuarios de red, u otro diferente.
RADIUS10. DNS 1
1.1.245 1.1.1.2
Zona Trust Zona Untrust
WebUI
1. Conjunto de direcciones IP
Objects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK:
CLI
1. Conjunto de direcciones IP
set ippool sutro 10.1.3.40 10.1.3.100
2. Ajustes predeterminados de L2TP
set l2tp default ippool sutro
set l2tp default ppp-auth chap
set l2tp default dns1 1.1.1.2
set l2tp default dns2 1.1.1.3
save
Configuración de L2TP
En este ejemplo, como se muestra en la Figura 58 en la página 220, se crea un
grupo de usuarios de acceso telefónico llamado “fs” (de “field-sales”) y se configura
un túnel L2TP llamado “sales_corp”, utilizando ethernet3 (Untrust zone) como
interfaz de salida de túnel L2TP. El dispositivo de seguridad aplica los siguientes
ajustes del túnel L2TP predeterminados al grupo de usuarios de acceso telefónico.
NOTA: Una configuración con sólo L2TP no es segura. Se recomienda sólo para
depuración
Zona Trust
Betty
Internet
Carol
Túnel L2TP:
sales_corp Interfaz de salida ethernet1,
ethernet3, 1.1.1.1/24 10.1.1.1/24
Clientes
NetScreen-Remote
Los clientes remotos L2TP usan el sistema operativo Windows 2000. Para obtener
información sobre la configuración del L2TP en los clientes remotos, consulte la
documentación de Windows 2000. A continuación se proporciona sólo la
configuración del dispositivo de seguridad al final del túnel L2TP.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
2. Usuarios L2TP
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
en OK:
VPNs > L2TP > Default Settings: Introduzca los siguientes datos y haga clic
en OK:
5. Túnel L2TP
VPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic
en OK:
Name: sales_corp
Use Custom Settings: (seleccione)
Authentication Server: Local
Dialup Group: Local Dialup Group - fs
Outgoing Interface: ethernet3
Peer IP: 0.0.0.0
Host Name (optional): Introduzca el nombre del equipo que actúa como LAC.
Secret (optional): Introduzca un secreto compartido entre el LAC y el LNS.
Keep Alive: 60
Peer IP: Debido a que el ISP del interlocutor le asigna dinámicamente una dirección
IP, ingresaría en el ejemplo anterior 0.0.0.0.
LAC: Para encontrar el nombre del equipo que ejecuta Windows 2000, haga lo
siguiente: Haga clic en Inicio > Configuración > Panel de Control > Sistema.
Aparece el cuadro de diálogo de propiedades del sistema. Haga clic en la ficha de
Identificación de red, y consulte la entrada Nombre completo del equipo.
Para añadir un secreto al LAC para autenticar el túnel L2TP, se debe modificar el
registro de Windows 2000 de la siguiente forma:
1. Haga clic en Inicio > Ejecutar y luego escriba regedit. Se abre el editor del
registro.
6. Escriba Password.
6. Ruta
Network > Routing > Routing Entries > New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), Any
NAT: Off
Service: ANY
Action: Tunnel
Tunnel L2TP: sales_corp
Position at Top: (seleccione)
CLI
1. Usuarios de acceso telefónico
set user adam type l2tp
set user adam password AJbioJ15
unset user adam type auth
set user betty type l2tp
set user betty password BviPsoJ1
unset user betty type auth
set user carol type l2tp
set user carol password Cs10kdD3
unset user carol type auth
5. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
6. Directiva
set policy top from untrust to trust “Dial-Up VPN” any any tunnel l2tp sales_corp
save
NOTA: Para configurar un túnel L2TP sobre IPSec para Windows 2000 (sin
NetScreen-Remote), las negociaciones de la fase 1 deben ser en modo principal y
el tipo de identificación IKE debe ser ASN1-DN.
Zona Trust
Betty
Internet
Carol
Túnel L2TP: sales_corp
Túnel VPN: from_sales Interfaz de salida ethernet1,
ethernet2, 1.1.1.1/24 10.1.1.1/24
Clientes
NetScreen-Remote
WebUI
1. Zona definida por el usuario
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
2. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
NOTA: La ID IKE debe ser la misma que la que envía el cliente NetScreen-Remote, que es
la dirección de correo electrónico que aparece en el certificado que el cliente
utiliza para la autenticación.
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
en OK:
5. Conjunto de direcciones IP
Objects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK:
7. Túnel L2TP
VPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic
en OK:
Name: sales_corp
Dialup Group: (seleccione) Local Dialup Group - fs
Authentication Server: Local
Outgoing Interface: ethernet2
Peer IP: 0.0.0.0
Keep Alive: 60
LAC: Para encontrar el nombre del equipo que ejecuta Windows 2000, haga lo
siguiente: Haga clic en Inicio > Configuración > Panel de Control > Sistema.
Aparece el cuadro de diálogo de propiedades del sistema. Haga clic en la ficha de
Identificación de red, y consulte la entrada Nombre completo del equipo.
Secret: Para añadir un secreto al LAC para autenticar el túnel L2TP, se debe
modificar el registro de Windows 2000 de la siguiente forma:
1. Haga clic en Inicio > Ejecutar y luego escriba regedit. Se abre el editor del
registro.
6. Escriba Password.
NOTA: El nombre del host y los ajustes del secreto pueden pasarse por alto. Se
recomienda que sólo los usuarios avanzados utilicen estos ajustes.
8. Túnel VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Name: from_sales
Security Level: Compatible
Remote Gateway: Predefined: field
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Tunnel
Tunnel VPN: from_sales
Modify matching bidirectional VPN policy: (anule la selección)
L2TP: sales_corp
Position at Top: (seleccione)
CLI
1. Zona definida por el usuario
set zone name dialup
set zone dialup vrouter trust-vr
set zone dialup block
2. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone dialup
set interface ethernet2 ip 1.3.3.1/24
3. Usuarios L2TP/IKE
set user adam type ike l2tp
set user adam password AJbioJ15
unset user adam type auth
set user adam ike-id u-fqdn ajackson@abc.com
set user betty type ike l2tp
set user betty password BviPsoJ1
unset user betty type auth
set user betty ike-id u-fqdn bdavis@abc.com
set user carol type ike l2tp
set user carol password Cs10kdD3
unset user carol type auth
set user carol ike-id u-fqdn cburnet@abc.com
4. Grupo de usuarios IKE/L2TP
set user-group fs location Local
set user-group fs user adam
set user-group fs user betty
set user-group fs user carol
5. Conjunto de direcciones IP
set ippool global 10.10.2.100 10.10.2.180
6. Ajustes predeterminados de L2TP
set l2tp default ippool global
set l2tp default ppp-auth chap
set l2tp default dns1 1.1.1.2
set l2tp default dns2 1.1.1.3
7. Túnel L2TP
set l2tp sales_corp outgoing-interface ethernet2
set l2tp sales_corp auth server Local user-group fs
8. Túnel VPN
set ike gateway field dialup fs aggressive outgoing-interface ethernet2 proposal
rsa-g2-3des-sha
set ike gateway field cert peer-ca1
set ike gateway field cert peer-cert-type x509-sig
set vpn from_sales gateway field transport sec-level compatible
9. Directiva
set policy top from dialup to trust “Dial-Up VPN” any any tunnel vpn from_sales
l2tp sales_corp
save
4. Haga clic en el signo MÁS situado a la izquierda del icono de AJ para ampliar la
directiva de la conexión.
Select the certificate with the email address specified as the user’s IKE ID on
the security device from the Select Certificate dropdown list:
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y,
a continuación, en el símbolo MÁS situado a la izquierda de Authentication
(Phase 1) y de Key Exchange (Phase 2) para ampliar más aún la directiva.
9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
NOTA: Para configurar un túnel L2TP sobre IPSec para Windows 2000 (sin
NetScreen-Remote), las negociaciones de la fase 1 deben ser en modo principal y
el tipo de identificación IKE debe ser ASN1-DN.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
NOTA: La ID IKE debe ser la misma que la que envía el cliente NetScreen-Remote, que es
la dirección de correo electrónico que aparece en el certificado que el cliente
utiliza para la autenticación.
4. L2TP
VPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic
en OK:
Name: tun1
Use Default Settings: (seleccione)
Secret: netscreen
Keepalive: 60
5. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
> Advanced: Introduzca los siguientes datos y haga clic en Return para
regresar a la página de configuración básica de la puerta de enlace AutoKey
IKE:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
> Advanced: Introduzca los siguientes datos y haga clic en Return para
regresar a la página de configuración básica de AutoKey IKE:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), trust_net
Service: ANY
Action: Tunnel
Tunnel VPN: VPN_dial
Modify matching bidirectional VPN policy: (seleccione)
L2TP: (seleccione) tun1
Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), trust_net
Destination Address:
Address Book Entry: (seleccione), Dial-Up VPN
Service: ANY
Action: Tunnel
Tunnel VPN: VPN_dial
Modify matching bidirectional VPN policy: (seleccione)
L2TP: tun1
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Dirección
set address trust trust_net 10.1.1.0/24
3. Usuario L2TP/IKE
set user dialup-j ike-id u-fqdn jf@ns.com
set user dialup-j type auth ike l2tp
set user dialup-j password abc123
4. L2TP
set L2TP tun1 outgoing-interface ethernet3 secret "netscreen" keepalive 60
5. VPN
set ike gateway dialup1 dialup "dialup-j" aggressive outgoing-interface ethernet3
preshare n3TsCr33N sec-level standard
set ike gateway dialup1 nat-traversal udp-checksum
set ike gateway dialup1 nat-traversal keepalive-frequency 5
set vpn VPN_dial gateway dialup1 no-replay transport idletime 0 sec-level standard
6. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
7. Directivas
set policy from untrust to trust “Dial-Up VPN” trust_net any tunnel vpn VPN_dial
tun1
set policy from trust to untrust trust_net “Dial-Up VPN” any tunnel vpn VPN_dial
l2tp tun1
save
2. Haga clic en Add a new connection y escriba dialup-j junto al icono de nueva
conexión que aparecerá en pantalla.
4. Haga clic en el signo MÁS situado a la izquierda del icono de dialup-j para
ampliar la directiva de la conexión.
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y,
a continuación, en el símbolo MÁS situado a la izquierda de Authentication
(Phase 1) y de Key Exchange (Phase 2) para ampliar más aún la directiva.
9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Este capítulo abarca los siguientes usos de la tecnología de redes privadas virtuales
(VPN):
239
Manual de referencia de ScreenOS: Conceptos y ejemplos
NAT-Traversal
Las normas de Internet NAT (traducción de direcciones de red, Network Address
Translation ) y NAPT (traducción de puertos de direcciones de red, Network Address
Port Translation) permiten que una red de área local (LAN) utilice un grupo de
direcciones IP para el tráfico interno y un segundo grupo de direcciones para el
tráfico externo. Los dispositivos NAT generan estas direcciones externas utilizando
conjuntos predeterminados de direcciones IP.
NOTA: Para obtener una lista de las incompatibilidades IPSec/NAT, consulte el documento
draft-ietf-ipsec-nat-regts-00.txt de Bernard Aboba.
240 NAT-Traversal
Capítulo 7: Funciones avanzadas de redes privadas virtuales
Los dispositivos NAT pueden crear otro problema si también están preparados para
IKE/IPSec e intentan procesar paquetes con el número de puerto IKE 500 o con los
números de protocolo 50 (para ESP) y 51 (para AH). Para evitar ese procesamiento
intermedio de paquetes IKE, la versión 2 de las especificaciones IETF previamente
mencionadas propone el desplazamiento (o “flotación”) de los números de puertos
UDP 500 a 4500 para IKE. Para evitar el procesamiento intermedio de paquetes
IPSec, ambas especificaciones 0 y 2 insertan un encabezado UDP entre el
encabezado IP externo y el encabezado ESP o AH, cambiando así el valor 50 o 51
del campo “Protocol” (para ESP o AH, respectivamente) a 17 (para UDP). Además,
el encabezado UDP insertado también utiliza el puerto 4500. La versión actual de
ScreenOS es compatible con NAT-T de acuerdo con las especificaciones
draft-ietf-ipsec-nat-t-ike-02.txt y draft-ietf-ipsec-udp-encaps-02.txt, así como con la
versión 0 de estas especificaciones.
NOTA: NetScreen no admite NAT-T para los túneles de clave manual ni para el tráfico
IPSec usando AH. ScreenOS sólo admite NAT-T para túneles AutoKey IKE con ESP.
Sondeos de NAT
Para comprobar si ambos extremos del túnel VPN admiten NAT-T, ScreenOS envía
dos hashes MD-5 en la carga de datos de ID del fabricante en los dos primeros
intercambios de las negociaciones de fase 1, un hash para el título de la
especificación 0 y otro para el título de la especificación 2:
NOTA: ScreenOS puede manejar varias cargas de datos de descubrimiento NAT (NAT-D)
en una negociación IKE.
NAT-Traversal 241
Manual de referencia de ScreenOS: Conceptos y ejemplos
NOTA: NAT-T admite múltiples hashes de origen NAT-D para dispositivos equipados con
múltiples interfaces e implementaciones que no especifiquen una interfaz
saliente.
Cuando cada interlocutor compara los hashes que recibe con los que envía, puede
reconocer si entre ellos se ha producido una traducción de direcciones. La
identificación de los paquetes modificados implica la de la ubicación del dispositivo
NAT:
242 NAT-Traversal
Capítulo 7: Funciones avanzadas de redes privadas virtuales
Dispositivo NAT
Dispositivo de seguridad
Internet
Túnel VPN
Cliente VPN telefónico
Si se encapsulan los paquetes IPSec dentro de paquetes UDP (cosa que harán tanto
el cliente VPN como el dispositivo de seguridad) se resuelve el problema de fallo en
la comprobación de autenticación. El dispositivo NAT los procesa como paquetes
UDP, cambiando el puerto de origen en el encabezado UDP sin modificar el SPI en
el encabezado AH o ESP. Los participantes VPN retiran la capa UDP y procesan los
paquetes IPSec, que no tendrán problemas en la comprobación de autenticación,
ya que los contenidos autenticados no habrán cambiado.
NAT-Traversal 243
Manual de referencia de ScreenOS: Conceptos y ejemplos
Segmento UDP
Puerto de origen (500 para IKE) Puerto de destino (500 para IKE)
Carga de datos
Puerto de origen (4500 para IKE) Puerto de destino (4500 para IKE)
Carga de datos
244 NAT-Traversal
Capítulo 7: Funciones avanzadas de redes privadas virtuales
Encabezado UDP
Puerto de origen (4500 para IKE) Puerto de destino (4500 para IKE)
Longitud Suma de comprobación
Carga de datos
NAT-Traversal 245
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
VPN > AutoKey Advanced > Gateway > New:
Introduzca los parámetros necesarios para la nueva puerta de enlace del túnel,
según se describe en “Redes privadas virtuales de punto a punto” en la
página 81 o en “Redes privadas virtuales de acceso telefónico” en la
página 163; introduzca los siguientes datos y, finalmente, haga clic en OK:
CLI
set ike gateway nombre nat-traversal udp-checksum
unset ike gateway nombre nat-traversal udp-checksum
NOTA: Los dispositivos NAT tienen distintos intervalos de tiempo de espera de sesión,
dependiendo del fabricante y el modelo. Es importante determinar qué intervalo
tiene el dispositivo NAT, para poder establecer un valor de frecuencia de
mantenimiento de conexión por debajo de dicho intervalo.
Simetría iniciador/respondedor
Cuando dos dispositivos de seguridad establecen un túnel en ausencia de un
dispositivo NAT, cada dispositivo puede funcionar como iniciador o respondedor.
Sin embargo, si uno de los hosts se encuentra tras un dispositivo NAT, esta simetría
iniciador/respondedor podría llegar a ser imposible. Esto sucede cuando el
dispositivo NAT genera direcciones IP dinámicamente.
246 NAT-Traversal
Capítulo 7: Funciones avanzadas de redes privadas virtuales
Figura 64: Dispositivo de seguridad con una dirección IP asignada dinámicamente detrás de un dispositivo NAT
Nota: Las zonas de seguridad ilustradas se
muestran desde la perspectiva del Zona Untrust Zona Trust
dispositivo-B.
Dispositivo
NAT
Dispositivo A Internet Dispositivo B
Host A Host B
Zona 10.1.1.5
1.2.1.1 1.1.1.250
Cuando se configura IKE en modo principal para uno de los tipos de interlocutor
anteriormente mencionados en la misma interfaz de salida, el dispositivo de
seguridad comprueba automáticamente que todas las propuestas de fase 1 sean
iguales y tengan el mismo orden. Si las propuestas son distintas, el dispositivo de
seguridad generará un mensaje de error.
NAT-Traversal 247
Manual de referencia de ScreenOS: Conceptos y ejemplos
Habilitación de NAT-Traversal
En la Figura 65, un dispositivo NAT ubicado en el perímetro de la red local (LAN) de
un hotel asigna una dirección al cliente VPN de acceso telefónico utilizado por Jose,
un comercial que está participando en una convención. Para que Jose pueda
acceder a la LAN corporativa por medio de un túnel VPN de acceso telefónico, se
debe habilitar NAT-T para la puerta de enlace remota “jose”, configurada en el
dispositivo de seguridad y para la puerta de enlace remota, configurada en el cliente
VPN de acceso telefónico. También deberá habilitar el dispositivo de seguridad para
que incluya una suma de comprobación de UDP en sus transmisiones, y establecer
una frecuencia de mantenimiento de conexión de 8 segundos.
Dispositivo NAT
Dispositivo de seguridad
Internet
Túnel VPN
Cliente VPN telefónico
WebUI
VPN > AutoKey Advanced > Gateway > New: Introduzca los parámetros
necesarios para la nueva puerta de enlace del túnel, según se describe en el
Capítulo 4, “Redes privadas virtuales de punto a punto,” o en el Capítulo 5,
“Redes privadas virtuales de acceso telefónico,” introduzca los datos siguientes
y, a continuación, haga clic en OK:
NOTA: Cuando se configura una VPN de acceso telefónico con CLI, el dispositivo de
seguridad activa automáticamente NAT-Traversal.
CLI
set ike gateway jose nat-traversal
set ike gateway jose nat-traversal udp-checksum
set ike gateway jose nat-traversal keepalive-frequency 8
save
248 NAT-Traversal
Capítulo 7: Funciones avanzadas de redes privadas virtuales
Sin NAT-T, un túnel VPN se puede activar con sólo utilizar la ID local en el lado local
y sólo la ID del interlocutor en el lado remoto. Sin embargo, al utilizar NAT-Traversal
con la VPN dinámica en el modo principal con certificados, debe establecer tanto la
ID local como la ID del interlocutor en ambos lados del túnel VPN. El siguiente
ejemplo muestra cómo puede configurar las ID locales y las ID de interlocutores en
el cortafuegos1 y cortafuegos2 para que se puedan identificar entre sí y activar un
túnel entre las mismas.
WebUI
En el cortafuegos1, introduzca lo siguiente:
VPN > AutoKey IKE Advanced> Gateway > New (introduzca lo siguiente y
haga clic en Advanced:
VPN > AutoKey IKE Advanced> Gateway > New (introduzca lo siguiente y
haga clic en Advanced:
NAT-Traversal 249
Manual de referencia de ScreenOS: Conceptos y ejemplos
CLI
En el cortafuegos1, introduzca lo siguiente:
Supervisión de VPN
Cuando se habilita la supervisión de VPN para un túnel específico, el dispositivo de
seguridad envía peticiones de eco ICMP (o “pings”) a través del túnel en intervalos
determinados (configurados en segundos) para supervisar la conectividad de la red
a través del túnel.
NOTA: Para cambiar el intervalo de pings, puede utilizar el siguiente comando CLI: set
vpnmonitor interval número. El intervalo predeterminado es de 10 segundos.
NOTA: Para cambiar el límite de peticiones de eco ICMP consecutivas sin respuesta,
puede utilizar el siguiente comando CLI: set vpnmonitor threshold number. El
valor predeterminado es de 10 peticiones.
Para obtener más información sobre los datos SNMP que proporciona la
supervisión de VPN, consulte “Objetos y capturas SNMP para la supervisión de
VPN” en la página 262.
La supervisión de VPN se aplica por cada objeto VPN, no necesariamente por cada
túnel VPN. Un objeto VPN es el que se define con el comando set vpn, o con sus
equivalentes de WebUI. Una vez definido un objeto VPN, puede hacer referencia a
él en unas o más directivas (creando VPN basadas en directivas). Dado que
ScreenOS deriva un túnel de VPN basada en directivas a partir de un objeto VPN
más los demás parámetros de la directiva, un solo objeto VPN puede ser un
elemento de numerosos túneles VPN. Esta distinción entre objeto VPN y túnel VPN
es importante porque Juniper Networks recomienda aplicar la supervisión de VPN a
no más de 100 túneles IPSec VPN (si no habilita la optimización). Si habilita la
optimización, no habrá límite al número de túneles VPN a los que pueda aplicar la
supervisión de VPN. Para obtener información sobre la opción de optimización,
consulte “Opciones de reencriptación y optimización” en la página 251.
Asimismo, debe crear una directiva en el dispositivo receptor para permitir que las
peticiones de eco procedentes de la zona donde se encuentra la dirección de origen
pasen a través del túnel VPN a la zona que contiene la dirección de destino si:
WebUI
VPN > AutoKey IKE > New: Configure la VPN, haga clic en Advanced,
introduzca los datos siguientes, haga clic en Return para regresar a la página de
configuración básica de VPN y, finalmente, haga clic en OK:
(o bien)
VPNs > Manual Key > New: Configure la VPN, haga clic en Advanced,
introduzca los datos siguientes, haga clic en Return para regresar a la página de
configuración básica de VPN y, finalmente, haga clic en OK:
CLI
set vpnmonitor frequency número
set vpnmonitor threshold número
set vpn cadena_nombre monitor [ source-interface interfaz [ destination-ip dir_ip ] ]
[optimized] [ rekey ]
save
La opción de reencriptación no está disponible para los túneles VPN con clave
manual.
En este ejemplo configuraremos un túnel VPN AutoKey IKE entre dos dispositivos
de seguridad (dispositivo-A y dispositivo-B). En el dispositivo A, configure la
supervisión de VPN desde su interfaz de zona Trust (ethernet1) a la interfaz de zona
Trust (10.2.1.1/24) del dispositivo-B. En el dispositivo-B, configure la supervisión de
VPN desde su interfaz de zona Trust (ethernet1) a un servidor de red local
corporativa (10.1.1.5) ubicado tras el dispositivo-A.
Dispositivo A Dispositivo B
Zonas e interfaces
ethernet1 ethernet1
Zona: Trust Zone: Trust
Dirección IP: 10.1.1.1/24 Dirección IP: 10.2.1.1/24
Modo de interfaz: NAT Modo de interfaz: NAT
ethernet3 ethernet3
Zona: Untrust Zone: Untrust
Dirección IP: 1.1.1.1/24 Dirección IP: 2.2.2.2/24
1.El nivel de seguridad Compatible en la fase 1 incluye las siguientes propuestas: pre-g2-3des-sha,
pre-g2-3des-md5, pre-g2-des-sha y pre-g2-des-md5.
2.El nivel de seguridad Compatible en la fase 2 incluye las siguientes propuestas:
nopfs-esp-3des-sha, nopfs-esp-3des-md5, nopfs-esp-des-sha y nopfs-esp-des-md5.
Dispositivo A Dispositivo B
Rutas
A 0.0.0.0/0, utilizar ethernet3, puerta de A 0.0.0.0/0, utilizar ethernet3, puerta de enlace
enlace 1.1.1.250 2.2.2.250
A 10.2.1.0/24, utilizar tunnel.1, sin puerta de A 10.1.1.0/24, utilizar tunnel.1, sin puerta de
enlace enlace
(Ruta Null: para derivar el tráfico a 10.2.1.0/24 (Ruta Null: para derivar el tráfico a 10.1.1.0/24 si
si tunnel.1 queda fuera de línea) Para tunnel.1 queda fuera de línea) Para 10.1.1.0/24,
10.2.1.0/24, utilizar interfaz Null, métrica: 10 utilizar interfaz Null, métrica: 10
Como los dos dispositivos envían peticiones de eco ICMP desde una interfaz en su
zona Trust a una dirección de su zona Untrust, los administradores situados en
ambos extremos del túnel VPN deben definir directivas que permitan que las
peticiones pasen de una zona a otra.
NOTA: Como los dos terminadores VPN de este ejemplo son dispositivos de seguridad, es
posible utilizar las direcciones predeterminadas de origen y destino para la
supervisión de VPN. El uso de otras opciones se incluye únicamente para ilustrar
la configuración de un dispositivo de seguridad para que pueda utilizarlas.
WebUI (dispositivo-A)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Tunnel IF New: Introduzca los siguientes datos y haga
clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
3. VPN
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
5. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Remote_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Remote_LAN
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: Any
Action: Permit
Position at Top: (seleccione)
WebUI (dispositivo-B)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Tunnel IF New: Introduzca los siguientes datos y haga
clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Remote_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Remote_LAN
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: Any
Action: Permit
Position at Top: (seleccione)
CLI (dispositivo-A)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone trust
set interface tunnel.1 ip unnumbered interface ethernet1
2. Direcciones
set address trust Trust_LAN 10.1.1.0/24
set address untrust Remote_LAN 10.2.1.0/24
3. VPN
set ike gateway gw1 address 2.2.2.2 main outgoing-interface ethernet3 preshare
Ti82g4aX sec-level compatible
set vpn vpn1 gateway gw1 sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.1.0/24 any
set vpn vpn1 monitor source-interface ethernet1 destination-ip 10.2.1.1
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.2.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.2.1.0/24 interface null metric 10
5. Directivas
set policy top from trust to untrust Trust_LAN Remote_LAN any permit
set policy top from untrust to trust Remote_LAN Trust_LAN any permit
save
CLI (dispositivo-B)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone trust
set interface tunnel.1 ip unnumbered interface ethernet1
2. Direcciones
set address trust Trust_LAN 10.2.1.0/24
set address untrust Remote_LAN 10.1.1.0/24
3. VPN
set ike gateway gw1 address 1.1.1.1 main outgoing-interface ethernet3 preshare
Ti82g4aX sec-level compatible
set vpn vpn1 gateway gw1 sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 10.2.1.0/24 remote-ip 10.1.1.0/24 any
set vpn vpn1 monitor source-interface ethernet1 destination-ip 10.1.1.5
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.1.1.0/24 interface null metric 10
5. Directivas
set policy top from trust to untrust Trust_LAN Remote_LAN any permit
set policy top from untrust to trust Remote_LAN Trust_LAN any permit
save
NOTA: Para permitir que la aplicación de gestión SNMP reconozca las MIB de supervisión
de VPN, es necesario importar en la aplicación los archivos de extensión MIB
específicos de ScreenOS. Puede encontrar los archivos de extensión MIB en el CD
de documentación que recibió con su dispositivo de seguridad.
El dispositivo de seguridad puede ordenar el tráfico VPN enviado a través de una sola interfaz de
túnel a tantos túneles VPN como admita la tabla de rutas o la capacidad del túnel VPN (lo que sea
menor).
Figura 68: Tabla de rutas y tabla de asociación de túneles a saltos siguientes (NHTB)
Dispositivo de seguridad local Interlocutores VPN remotos (con direcciones IP
con múltiples túneles asignados externas asignadas dinámicamente y
a la interfaz tunnel.1 direcciones IP de interfaz de túnel fijas) y sus
LAN protegidas
10.1.1.1
10.1.0.0/24
vpn1
10.2.1.5 tunnel.1 10.1.1.5
vpn2 10.1.2.1
10.1.1.0/24
10.2.0.0/16 vpn3
LAN de zona Trust 10.1.3.1
10.1.2.0/24
Se puede utilizar un protocolo de enrutamiento dinámico como Durante las negociaciones de fase 2, los dos interlocutores IKE
Border Gateway Protocol (BGP) para rellenar la tabla de rutas intercambian direcciones de interfaz de túnel e introducen
automáticamente, o bien introducir manualmente estas rutas. La automáticamente estas asociaciones de túnel a salto siguiente. De
dirección IP de la puerta de enlace es la dirección de la interfaz de forma opcional también se pueden introducir manualmente. La
túnel en la ubicación del interlocutor remoto. dirección IP del siguiente salto será la dirección IP de interfaz de
túnel del interlocutor remoto.
En las entradas anteriores, la dirección IP de la puerta de enlace en la tabla de rutas (que también es la dirección IP de salto siguiente en la
tabla NHTB) es la interfaz de túnel en la ubicación del interlocutor remoto. Esta dirección IP vincula la ruta (y, en consecuencia, la interfaz de
túnel especificada en la ruta) a un túnel VPN determinado para el tráfico destinado al prefijo IP especificado.
Puerta de enlace/salto
siguiente
Dest. en tabla Interfaz de túnel (Interfaz de túnel del
local de rutas local interlocutor) Túnel VPN
10.0.3.0/24 tunnel.1 10.0.2.1/24 vpn1
10.0.5.0/24 tunnel.1 10.0.4.1/24 vpn2
10.0.7.0/24 tunnel.1 10.0.6.1/24 vpn3
… … … …
10.0.251.0/24 tunnel.1 10.0.250.1/24 vpn125
Si desea ver un ejemplo que ilustra la asociación de múltiples túneles con una sola
interfaz de túnel con traducción de direcciones, consulte “Ajuste de VPN en una
interfaz de túnel para subredes superpuestas” en la página 269.
Figura 69: Múltiples túneles asociados a una única interfaz de túnel con traducción de direcciones
El dispositivo de seguridad local y todos 10.0.4.1/24
sus interlocutores ejecutan la NAT-dst 10.0.5.1 -> 10.0.6.1/24
traducción de direcciones de destino direcciones IP internas NAT-dst 10.0.7.1 ->
(NAT-dst) con desplazamiento de IP en direcciones IP internas
el tráfico VPN entrante y traducción de IF 10.0.2.1/24
direcciones de origen (NAT-src) desde NAT-dst 10.0.3.1 -> vpn2
direcciones IP internas vpn3
la dirección IP de interfaz de túnel de
salida con traducción de puertos en el vpn1 10.1.1.1/24
tráfico VPN saliente. NAT-dst 10.1.2.1 ->
IF 10.0.2.1/24 direcciones IP internas
NAT-dst 10.0.3.1 -> vpn251
direcciones IP internas
10.6.2.1/24
Dispositivo de NAT-dst 10.6.3.1->
seguridad local vpn751 direcciones IP internas
10.0.0.1/24
NAT-dst 10.0.1.1 ->
direcciones IP internas vpn1000
10.7.250.1/24
NAT-dst 10.7.251.1 ->
direcciones IP internas
Una vez hecho esto, podrá introducir una ruta estática en la tabla de rutas que
utiliza la dirección IP de interfaz de túnel como puerta de enlace. Puede introducir
la ruta por medio de la WebUI o con el siguiente comando CLI:
Los interlocutores remotos de todos los túneles VPN asociados a una sola
interfaz de túnel local deben ser dispositivos de seguridad con ScreenOS 5.0.0
o posterior.
Cada interlocutor remoto debe asociar su túnel a una interfaz de túnel, y esa
interfaz debe tener una dirección IP única entre todas las direcciones de
interfaz de túnel de los interlocutores.
En ambos extremos del túnel VPN, habilite la supervisión de VPN con la opción
de reencriptación (Rekey), o habilite la opción de nueva conexión de pulsos de
IKE (IKE Heartbeat Reconnect) para cada puerta de enlace remota.
Para OSPF (Open Shortest Path First, abrir primero la ruta más corta), debe
configurar la interfaz de túnel en el interlocutor local como interfaz “punto a
multipunto” antes de activar el protocolo de enrutamiento en la interfaz.
Para hacer que el dispositivo de seguridad local pueda introducir rutas a destinos
remotos automáticamente en su tabla de rutas, debe habilitar una instancia de BGP
en las interfaces de túnel locales y remotas. Los pasos básicos son los siguientes:
Las configuraciones de túnel VPN a ambos extremos de cada túnel utilizan los
siguientes parámetros:
AutoKey IKE
WebUI (dispositivo-A)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: (seleccione), 10.0.0.2 ~ 10.0.0.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Interfaces > Edit (para tunnel.1) > NHTB > New: Introduzca los
siguientes datos y haga clic en Add:
Network > Interfaces > Edit (para tunnel.1) > NHTB: Introduzca los
siguientes datos y haga clic en Add:
Network > Interfaces > Edit (para tunnel.1) > NHTB: Introduzca los
siguientes datos y haga clic en Add:
Source Address:
Address Book: (seleccione), corp
Destination Address:
Address Book: (seleccione), peers
Service: Any
Action: Permit
Position at Top: (seleccione)
NAT:
Source Translation: (seleccione)
DIP On: 5 (10.0.0.2–10.0.0.2)/X-late
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), peers
Destination Address:
Address Book Entry: (seleccione), oda1
Service: Any
Action: Permit
Position at Top: (seleccione)
NAT:
Destination Translation: (seleccione)
Translate to IP Range: (seleccione), 10.1.1.0 - 10.1.1.254
CLI (dispositivo-A)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip 10.0.0.1/30
set interface tunnel.1 dip 5 10.0.0.2 10.0.0.2
2. Direcciones
set address trust corp 10.1.1.0/24
set address trust oda1 10.0.1.0/24
set address untrust peers 10.0.0.0/16
3. VPN
set ike gateway interloc1 address 2.2.2.2 outgoing-interface ethernet3 preshare
netscreen1 sec-level compatible
set vpn vpn1 gateway interloc1 sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
set ike gateway interloc2 address 3.3.3.3 outgoing-interface ethernet3 preshare
netscreen2 sec-level compatible
set vpn vpn2 gateway interloc2 sec-level compatible
set vpn vpn2 bind interface tunnel.1
set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
set ike gateway interloc3 address 4.4.4.4 outgoing-interface ethernet3 preshare
netscreen3 sec-level compatible
set vpn vpn3 gateway interloc3 sec-level compatible
set vpn vpn3 bind interface tunnel.1
set vpn vpn3 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.0.1.0/24 interface ethernet1
set vrouter trust-vr route 10.0.3.0/24 interface tunnel.1 gateway 10.0.2.1
set vrouter trust-vr route 10.0.2.2/32 interface tunnel.1 gateway 10.0.2.1
set vrouter trust-vr route 10.0.5.0/24 interface tunnel.1 gateway 10.0.4.1
set vrouter trust-vr route 10.0.4.2/32 interface tunnel.1 gateway 10.0.4.1
set vrouter trust-vr route 10.0.7.0/24 interface tunnel.1 gateway 10.0.6.1
set vrouter trust-vr route 10.0.6.2/32 interface tunnel.1 gateway 10.0.6.1
set vrouter trust-vr route 10.0.0.0/16 interface null metric 10
set interface tunnel.1 nhtb 10.0.2.1 vpn vpn1
set interface tunnel.1 nhtb 10.0.4.1 vpn vpn2
set interface tunnel.1 nhtb 10.0.6.1 vpn vpn3
5. Directivas
set policy from trust to untrust corp peers any nat src dip-id 5 permit
set policy from untrust to trust peers oda1 any nat dst ip 10.1.1.0 10.1.1.254
permit
save
Interloc1
La siguiente configuración, según se ilustra en la Figura 71, es la que el
administrador remoto del dispositivo de seguridad en la ubicación interloc1 debe
introducir para crear un túnel VPN al dispositivo-A en la empresa. El administrador
remoto configura el dispositivo de seguridad para que realice NAT en el origen y en
el destino (NAT-src y NAT-dst) porque las direcciones internas se encuentran en el
mismo espacio de direcciones que las de la LAN corporativa: 10.1.1.0/24. Interloc1
lleva a cabo NAT-src utilizando el conjunto de DIP 6 para traducir todas las
direcciones de origen internas a 10.0.2.2 al enviar tráfico a través de VPN1 al
dispositivo-A. Interloc1 lleva a cabo NAT-dst en el tráfico VPN enviado desde el
dispositivo-A, traduciendo las direcciones de 10.0.3.0/24 a 10.1.1.0/24 con
desplazamiento de direcciones.
ethernet3 tunnel.10
2.2.2.2/24 10.0.2.1/30 Rango NAT-dst NAT-dst de
Enrutador externo Conjunto de DIP 6 10.0.3.0 – 10.0.3.255 10.0.3.0 – 10.0.3.255
2.2.2.250 10.0.2.2 - 10.0.2.2 a
ethernet1 10.1.1.0 – 10.1.1.255
10.1.1.1/24 con desplazamiento de
Zona Untrust Interloc1 direcciones
Zona Trust
vpn1 de
dispositivo-A
LAN
10.1.1.0/24
NOTA: Para obtener más información sobre NAT-src y NAT-dst, consulte el Volumen 8:
Traducción de direcciones.
WebUI (Interloc1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para tunnel.10) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 6
IP Address Range: (seleccione), 10.0.2.2 ~ 10.0.2.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), fr_corp
Destination Address:
Address Book Entry: (seleccione), oda2
Service: Any
Action: Permit
Position at Top: (seleccione)
NAT:
Destination Translation: (seleccione)
Translate to IP Range: (seleccione), 10.1.1.0 - 10.1.1.254
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), lan
Destination Address:
Address Book Entry: (seleccione), to_corp
Service: Any
Action: Permit
Position at Top: (seleccione)
NAT:
Source Translation: (seleccione)
DIP On: 6 (10.0.2.2–10.0.2.2)/X-late
CLI (Interloc1)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.10 zone untrust
set interface tunnel.10 ip 10.0.2.1/30
set interface tunnel.10 dip 6 10.0.2.2 10.0.2.2
2. Direcciones
set address trust lan 10.1.1.0/24
set address trust oda2 10.0.3.0/24
set address untrust to_corp 10.0.1.0/24
set address untrust fr_corp 10.0.0.2/32
3. VPN
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare
netscreen1 sec-level compatible
set vpn vpn1 gateway corp sec-level compatible
set vpn vpn1 bind interface tunnel.10
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
metric 1
set vrouter trust-vr route 10.0.3.0/24 interface ethernet1 metric 1
set vrouter trust-vr route 10.0.0.0/8 interface tunnel.10 metric 10
set vrouter trust-vr route 10.0.0.0/8 interface null metric 12
5. Directivas
set policy from trust to untrust lan to_corp any nat src dip-id 6 permit
set policy from untrust to trust fr_corp oda2 any nat dst ip 10.1.1.0 10.1.1.254
permit
save
Interloc2
La siguiente configuración, según se ilustra en la Figura 72, es la que el
administrador remoto del dispositivo de seguridad en la ubicación interloc2 debe
introducir para crear un túnel VPN al dispositivo-A en la empresa. El administrador
remoto configura el dispositivo de seguridad para que realice NAT en el origen y en
el destino (NAT-src y NAT-dst) porque las direcciones internas se encuentran en el
mismo espacio de direcciones que las de la LAN corporativa: 10.1.1.0/24. Interloc2
lleva a cabo NAT-src utilizando el conjunto de DIP 7 para traducir todas las
direcciones de origen internas a 10.0.4.2 al enviar tráfico a través de VPN2 al
dispositivo-A. Interloc2 lleva a cabo NAT-dst en el tráfico VPN enviado desde el
dispositivo-A, traduciendo las direcciones de 10.0.5.0/24 a 10.1.1.0/24 con
desplazamiento de direcciones.
ethernet3 tunnel.20
10.0.4.1/30 Rango NAT-dst NAT-dst de
3.3.3.3/24 10.0.5.0 – 10.0.5.255
Enrutador externo Conjunto de DIP 7 10.0.5.0 – 10.0.5.255
3.3.3.250 10.0.4.2 - 10.0.4.2 ethernet1 a
10.1.1.1/24 10.1.1.0 – 10.1.1.255
con desplazamiento
Zona Untrust de direcciones
Interloc2
Zona Trust
vpn2 desde
dispositivo-A LAN
10.1.1.0/24
NOTA: Para obtener más información sobre NAT-src y NAT-dst, consulte el Volumen 8:
Traducción de direcciones.
WebUI (Interloc2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 7
IP Address Range: (seleccione), 10.0.4.2 ~ 10.0.4.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
3. VPN
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
5. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), lan
Destination Address:
Address Book Entry: (seleccione), to_corp
Service: Any
Action: Permit
Position at Top: (seleccione)
NAT:
Source Translation: (seleccione)
DIP On: 7 (10.0.4.2–10.0.4.2)/X-late
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), fr_corp
Destination Address:
Address Book Entry: (seleccione), oda3
Service: Any
Action: Permit
Position at Top: (seleccione)
NAT:
Destination Translation: (seleccione)
Translate to IP Range: (seleccione), 10.1.1.0 - 10.1.1.254
CLI (Interloc2)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 3.3.3.3/24
set interface tunnel.20 zone untrust
set interface tunnel.20 ip 10.0.4.1/30
set interface tunnel.20 dip 7 10.0.4.2 10.0.4.2
2. Direcciones
set address trust lan 10.1.1.0/24
set address trust oda3 10.0.5.0/24
set address untrust to_corp 10.0.1.0/24
set address untrust fr_corp 10.0.0.2/32
3. VPN
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare
netscreen2 sec-level compatible
set vpn vpn2 gateway corp sec-level compatible
set vpn vpn2 bind interface tunnel.20
set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250
metric 1
set vrouter trust-vr route 10.0.5.0/24 interface ethernet1 metric 1
set vrouter trust-vr route 10.0.0.0/8 interface tunnel.20 metric 10
set vrouter trust-vr route 10.0.0.0/8 interface null metric 12
5. Directivas
set policy from trust to untrust lan to_corp any nat src dip-id 7 permit
set policy from untrust to trust fr_corp oda3 any nat dst ip 10.1.1.0 10.1.1.254
permit
save
Interloc3
La siguiente configuración, según se ilustra en la Figura 73, es la que el
administrador remoto del dispositivo de seguridad en la ubicación interloc3 debe
introducir para crear un túnel VPN al dispositivo-A en la empresa. El administrador
remoto configura el dispositivo de seguridad para que realice NAT en el origen y en
el destino (NAT-src y NAT-dst) porque las direcciones internas se encuentran en el
mismo espacio de direcciones que las de la LAN corporativa: 10.1.1.0/24. Interloc3
lleva a cabo NAT-src utilizando el conjunto de DIP 8 para traducir todas las
direcciones de origen internas a 10.0.6.2 al enviar tráfico a través de VPN3 al
dispositivo A. Interloc3 lleva a cabo NAT-dst en el tráfico VPN enviado desde el
dispositivo A, traduciendo las direcciones de 10.0.7.0/24 a 10.1.1.0/24 con
desplazamiento de direcciones.
ethernet3
4.4.4.4/24 tunnel.30 Rango NAT-dst
Enrutador externo 10.0.6.1/30 NAT-dst de
Conjunto de DIP 8 10.0.7.0 – 10.0.7.255 10.0.7.0 – 10.0.7.255
4.4.4.250
10.0.6.2 - 10.0.6.2 a
ethernet1
vpn2 desde Zona Untrust 10.1.1.1/24
10.1.1.0 – 10.1.1.255
dispositivo-A con desplazamiento
Interloc3 de direcciones
Zona Trust
LAN
10.1.1.0/24
NOTA: Para obtener más información sobre NAT-dst, consulte el Volumen 8: Traducción de
direcciones.
WebUI (Interloc3)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para tunnel.30) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 7
IP Address Range: (seleccione), 10.0.6.2 ~ 10.0.6.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), lan
Destination Address:
Address Book Entry: (seleccione), to_corp
Service: Any
Action: Permit
Position at Top: (seleccione)
NAT:
Source Translation: (seleccione)
DIP On: 8 (10.0.6.2–10.0.6.2)/X-late
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), fr_corp
Destination Address:
Address Book Entry: (seleccione), oda4
Service: Any
Action: Permit
Position at Top: (seleccione)
NAT:
Destination Translation: (seleccione)
Translate to IP Range: (seleccione), 10.1.1.0 - 10.1.1.254
CLI (Interloc3)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 4.4.4.4/24
set interface tunnel.30 zone untrust
set interface tunnel.30 ip 10.0.6.1/30
set interface tunnel.30 dip 8 10.0.6.2 10.0.6.2
2. Direcciones
set address trust lan 10.1.1.0/24
set address trust oda4 10.0.7.0/24
set address untrust to_corp 10.0.1.0/24
set address untrust fr_corp 10.0.0.2/32
3. VPN
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare
netscreen3 sec-level compatible
set vpn vpn3 gateway corp sec-level compatible
set vpn vpn3 bind interface tunnel.30
set vpn vpn3 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250 metric
1
set vrouter trust-vr route 10.0.7.0/24 interface ethernet1 metric 1
set vrouter trust-vr route 10.0.0.0/8 interface tunnel.30 metric 10
set vrouter trust-vr route 10.0.0.0/8 interface null metric 12
5. Directivas
set policy from trust to untrust lan to_corp any nat src dip-id 8 permit
set policy from untrust to trust fr_corp oda4 any nat dst ip 10.1.1.0 10.1.1.254
permit
save
NOTA: En este ejemplo también puede utilizar OSPF (“Open Shortest Path First” = “abrir
primero la ruta más corta”) en lugar de BGP como protocolo de enrutamiento.
Consulte “Uso de OSPF para entradas automáticas en la tabla de rutas” en la
página 300 para ver las configuraciones de OSPF.
interloc1
vpn1
Dispositivo A
interloc2
vpn2
Zona Trust tunnel.1 ethernet3
ethernet1 10.0.0.1/30 1.1.1.1/24
10.1.1.1/24 Enrutador externo
1.1.1.250
vpn2
Puerta de enlace IKE: interloc2, 3.3.3.3
Interfaz de túnel del interlocutor remoto: 3.4.4.1
Las configuraciones de túnel VPN a ambos extremos de cada túnel utilizan los
siguientes parámetros: AutoKey IKE, clave previa compartida (interloc1:
“netscreen1”, interloc2: “netscreen2”) y el nivel de seguridad predefinido como
“Compatible” para las propuestas de fase 1 y fase 2. (Para ver los detalles sobre
estas propuestas, consulte “Negociación de túnel” en la página 9).
Si las interfaces de túnel se ejecutan con BGP, el tráfico generado por BGP puede
desencadenar negociaciones IKE aun cuando no se habilite la supervisión de VPN
con la opción de reencriptación o la opción de nueva conexión de pulsos de IKE.
En cualquier caso, Juniper Networks recomienda no confiar en que el tráfico BGP
desencadene las negociaciones IKE. En lugar de esto, utilice la supervisión de VPN
con la opción de reencriptación o de nueva conexión de pulsos de IKE.
WebUI (dispositivo-A)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
2. VPN
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return
para regresar a la página de configuración básica de AutoKey IKE:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
3. Ruta estática
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
AS Number (obligatorio): 99
BGP Enabled: (seleccione)
Network > Interfaces > Edit (para tunnel.1) > BGP: Seleccione la casilla de
verificación Protocol BGP, luego haga clic en OK.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 99
Remote IP: 2.3.3.1
Outgoing Interface: tunnel.1
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 99
Remote IP: 3.4.4.1
Outgoing Interface: tunnel.1
5. Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book: (seleccione), Any
Destination Address:
Address Book: (seleccione), Any
Service: ANY
Action: Permit
CLI (dispositivo-A)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip 10.0.0.1/30
2. VPN
set ike gateway interloc1 address 2.2.2.2 outgoing-interface ethernet3 preshare
netscreen1 sec-level compatible
set vpn vpn1 gateway interloc1 sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
set vpn vpn1 monitor rekey
set ike gateway interloc2 address 3.3.3.3 outgoing-interface ethernet3 preshare
netscreen2 sec-level compatible
set vpn vpn2 gateway interloc2 sec-level compatible
set vpn vpn2 bind interface tunnel.1
set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
set vpn vpn2 monitor rekey
3. Rutas estáticas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 2.3.3.1/32 interface tunnel.1 gateway 2.3.3.1
set vrouter trust-vr route 2.4.4.1/32 interface tunnel.1 gateway 2.4.4.1
4. Enrutamiento dinámico
device-> set vrouter trust-vr protocol bgp 99
device-> set vrouter trust-vr protocol bgp enable
device-> set interface tunnel.1 protocol bgp
device-> set vrouter trust-vr
device(trust-vr)-> set protocol bgp
device(trust-vr/bgp)-> set neighbor 2.3.3.1 remote-as 99 outgoing interface
tunnel.1
device(trust-vr/bgp)-> set neighbor 2.3.3.1 enable
device(trust-vr/bgp)-> set neighbor 3.4.4.1 remote-as 99 outgoing interface
tunnel.1
device(trust-vr/bgp)-> set neighbor 3.4.4.1 enable
device(trust-vr/bgp)-> exit
device(trust-vr)-> exit
5. Directiva
set policy from trust to untrust any any any permit
save
Interloc1
La siguiente configuración, según se ilustra en la Figura 75 en la página 294, es la
que el administrador remoto del dispositivo de seguridad en la ubicación interloc1
debe introducir para crear un túnel VPN al dispositivo-A en la empresa. El
administrador remoto configura el dispositivo de seguridad para permitir el tráfico
entrante desde la empresa. También configura el dispositivo de seguridad para
comunicar rutas internas a su vecino BGP a través de vpn1.
2.3.
Interloc1
2.3.
WebUI (Interloc1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
2. Dirección
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
AS Number (obligatorio): 99
BGP Enabled: (seleccione)
Network > Interfaces > Edit (para tunnel.10) > BGP: Seleccione la casilla de
verificación Protocol BGP, luego haga clic en OK.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 99
Remote IP: 10.0.0.1
Outgoing Interface: tunnel.10
6. Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
CLI (Interloc1)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 2.3.4.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.10 zone untrust
set interface tunnel.10 ip 2.3.3.1/30
2. Dirección
set address untrust corp 10.1.1.0/24
3. VPN
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare
netscreen1 sec-level compatible
set vpn vpn1 gateway corp sec-level compatible
set vpn vpn1 bind interface tunnel.10
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
4. Rutas estáticas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
metric 1
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.10 metric 1
5. Enrutamiento dinámico
device-> set vrouter trust-vr protocol bgp 99
device-> set vrouter trust-vr protocol bgp enable
device-> set interface tunnel.10 protocol bgp
device-> set vrouter trust-vr
device(trust-vr)-> set protocol bgp
device(trust-vr/bgp)-> set neighbor 10.0.0.1 remote-as 99 outgoing interface
tunnel.10
device(trust-vr/bgp)-> set neighbor 10.0.0.1 enable
device(trust-vr/bgp)-> exit
device(trust-vr)-> exit
6. Directiva
set policy from untrust to trust corp any any permit
save
Interloc2
La siguiente configuración, según se ilustra en la Figura 76, es la que el
administrador remoto del dispositivo de seguridad en la ubicación interloc2 debe
introducir para crear un túnel VPN al dispositivo-A en la empresa. El administrador
remoto configura el dispositivo de seguridad para permitir el tráfico entrante desde
la empresa. También configura el dispositivo de seguridad para comunicar rutas
internas a su vecino BGP a través de vpn2.
vpn2 desde
dispositivo-A 3.4.
Interloc
3.4.5.0/24
Zona Untrust
3.4.
WebUI (Interloc2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
2. Dirección
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
AS Number (obligatorio): 99
BGP Enabled: (seleccione)
Network > Interfaces > Edit (para tunnel.20) > BGP: Seleccione la casilla de
verificación Protocol BGP, luego haga clic en OK.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 99
Remote IP: 10.0.0.1
Outgoing Interface: tunnel.20
6. Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
CLI (Interloc2)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 3.4.5.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 3.3.3.3/24
set interface tunnel.20 zone untrust
set interface tunnel.20 ip 3.4.4.1/30
2. Dirección
set address untrust corp 10.1.1.0/24
3. VPN
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare
netscreen2 sec-level compatible
set vpn vpn1 gateway corp sec-level compatible
set vpn vpn1 bind interface tunnel.20
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
4. Rutas estáticas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250
metric 1
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.20 metric 1
5. Enrutamiento dinámico
device-> set vrouter trust-vr protocol bgp 99
device-> set vrouter trust-vr protocol bgp enable
device-> set interface tunnel.20 protocol bgp
device-> set vrouter trust-vr
device(trust-vr)-> set protocol bgp
device(trust-vr/bgp)-> set neighbor 10.0.0.1 remote-as 99 outgoing interface
tunnel.20
device(trust-vr/bgp)-> set neighbor 10.0.0.1 enable
device(trust-vr/bgp)-> exit
device(trust-vr)-> exit
6. Directiva
set policy from untrust to trust corp any any permit
save
WebUI (dispositivo-A)
Enrutamiento dinámico (OSPF)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create OSPF
Instance: Seleccione OSPF Enabled, luego haga clic en Apply.
Area > Configure (para el área 0.0.0.0): Haga clic en << Add para mover
la interfaz tunnel.1 de la lista “Available Interface(s)” a la lista “Selected
Interface(s)” y luego haga clic en OK.
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes
datos y haga clic en Apply:
CLI (dispositivo-A)
Enrutamiento dinámico (OSPF)
device-> set vrouter trust-vr protocol ospf
device-> set vrouter trust-vr protocol ospf enable
device-> set interface tunnel.1 protocol ospf area 0
device-> set interface tunnel.1 protocol ospf link-type p2mp
device-> set interface tunnel.1 protocol ospf enable
device-> save
WebUI (Interloc1)
Enrutamiento dinámico (OSPF)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create OSPF
Instance: Seleccione OSPF Enabled, luego haga clic en Apply.
Area > Configure (para el área 0.0.0.0): Haga clic en << Add para mover
la interfaz tunnel.1 de la lista “Available Interface(s)” a la lista “Selected
Interface(s)” y luego haga clic en OK.
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes
datos y haga clic en Apply:
CLI (Interloc1)
Enrutamiento dinámico (OSPF)
device-> set vrouter trust-vr protocol ospf
device-> set vrouter trust-vr protocol ospf enable
device-> set interface tunnel.1 protocol ospf area 0
device-> set interface tunnel.1 protocol ospf enable
device-> save
WebUI (Interloc2)
Enrutamiento dinámico (OSPF)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create OSPF
Instance: Seleccione OSPF Enabled, luego haga clic en Apply.
Area > Configure (para el área 0.0.0.0): Haga clic en << Add para mover
la interfaz tunnel.1 de la lista “Available Interface(s)” a la lista “Selected
Interface(s)” y luego haga clic en OK.
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes
datos y haga clic en Apply:
CLI (Interloc2)
Enrutamiento dinámico (OSPF)
device-> set vrouter trust-vr protocol ospf
device-> set vrouter trust-vr protocol ospf enable
device-> set interface tunnel.1 protocol ospf area 0
device-> set interface tunnel.1 protocol ospf enable
device-> save
NOTA: Los grupos VPN no admiten túneles de los siguientes tipos: L2TP,
L2TP-sobre-IPSec, acceso telefónico, clave manual ni túneles VPN basados en
rutas. En una configuración de interlocutores dinámicos punto a punto, el
dispositivo de seguridad que supervisa el grupo VPN debe tener la dirección IP
Untrust asignada dinámicamente, mientras que las direcciones IP de los
miembros del grupo VPN deben ser estáticas.
En este esquema se asume que los sitios situados detrás de las puertas de enlace
redundantes están conectados de tal forma que los datos se replican entre los
hosts de todos los sitios. Además, cada sitio (al ser dedicado para alta
disponibilidad) tiene un conjunto redundante de dispositivos de seguridad que
funcionan en modo de alta disponibilidad. Así, el límite de conmutación de fallo
de VPN que se ajuste debe ser mayor que el límite de conmutación por error del
dispositivo o se podrían producir conmutaciones por error innecesarias.
Figura 77: Puertas de enlace VPN redundantes para conmutación por error del túnel VPN
Grupos VPN
Un grupo VPN es un conjunto de configuraciones de túnel VPN para hasta cuatro
puertas de enlace remotas de destino. Los parámetros de asociación de seguridad
(SA) de fase 1 y fase 2 para cada túnel de un grupo pueden ser distintos o idénticos
(excepto en el caso de la dirección IP de la puerta de enlace remota, que,
lógicamente, debe ser diferente). El grupo VPN, que se muestra en la Figura 78 en
la página 303, tiene un número de ID inequívoco, y a cada miembro del grupo se le
asigna un peso inequívoco para indicar su lugar en el rango de preferencia para
convertirse en el túnel activo. Un valor de 1 constituye el rango inferior o de menor
preferencia.
E
S 3
Supervisor
T
I
2
N
O
Nota: En esta ilustración, el sombreado simboliza el peso de cada 1
túnel. Cuanto más oscuro sea el túnel, mayor será su prioridad. S
El dispositivo de seguridad que se comunica con los miembros del grupo VPN y los
propios miembros tienen una relación supervisor/destino. El dispositivo de
supervisión supervisa continuamente la conectividad y el correcto estado de cada
dispositivo de destino. El supervisor utiliza las siguientes herramientas para ello:
Pulsos de IKE
Mecanismos de supervisión
Dos mecanismos supervisan los miembros de un grupo VPN con el fin de
determinar su capacidad para terminar tráfico VPN:
Pulsos de IKE
Utilizando estas dos herramientas junto con la opción de conmutación por error de
aplicación TCP (consulte “Comprobación de indicador TCP SYN” en la página 307),
los dispositivos de seguridad pueden detectar si es necesario realizar una
conmutación por error de la VPN y desviar el tráfico al nuevo túnel sin tener que
interrumpir el servicio de VPN.
Pulsos de IKE
Los pulsos de IKE son mensajes de saludo que los interlocutores IKE se envían
mutuamente bajo la protección de una asociación de seguridad (SA) de fase 1
establecida para confirmar la conectividad y el correcto estado del otro. Por
ejemplo, si dispositivo_s (el “supervisor”) no recibe un determinado número de
pulsos (el valor predeterminado es 5) de dispositivo_d (el “destino”), dispositivo_s
llega a la conclusión de que dispositivo_d está fuera de línea. Dispositivo_s elimina
de su memoria caché las asociaciones de seguridad (SA) de fase 1 y fase 2
correspondientes y comienza el procedimiento de recuperación IKE. (Consulte
“Procedimiento de recuperación IKE” en la página 306.) Dispositivo_d también
elimina sus SA.
NOTA: La función de pulsos de IKE debe estar habilitada en los dispositivos ubicados a
ambos extremos de un túnel VPN en un grupo VPN. Si está habilitada en
dispositivo_s pero no en dispositivo_d, dispositivo_s suprime la transmisión de
pulsos de IKE y genera el siguiente mensaje en el registro de eventos: “Heartbeats
have been disabled because the peer is not sending them” (los pulsos se han
desactivado porque el interlocutor no los está enviando).
Los pulsos de IKE deben fluir en ambos sentidos a través del túnel VPN.
Para definir el intervalo de pulsos de IKE y el umbral para un túnel VPN específico
(el valor predeterminado es 5), realice los siguientes pasos:
WebUI
VPN > AutoKey Advanced > Gateway > Edit (para la puerta de enlace
cuyo umbral de pulsos de IKE desee modificar) > Advanced: Introduzca los
nuevos valores en los campos “Heartbeat Hello” y “Heartbeat Threshold” y
haga clic en OK.
CLI
set ike gateway cadena_nombre heartbeat hello número
set ike gateway cadena_nombre heartbeat threshold número
Se puede utilizar DPD como una alternativa para la función de pulsos IKE (que se
describe anteriormente). No obstante, no se pueden utilizar ambas funciones
simultáneamente. Además, el pulso IKE puede utilizarse como un ajuste global, que
afecta todas las puertas de enlace IKE configuradas en el dispositivo. El ajuste de
pulso IKE también puede aplicarse a un contexto individual de puerta de enlace
IKE, que afecta únicamente a una sola puerta de enlace. En contraste, se puede
configurar el DPD únicamente en el contexto de una puerta de enlace individual
IDE, no como un parámetro global.
WebUI
VPN > AutoKey Advanced > Gateway > Edit: Cree una puerta de enlace
introduciendo los siguientes valores y luego haga clic en OK.
VPN > AutoKey Advanced > Gateway > Edit (our_gateway): Introduzca los
siguientes valores y haga clic en OK.
CLI
set ike gateway “our_gateway” address 1.1.1.1 main outgoing-interface “untrust”
preshare “jun9345” sec-level standard
set ike gateway “our_gateway” dpd interval 5
Intentos de
negociación de fase 1
Supervisor IKE cada 5 minutos Destino
Intervalo:
5 minutos
(300 segundos) Intento fallido
..
. . ..
.. .
Intento fallido
.. .. ..
. . .
Para definir el intervalo de recuperación IKE para un túnel VPN específico (el ajuste
mínimo es 60 segundos), realice uno de los siguientes pasos:
WebUI
VPN > AutoKey Advanced > Gateway > Edit (para la puerta de enlace
cuyo intervalo de reconexión de IKE desee modificar) > Advanced:
Introduzca el valor en segundos en el campo Heartbeat Reconnect; luego,
haga clic en OK.
CLI
set ike gateway cadena_nombre heartbeat reconnect número
Cuando el miembro con el mayor peso de un grupo VPN realiza una conmutación
por error del túnel a otro miembro del grupo y, a continuación, conecta de nuevo
con el dispositivo de supervisión, se realiza automáticamente una conmutación por
recuperación del túnel al primer miembro. El sistema de ponderación hace que la
puerta de enlace que tiene la mayor valoración del grupo se encargue siempre de
gestionar los datos VPN si es posible.
Supervisor Destino
El supervisor realiza una conmutación por error de la VPN (si el destino estaba
gestionando datos VPN), elimina las SA de fase 1 y fase 2 e intenta establecer
de nuevo el túnel VPN con los intervalos especificados.
WebUI
No es posible inhabilitar la comprobación de indicador SYN mediante la
WebUI.
CLI
unset flow tcp-syn-check-in-tunnel
NOTA: El espacio de direcciones interno en ambos centros de datos debe ser idéntico.
WebUI (Monitor1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
3. VPN
VPNs > AutoKey Advanced > VPN Group: Introduzca 1 en el campo VPN
Group ID; luego, haga clic en Add.
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), in_trust
Destination Address:
Address Book Entry: (seleccione), data_ctr
Service: ANY
Action: Tunnel
VPN: VPN Group-1
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
WebUI (destino1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Name: to_monitor1
Security Level: Compatible
Remote Gateway: Predefined: (seleccione), monitor1
4. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
5. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), in_trust
Destination Address:
Address Book Entry: (seleccione), corp
Service: ANY
Action: Zona
Tunnel VPN: monitor1
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
WebUI (destino2)
NOTA: Siga los pasos de configuración de destino1 para configurar destino2, pero defina
la dirección IP de la interfaz de zona Untrust como 3.3.3.1/24, la dirección IP de
puerta de enlace predeterminada como 3.3.3.2 y utilice CMFwb7oN23 para
generar la clave previamente compartida.
CLI (Monitor1)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.10.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust in_trust 10.10.1.0/24
set address untrust data_ctr 10.1.0.0/16
3. VPN
set ike gateway target1 address 2.2.2.1 main outgoing-interface ethernet3
preshare SLi1yoo129 sec-level compatible
set ike gateway target1 heartbeat hello 3
set ike gateway target1 heartbeat reconnect 60
set ike gateway target1 heartbeat threshold 5
set vpn to_target1 gateway target1 sec-level compatible
set ike gateway target2 address 3.3.3.1 main outgoing-interface ethernet3
preshare CMFwb7oN23 sec-level compatible
set ike gateway target2 heartbeat hello 3
set ike gateway target2 heartbeat reconnect 60
set ike gateway target2 heartbeat threshold 5
set vpn to_target2 gateway target2 sec-level compatible
set vpn-group id 1 vpn to_target1 weight 2
set vpn-group id 1 vpn to_target2 weight 1
unset flow tcp-syn-check-in-tunnel
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.2
5. Directivas
set policy top from trust to untrust in_trust data_ctr any tunnel “vpn-group 1”
set policy top from untrust to trust data_ctr in_trust any tunnel “vpn-group 1”
save
CLI (destino1)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/16
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.1/24
2. Direcciones
set address trust in_trust 10.1.0.0/16
set address untrust corp 10.10.1.0/24
3. VPN
set ike gateway monitor1 address 1.1.1.1 main outgoing-interface ethernet3
preshare SLi1yoo129 sec-level compatible
set ike gateway monitor1 heartbeat hello 3
set ike gateway monitor1 heartbeat threshold 5
set vpn to_monitor1 gateway monitor1 sec-level compatible
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.2
5. Directivas
set policy top from trust to untrust in_trust corp any tunnel vpn to_monitor
set policy top from untrust to trust corp in_trust any tunnel vpn to_monitor
save
CLI (destino2)
NOTA: Siga los pasos de configuración de destino1 para configurar destino2, pero defina
la dirección IP de la interfaz de zona Untrust como 3.3.3.1/24, la dirección IP de
puerta de enlace predeterminada como 3.3.3.2 y utilice CMFwb7oN23 para
generar la clave previamente compartida.
NOTA: De forma opcional, puede habilitar un bloqueo intrazonal y definir una directiva
intrazonal para controlar el tráfico entre las dos interfaces de túnel dentro de la
misma zona.
Zona X1
Zona X2
Red radial A Red radial B
VPN1 VPN2
Consulta
de
directivas
Concentrador
Puede conservar el número de VPN que necesite crear. Por ejemplo, el punto de
perímetro A puede enlazar con el concentrador y los puntos de perímetro B, C,
D, etc., pero A sólo tiene que configurar un túnel VPN. Especialmente para
usuarios de NetScreen-5XP, que pueden utilizar un máximo de diez túneles
VPN de forma simultánea, aplicar el método radial aumenta de manera
significativa las opciones y capacidades VPN.
NOTA: Para crear zonas definidas por el usuario, primero se debería adquirir y cargar una
clave de software de zona en el dispositivo de seguridad.
La interfaz de salida es ethernet3, que está asociada a la zona Untrust. Como puede
ver en la Figura 84, ambos túneles terminan en la zona Untrust; sin embargo, los
puntos finales para el tráfico que utiliza estos túneles se encuentran en las zonas X1
y X2. Los túneles utilizan AutoKey IKE con claves previamente compartidas. Hay
que seleccionar el nivel de seguridad predefinido como “Compatible” para ambas
propuestas de fase 1 y fase 2. La zona Untrust se asocia a untrust-vr. Como los
túneles están basados en rutas (es decir, el túnel correcto se determina por el
enrutamiento, no por un nombre de túnel especificado en una directiva), las ID de
proxy se incluyen en la configuración de cada túnel.
Figura 84: VPN adosadas con dos dominios de enrutamiento y múltiples zonas de seguridad
Puerta de enlace Tokio (radio)
predeterminada 110.1.1.1
IP 123.1.1.2 París (radio)
Nueva York 220.2.2.2
Interfaz de salida Dominio de
Zona Untrust enrutamiento
Dominio de ethernet3, IP 123.1.1.1/24 VPN1 Untrust-VR
enrutamiento
Trust-VR Interfaz: VPN2
tunnel.1
10.10.1.2/24
Sede central en
Nueva York LAN de Tokio
(concentrador) Zona X1
10.10.1.0/24
Consulta
Zona Trust de
directivas
LAN de París
Zona X2 10.20.1.0/24
Interfaz:
ethernet1 tunnel.2
10.1.1.1/24 10.20.1.2/24
WebUI
1. Zonas de seguridad y enrutadores virtuales
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 0.0.0.0/0
Manage IP: 0.0.0.0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga
clic en OK:
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: X1
Virtual Router Name: trust-vr
Block Intra-Zone Traffic: (seleccione)
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: X2
Virtual Router Name: trust-vr
Block Intra-Zone Traffic: (seleccione)
2. Interfaces
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Proxy-ID: (seleccione)
Local IP/Netmask: 10.20.1.0/24
Remote IP/Netmask: 10.10.1.0/24
Service: ANY
NOTA: Para configurar el túnel VPN en el dispositivo de seguridad que protege las oficinas
de Tokio y París, ejecute uno de estos procedimientos:
Proxy-ID: (seleccione)
Local IP/Netmask: 10.10.1.0/24
Remote IP/Netmask: 10.20.1.0/24
Service: ANY
5. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Tokio LAN
Destination Address:
Address Book Entry: (seleccione), Paris LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policy > (From: X2, To: X1) New: Introduzca los siguientes datos y haga clic
en OK:
Source Address:
Address Book Entry: (seleccione), Paris LAN
Destination Address:
Address Book Entry: (seleccione), Tokio LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
CLI
1. Zonas de seguridad y enrutadores virtuales
unset interface ethernet3 ip
unset interface ethernet3 zone
set zone untrust vrouter untrust-vr
set zone untrust block
set zone name x1
set zone x1 vrouter trust-vr
set zone x1 block
set zone name x2
set zone x2 vrouter trust-vr
set zone x2 block
2. Interfaces
set interface ethernet3 zone untrust
set interface ethernet3 ip 123.1.1.1/24
set interface tunnel.1 zone x1
set interface tunnel.1 ip 10.10.1.2/24
set interface tunnel.2 zone x2
set interface tunnel.2 ip 10.20.1.2/24
3. VPN para la oficina de Tokio
set ike gateway Tokio address 110.1.1.1 outgoing-interface ethernet3 preshare
netscreen1 sec-level compatible
set vpn VPN1 gateway Tokio sec-level compatible
set vpn VPN1 bind interface tunnel.1
set vpn VPN1 proxy-id local-ip 10.20.1.0/24 remote-ip 10.10.1.0/24 any
NOTA: Para configurar el túnel VPN en el dispositivo de seguridad que protege las oficinas
de Tokio y París, ejecute uno de estos procedimientos:
(VPN basada en rutas) Introduzca los siguientes comandos: set vpn VPN1
proxy-id local-ip 10.20.1.0/24 remote-ip 10.10.1.0/24 (Tokio) y set vpn VPN1
proxy-id local-ip 10.10.1.0/24 remote-ip 10.20.1.0/24 (París).
7. Directivas
set policy top from x1 to x2 “Tokio LAN” “Paris LAN” any permit
set policy top from x2 to x1 “Paris LAN” “Tokio LAN” any permit
save
NOTA: Puede hacer caso omiso al siguiente mensaje, que aparece porque las interfaces
de túnel están en modo NAT:
También es posible configurar VPN múltiples en una zona y enrutar el tráfico entre
dos túneles cualesquiera.
Zona Untrust
NOTA: De forma opcional, puede mantener el bloqueo intrazonal habilitado y definir una
directiva intrazonal que permita el tráfico entre las dos interfaces de túnel.
Los túneles se asocian a las interfaces de túnel (tunnel.1 y tunnel.2), que están sin
numerar. Los túneles utilizan AutoKey IKE con claves previamente compartidas.
Hay que seleccionar el nivel de seguridad predefinido como “Compatible” para
ambas propuestas de fase 1 y fase 2. La zona Untrust se asocia a untrust-vr. La
interfaz de zona Untrust es ethernet3.
IP Address/Netmask: 0.0.0.0/0
Manage IP: 0.0.0.0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Proxy-ID: (seleccione)
Local IP/Netmask: 0.0.0.0/0
Remote IP/Netmask: 0.0.0.0/0
Service: ANY
4. VPN para la oficina de París
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Proxy-ID: (seleccione)
Local IP/Netmask: 0.0.0.0/0
Remote IP/Netmask: 0.0.0.0/0
Service: ANY
5. Rutas
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
WebUI (Tokio)
1. Zonas de seguridad y enrutadores virtuales
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 0.0.0.0/0
Manage IP: 0.0.0.0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Proxy-ID: (seleccione)
Local IP/Netmask: 0.0.0.0/0
Remote IP/Netmask: 0.0.0.0/0
Service: ANY
5. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Paris
Service: ANY
Action: Permit
WebUI (París)
1. Zonas de seguridad y enrutadores virtuales
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 0.0.0.0/0
Manage IP: 0.0.0.0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Proxy-ID: (seleccione)
Local IP/Netmask: 0.0.0.0/0
Remote IP/Netmask: 0.0.0.0/0
Service: ANY
5. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Tokio
Service: ANY
Action: Permit
5. Rutas
set vrouter untrust-vr route 10.2.2.0/24 interface tunnel.1
set vrouter untrust-vr route 10.3.3.0/24 interface tunnel.2
set vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
save
CLI (Tokio)
1. Zonas de seguridad y enrutadores virtuales
unset interface ethernet3 ip
unset interface ethernet3 zone
set zone untrust vrouter untrust-vr
2. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
3. Dirección
set address untrust Paris 10.3.3.0/24
4. VPN
set ike gateway “Nueva York” address 1.1.1.1 outgoing-interface ethernet3
preshare netscreen1 sec-level compatible
set vpn VPN1 gateway “Nueva York” sec-level compatible
set vpn VPN1 bind interface tunnel.1
set vpn VPN1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
5. Rutas
set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr
set vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
set vrouter untrust-vr route 10.3.3.0/24 interface tunnel.1
6. Directivas
set policy from trust to untrust any Paris any permit
set policy from untrust to trust Paris any any permit
save
CLI (París)
1. Zonas de seguridad y enrutadores virtuales
unset interface ethernet3 ip
unset interface ethernet3 zone
set zone untrust vrouter untrust-vr
2. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.3.3.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 3.3.3.3/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
3. Dirección
set address untrust Tokio 10.2.2.0/24
4. VPN
set ike gateway “Nueva York” address 1.1.1.1 outgoing-interface ethernet3
preshare netscreen2 sec-level compatible
set vpn VPN2 gateway “Nueva York” sec-level compatible
set vpn VPN2 bind interface tunnel.1
set vpn VPN2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
5. Rutas
set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr
set vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250
set vrouter untrust-vr route 10.2.2.0/24 interface tunnel.1
6. Directivas
set policy from trust to untrust any Tokio any permit
set policy from untrust to trust Tokio any any permit
save
Vista general
Las organizaciones de empresas pequeñas que aseguran sus sitios satélites remotos
con los túneles de red privada virtual (VPN) suelen interconectar todos los sitios en
una VPN de malla completa, ya que los sitios remotos se deben comunicar entre sí,
al igual que con las oficinas centrales. En este tipo de red, generalmente los sitios
remotos ejecutan dispositivos de seguridad finales de pocas prestaciones que
admiten un máximo de 25 túneles VPN. Sin embargo, cuando la cantidad total de
sitios es superior a 25, la empresa debe colocar dispositivos de seguridad con
mayor capacidad en sus sitios remotos (a un costo considerable) o cambiar de una
topología de malla completa a una red radial.
AC-VPN le proporciona un método para configurar su red radial, de manera que las
redes radiales puedan crear túneles VPN de forma dinámica, directamente entre sí,
según sea necesario. Esto no sólo resuelve el problema de latencia entre las redes
radiales sino también reduce el gasto de procesamiento en el concentrador,
mejorando todo el funcionamiento de la red. Adicionalmente, debido a que AC-VPN
crea túneles de forma dinámica, que tienen un tiempo de espera cuando el tráfico
se detiene para fluir a través de los mismos, los administradores de la red se liberan
de la tarea de mantener una red compleja de túneles VPN estáticos, que exige
mucho tiempo de trabajo.
Cómo funciona
AC-VPN está diseñada para implementarse en una red radial, donde todas las redes
radiales están conectadas al concentrador por medio de los túneles VPN. Después
de configurar un túnel VPN estático entre el concentrador y cada una de las redes
radiales, configure la AC-VPN en el concentrador y las redes radiales, y luego
habilite el protocolo de resolución de siguiente salto (NHRP). El concentrador utiliza
NHRP para obtener un rango de información sobre cada red radial, incluso sobre
sus asignaciones de direcciones públicas y privadas, longitud de la máscara de
subred y enrutamiento e información de recuento de saltos, que el concentrador
guarda en caché. Luego, cuando alguna red radial comienza a comunicarse con otra
red radial (a través del concentrador), el concentrador utiliza esta información,
junto con la información obtenida a través de la configuración de AC-VPN de las
redes radiales, para habilitar las redes radiales para configurar un túnel AC-VPN
entre dichas redes. Mientras se negocia el túnel, la comunicación continúa fluyendo
entre las dos redes radiales a través del concentrador. Cuando el túnel dinámico se
activa, el concentrador se desconecta y el tráfico fluye directamente entre las dos
redes radiales. Cuando el tráfico deja de fluir a través del túnel dinámico, el túnel
entra a tiempo de espera.
Mensajes NHRP
En el contexto de NHRP, el concentrador que está en una red radial se conoce como
servidor de siguiente salto (NHS) y la red radial se llama cliente de siguiente salto
(NHC). La comunicación NHRP entre NHS y NHC se lleva a cabo a través de un
intercambio formal de mensajes NHRP. El protocolo de resolución de siguiente salto
(RFC 2332) de acceso múltiple sin difusión (NBMA) define siete mensajes de NHRP.
A estos siete mensajes, ScreenOS agrega dos más. Estos nueve mensajes y su
funcionamiento en una red radial AC-VPN se definen de la siguiente manera:
Respuesta de registro
3.
RR2 entra en línea 4.
(envía perfil AC-VPN)
Petición de registro
5.
(envía subredes protegidas, hash self-cert, ID local)
Respuesta de registro
6.
(envía perfil AC-VPN)
D1 tras RR1 envía nuevo tráfico a D2 tras RR2 El concentrador reenvía el tráfico a RR2
7.
El concentrador envía Resolution-set con detalles de RR1
8.
RR2 envía Resolution-ack
9.
El concentrador envía Resolution-set con detalles de RR2
10.
Configuración de AC-VPN
Se aplican las siguientes restricciones generales:
Nat-Traversal: AC-VPN puede crear un túnel dinámico entre dos redes radiales,
si una de las redes está detrás de un dispositivo NAT en la ruta hacia el
concentrador; si ambas redes radiales están detrás de los dispositivos NAT, pero
no se creará un túnel dinámico y la comunicación entre las redes radiales
continuará a través del concentrador. Consulte NAT-Traversal en la página 240
para obtener más información sobre NAT-Traversal.
La traducción de direcciones de puerto (PAT) sólo se admite entre una red radial
y el concentrador. Por ejemplo, puede tener un dispositivo NAT entre una red
radial y el concentrador y se puede crear un túnel dinámico entre esa red radial
y otra red radial, siempre y cuando no exista un dispositivo NAT entre esa otra
red radial y el concentrador. En este escenario, el concentrador forzará la red
radial detrás del dispositivo de NAT para iniciar el túnel hacia otra red radial.
Configuración en el concentrador
La configuración de la red radial incluye lo siguiente:
2. Crear túneles estáticos en las redes radiales y conectar las VPN a los túneles.
8. Configurar el enrutamiento.
Ejemplo
En este ejemplo, un dispositivo de seguridad final de altas prestaciones, que actúa
como el concentrador en una red radial, está configurado para actuar como el
servidor de siguiente salto (NHS) en una configuración AC-VPN, en la que
red_radial1 y red_radial2 (dispositivos de seguridad finales de bajas prestaciones)
son clientes de siguiente salto (NHC). Después de configurar las interfaces en los
dispositivos, configurará los túneles VPN estáticos entre el concentrador y cada una
de las redes radiales, luego configure la AC-VPN y habilite NHRP en las interfaces de
conexión. Aunque este ejemplo utiliza el protocolo de enrutamiento de abrir
primero la ruta más corta (OSPF), ScreenOS admite todos los protocolos de
enrutamiento dinámico con AC-VPN.
10.1.1.0/24
Concentrador
t.1--10.0.0.2 e2/1--1.1.1.1
Internet
10.1.2.0/24 10.1.3.0/24
WebUI (concentrador)
NOTA: Después de configurar las puertas de enlace estáticas y las VPN estáticas del
concentrador a las redes radiales y de las redes radiales al concentrador, puede
utilizar el asistente de AC-VPN para completar la configuración de AC-VPN.
1. Interfaces
Network > Interfaces > Edit (para ethernet2/1): Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet2/2): Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > New (Tunnel IF): Introduzca los siguientes datos y
haga clic en Apply:
VPN > AutoKey Advanced > Gateway > New: Configure la puerta de enlace de
IKE, haga clic en Advanced y establezca el nivel de seguridad, luego haga clic
en Return para regresar a la página de configuración de la puerta de enlace IKE
y haga clic en OK:
VPN > AutoKey IKE > New: Configure la puerta de enlace de IKE, haga clic
en Advanced y establezca el nivel de seguridad, luego haga clic en Return para
regresar a la página de configuración de la puerta de enlace IKE y haga clic
en OK:
VPN > AutoKey IKE > New: Configure el perfil de ACVPN, haga clic
en Advanced y establezca el nivel de seguridad y la Protección de respuesta,
luego haga clic en Return para regresar a la página de configuración de VPN y
haga clic en OK
7. Configure el enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en Apply:
IP Address/netmask: 0.0.0.0
Gateway (seleccione)
Gateway IP Address: 1.1.1.2
CLI (concentrador)
set interface ethernet2/1 zone Untrust
set interface ethernet2/2 zone Trust
set interface tunnel.1 zone Trust
WebUI (Red_radial1)
1. Interfaces
Network > Interfaces > Edit (para ethernet0/0): Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > Edit (para bgroup0): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet2/2): Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet2/2), Seleccione Bind Port, ingrese
lo siguiente, luego haga clic en Apply:
Network > Interfaces > New (Tunnel IF): Introduzca los siguientes datos y
haga clic en Apply:
VPN > AutoKey > New: Introduzca los siguientes datos y haga clic en OK:
IP Address/netmask: 0.0.0.0
Gateway (seleccione)
Gateway IP Address: 2.2.2.2
CLI (Red_radial1)
set interface ethernet0/0 zone Untrust
set interface bgroup0 zone Trust
set interface bgroup0 port ethernet0/2
set interface tunnel.1 zone Trust
WebUI (Red_radial2)
1. Interfaces
Network > Interfaces > Edit (para ethernet0/0): Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > Edit (para bgroup0): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet2/2): Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet2/2), seleccione Bind Port, ingrese
lo siguiente, luego haga clic en Apply:
Network > Interfaces > New (Tunnel IF): Introduzca los siguientes datos y
haga clic en Apply:
VPN > AutoKey > New: Introduzca los siguientes datos y haga clic en OK:
5. Configure el vrouter
Network > Routing > Virtual Router > (para el trust-vr) Edit: Introduzca los
siguientes datos y haga clic en Apply:
IP Address/netmask: 0.0.0.0
Gateway (seleccione)
Gateway IP Address: 3.3.3.3
CLI (Red_radial2)
set interface ethernet0/0 zone Untrust
set interface bgroup0 zone Trust
set interface bgroup0 port ethernet0/2
set interface tunnel.1 zone Trust
Índice IX-I
Manual de referencia de ScreenOS: Conceptos y ejemplos
IX-II Índice
Índice
Índice IX-III
Manual de referencia de ScreenOS: Conceptos y ejemplos
IX-IV Índice
Conceptos y ejemplos
Manual de referencia de ScreenOS
Volumen 6:
Voz sobre el protocolo de Internet (VoIP)
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen vii
Convenciones del documento ........................................................................ vii
Convenciones de la interfaz de usuario web ........................................... viii
Convenciones de interfaz de línea de comandos .................................... viii
Convenciones de nomenclatura y conjuntos de caracteres ....................... ix
Convenciones para las ilustraciones .......................................................... x
Asistencia y documentación técnica................................................................ xi
CONTENIDO iii
Concepts & Examples ScreenOS Reference Guide
Cuerpo SIP............................................................................................... 29
Supuesto de NAT con el protocolo SIP ..................................................... 30
Ejemplos ........................................................................................................ 31
Soporte de llamadas SIP entrantes utilizando el registrador SIP............... 32
Ejemplo: Llamada entrante (DIP de interfaz)..................................... 33
Ejemplo: Llamada entrante (conjunto de DIP) ................................... 36
Ejemplo: Llamada entrante con MIP ................................................. 38
Ejemplo: Proxy en la zona privada....................................................40
Ejemplo: Proxy en la zona pública ....................................................43
Ejemplo: Zona triple, proxy en DMZ ................................................. 45
Ejemplo: Untrust intrazonal .............................................................. 49
Ejemplo: Trust intrazonal .................................................................. 52
Ejemplo: VPN de malla completa para SIP ........................................ 55
Administración del ancho de banda para servicios de VoIP ..................... 65
iv CONTENIDO
CONTENIDO
ÍNDICE .......................................................................................................................IX-I
CONTENIDO v
Concepts & Examples ScreenOS Reference Guide
vi CONTENIDO
Acerca de este volumen
El Volumen 6: Voz sobre el protocolo de Internet (VoIP) describe las puertas de enlace
de la capa de aplicación (ALG) de VoIPs admitidas e incluye los siguientes capítulos:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Para abrir la ayuda en línea para los ajustes de configuración, haga clic en el signo
de interrogación (?) en la parte superior izquierda de la pantalla.
En ejemplos:
NOTA: Para introducir palabras clave, basta con introducir los primeros caracteres para
identificar la palabra de forma inequívoca. Al escribir set adm u whee j12fmt54
se ingresará el comando set admin user wheezer j12fmt54. Sin embargo, todos
los comandos documentados aquí se encuentran presentes en su totalidad.
Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá
estar entre comillas dobles; por ejemplo:
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Interfaz de túnel
Servidor
Túnel VPN
Enrutador
Dispositivos de seguridad
Conmutador Juniper Networks
Concentrador
“Ejemplos” en la página 2
Vista general
La puerta de enlace en la capa de aplicación (ALG) con protocolo H.323 permite
asegurar la comunicación de voz por IP (“Voice-over-IP” o VoIP) entre hosts
terminales, como teléfonos IP y dispositivos de multimedia. En estos sistemas de
telefonía, los equipos selectores (“gatekeeper”) gestionan el registro y la admisión
de llamadas, así como el estado de las llamadas “VoIP”. Los equipos selectores
pueden residir en dos zonas diferentes o en la misma zona.
NOTA: En las ilustraciones de este capítulo se utilizan teléfonos IP con fines ilustrativos,
aunque pueden configurarse otros hosts que utilicen el protocolo VoIP,
como dispositivos multimedia de NetMeeting.
Vista general 1
Manual de referencia de ScreenOS: Conceptos y ejemplos
Ejemplos
Esta sección contiene los siguientes supuestos de configuraciones:
Equipo Internet
selector
Teléfonos IP Teléfono IP
de punto final de punto final
2.2.2.5
WebUI
1. Dirección
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), IP_Phone
Service: H.323
Action: Permit
2 Ejemplos
Capítulo 1: Puerta de enlace en la capa de aplicación H.323
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone
Destination Address:
Address Book Entry: (seleccione), Any
Service: H.323
Action: Permit
CLI
1. Dirección
set address untrust IP_Phone 2.2.2.5/32
2. Directivas
set policy from trust to untrust any IP_Phone h.323 permit
set policy from untrust to trust IP_Phone any h.323 permit
save
IP_Phone
IP_Phones 2.2.2.5/32
WebUI
1. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Ejemplos 3
Manual de referencia de ScreenOS: Conceptos y ejemplos
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), IP_Phone
Service: H.323
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone
Destination Address:
Address Book Entry: (seleccione), Any
Service: H.323
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Gatekeeper
Service: H.323
Action: Permit
CLI
1. Direcciones
set address untrust IP_Phone 2.2.2.5/32
set address untrust gatekeeper 2.2.2.10/32
2. Directivas
set policy from trust to untrust any IP_Phone h.323 permit
set policy from trust to untrust any gatekeeper h.323 permit
set policy from untrust to trust IP_Phone any h.323 permit
set policy from untrust to trust gatekeeper any h.323 permit
save
4 Ejemplos
Capítulo 1: Puerta de enlace en la capa de aplicación H.323
En este ejemplo, los dispositivos de la zona Trust son el host de punto final
(10.1.1.5) y el equipo selector (10.1.1.25). IP_Phone2 (2.2.2.5) está en la zona
Untrust. Configurará el dispositivo de seguridad para permitir tráfico entre el host
de punto final “IP_Phone1” y el equipo selector en la zona Trust y el host
“IP_Phone2” de punto final en la zona Untrust. Las dos zonas de seguridad Trust y
Untrust se encuentran en el dominio de enrutamiento trust-vr.
Equipo Internet
selector
10.1.1.25
IP_Phone1 MIP 1.1.1.25 -> 10.1.1.25 Puerta de enlace IP_Phone2
10.1.1.5 MIP 1.1.1.5 -> 10.1.1.5 1.1.1.250 2.2.2.5
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Ejemplos 5
Manual de referencia de ScreenOS: Conceptos y ejemplos
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone1
Destination Address:
Address Book Entry: (seleccione), IP_Phone2
Service: H.323
Action: Permit
6 Ejemplos
Capítulo 1: Puerta de enlace en la capa de aplicación H.323
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Gatekeeper
Destination Address:
Address Book Entry: (seleccione), IP_Phone2
Service: H.323
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone2
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.5)
Service: H.323
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone2
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.25)
Service: H.323
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust IP_Phone1 10.1.1.5/32
set address trust gatekeeper 10.1.1.25/32
set address untrust IP_Phone2 2.2.2.5/32
3. Direcciones IP asignadas
set interface ethernet3 mip 1.1.1.5 host 10.1.1.5
set interface ethernet3 mip 1.1.1.25 host 10.1.1.25
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
5. Directivas
set policy from trust to untrust IP_Phone1 IP_Phone2 h.323 permit
set policy from trust to untrust gatekeeper IP_Phone2 h.323 permit
set policy from untrust to trust IP_Phone2 mip(1.1.1.5) h.323 permit
set policy from untrust to trust IP_Phone2 mip (1.1.1.25) h.323 permit
save
Ejemplos 7
Manual de referencia de ScreenOS: Conceptos y ejemplos
Internet
LAN
Conjunto de DIP con ID 5
1.1.1.12 ~ 1.1.1.150
El nombre del conjunto de DIP puede ser DIP(núm_id) para un DIP definido por el
usuario o DIP (interface) cuando el conjunto de DIP utilice la misma dirección que
una dirección IP de interfaz. Puede utilizar tales entradas de direcciones como
direcciones de destino en directivas, junto con servicios H.323, SIP u otros
protocolos VoIP (voz sobre IP) para admitir llamadas entrantes.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
8 Ejemplos
Capítulo 1: Puerta de enlace en la capa de aplicación H.323
ID: 5
IP Address Range: (seleccione), 1.1.1.12 ~ 1.1.1.150
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
Incoming NAT: (seleccione)
3. Direcciones
Policy > Policy Elements > Addresses > List > New (for Trust): Introduzca los
siguientes datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New (for Untrust): Introduzca
los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone1
Destination Address:
Address Book Entry: (seleccione), Any
Service: H.323
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone2
Destination Address:
Address Book Entry: (seleccione), DIP(5)
Service: H.323
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. DIP con NAT entrante
set interface ethernet3 dip 5 1.1.1.12 1.1.1.150 incoming
Ejemplos 9
Manual de referencia de ScreenOS: Conceptos y ejemplos
3. Direcciones
set address trust IP_Phones1 10.1.1.5/24
set address untrust IP_Phone2 2.2.2.5/32
4. Directivas
set policy from trust to untrust IP_Phones1 any h.323 nat src dip 5 permit
set policy from untrust to trust IP_Phone2 dip(5) h.323 permit
save
LAN Internet
IP_Phone1 IP_Phone2
MIP 1.1.1.5 -> 10.1.1.5 2.2.2.5
10.1.1.5
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
10 Ejemplos
Capítulo 1: Puerta de enlace en la capa de aplicación H.323
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone1
Destination Address:
Address Book Entry: (seleccione), IP_Phone2
Service: H.323
Action: Permit
Ejemplos 11
Manual de referencia de ScreenOS: Conceptos y ejemplos
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone1
Destination Address:
Address Book Entry: (seleccione), Gatekeeper
Service: H.323
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone2
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.5)
Service: H.323
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Gatekeeper
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.5)
Service: H.323
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust IP_Phone1 10.1.1.5/32
set address untrust gatekeeper 2.2.2.25/32
set address untrust IP_Phone2 2.2.2.5/32
3. Direcciones IP asignadas
set interface ethernet3 mip 1.1.1.5 host 10.1.1.5
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
5. Directivas
set policy from trust to untrust IP_Phone1 IP_Phone2 h.323 permit
set policy from trust to untrust IP_Phone1 gatekeeper h.323 permit
set policy from untrust to trust IP_Phone2 mip(1.1.1.5) h.323 permit
set policy from untrust to trust gatekeeper mip(1.1.1.5) h.323 permit
save
12 Ejemplos
Capítulo 2
Puerta de enlace de la capa de
aplicación del protocolo de inicio de
sesión
“Ejemplos” en la página 31
Vista general
El protocolo de inicio de sesión (SIP) es un protocolo que sigue la norma del equipo
de ingeniería para el desarrollo de Internet (IETF) en el que se define cómo iniciar,
modificar y finalizar sesiones multimedia a través de Internet. Estas sesiones
pueden ser de conferencias, telefonía o transferencias de datos multimedia, con
prestaciones como la mensajería inmediata y la movilidad de aplicaciones en
entornos de red.
Vista general 13
Manual de referencia de ScreenOS: Conceptos y ejemplos
INVITE: Un usuario envía una petición INVITE para invitar a otro usuario a
participar en una sesión. El cuerpo de una petición INVITE puede contener la
descripción de la sesión. En el modo NAT, las direcciones IP en los campos de
encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se
modifican según consta en la Tabla 2 en la página 28.
ACK: El usuario que generó la petición INVITE envía una petición ACK para
confirmar la recepción de la respuesta final a la petición INVITE. Si la petición
INVITE original no contenía la descripción de la sesión, entonces la petición
ACK debe incluirla. En el modo NAT, las direcciones IP en los campos de
encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se
modifican según consta en la Tabla 2 en la página 28.
OPTIONS: Utilizado por el agente del usuario (UA) para obtener información
sobre las capacidades del proxy del protocolo SIP. Un servidor responde con
información sobre los métodos, protocolos de descripción de sesiones y
codificación de mensajes que admite. En el modo NAT, cuando la petición
OPTIONS se envía desde un NAT fuera del UA a un NAT dentro del proxy, la ALG
del protocolo SIP traduce la dirección en Request-URI y la dirección IP del
campo To: a la dirección IP correspondiente al cliente interno. Cuando el UA se
encuentra dentro del NAT y el proxy fuera del NAT, la ALG con SIP traduce los
campos From:, Via: y Call-ID: según se muestra en la Tabla 2 en la página 28.
BYE: Un usuario envía una petición BYE para abandonar una sesión. Una
petición BYE de cualquier usuario cierra automáticamente la sesión. En el
modo NAT, las direcciones IP en los campos de encabezado Via:, From:, To:,
Call-ID:, Contact:, Route:, y Record-Route: se modifican según consta en la
Tabla 2 en la página 28.
14 Vista general
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
CANCEL: Un usuario puede enviar una petición CANCEL para cancelar una
petición INVITE pendiente. Una petición CANCEL no tiene ningún efecto si el
servidor SIP que procesó la petición INVITE envió una respuesta final a dicho
INVITE antes de recibir la petición CANCEL. En el modo NAT, las direcciones IP
en los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:,
y Record-Route: se modifican según consta en la Tabla 2 en la página 28.
Vista general 15
Manual de referencia de ScreenOS: Conceptos y ejemplos
Por ejemplo, si el usuario A de una red privada establece una referencia para el
usuario B, que se encuentra en una red pública, hacia el usuario C, que también
pertenece a la red privada, la ALG con SIP asigna una nueva dirección IP y
número de puerto al usuario C para que el usuario B pueda ponerse en contacto
con él. Sin embargo, si el usuario C está registrado con un registrador, su
asignación de puerto se almacena en la tabla NAT de ALG y se reutiliza para
realizar la traducción.
Update: Se utiliza para abrir un ojo de aguja para información SDP nueva o
actualizada. Los campos de encabezado Via:, From:, To:, Call-ID:, Contact:,
Route:, y Record-Route: se modifican según consta en la Tabla 2 en la
página 28.
1Códigos de respuesta xx, 202, 2xx, 3xx, 4xx, 5xx, 6xx: Utilizados para indicar
el estado de una transacción. Los campos de encabezado se modifican según
consta en la Tabla 2 en la página 28.
Error del servidor (500 a 599): el servidor no pudo cumplir una petición
aparentemente válida.
16 Vista general
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Vista general 17
Manual de referencia de ScreenOS: Conceptos y ejemplos
NOTA: Por “ojo de aguja” se entiende la apertura limitada de un puerto para permitir
tráfico exclusivo.
La ALG con SIP supervisa las transacciones SIP y crea y administra dinámicamente
los “ojos de aguja” basándose en la información que extrae de esas transacciones.
ALG con SIP de Juniper Networks admite todos los métodos y respuestas del
protocolo SIP (consulte “Métodos de petición del protocolo SIP” en la página 14 y
“Clases de respuestas SIP” en la página 16). Puede permitir a las transacciones SIP
atravesar el cortafuegos de Juniper Networks creando una directiva estática que
permita el servicio SIP. Esta directiva habilita el dispositivo de seguridad para que
intercepte tráfico SIP y ejecute una de las siguientes acciones: permitir o denegar el
tráfico o habilitar la ALG con SIP para abrir “ojos de aguja” por los que entregar la
secuencia multimedia. La ALG con SIP sólo necesita abrir “ojos de aguja” para las
peticiones y respuestas SIP que contienen información multimedia (SDP). En
cuanto a los mensajes SIP que no contienen SDP, el dispositivo de seguridad
simplemente los deja pasar.
La ALG con SIP intercepta los mensajes SIP que contienen SDP y, utilizando un
analizador sintáctico, extrae la información que requiere para crear ojos de aguja.
La ALG con SIP examina la porción SDP del paquete y un analizador sintáctico
extrae datos tales como direcciones IP y números de puerto, que la ALG con SIP
registra en una tabla de ojos de aguja. La ALG con SIP utiliza las direcciones IP y los
números de puerto registrados en la tabla de ojos de aguja para abrir nuevos ojos de
aguja que permitan a las secuencias multimedia atravesar el dispositivo de
seguridad.
NOTA: En la descripción de la sesión SDP, la información a nivel del medio comienza con
el campo “m=”.
18 Vista general
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
m=<medio><puerto><transporte><lista formatos>
Vista general 19
Manual de referencia de ScreenOS: Conceptos y ejemplos
La lista siguiente muestra la información que la ALG con SIP necesita para crear un
ojo de aguja. Esta información procede de la descripción de la sesión SDP y de los
parámetros del dispositivo de seguridad:
Protocolo: UDP.
IP de origen: Desconocido.
Duración: Este valor indica el tiempo (en segundos) que permanece abierto un
ojo de aguja para permitir el paso de un paquete. Un paquete debe pasar a
través del ojo de aguja antes de que caduque este tiempo. Cuando caduca, la
ALG con SIP elimina el ojo de aguja.
20 Vista general
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Cliente A 1.1.1.1 Zona Trust Dispositivo de seguridad Proxy SIP Zona Untrust Cliente B 2.2.2.2
NOTA: La ALG con SIP no crea ojos de aguja para el tráfico RTP y RTCP cuando la
dirección IP de destino es 0.0.0.0 (ya que indica que la sesión está retenida). Para
poner una sesión en estado retenido (“on hold”), por ejemplo, durante una
comunicación telefónica, un usuario (Usuario A) envía al otro usuario (Usuario B)
un mensaje SIP en el cual la dirección IP de destino es 0.0.0.0. De este modo se
indica al Usuario B que no envíe ningún medio hasta nuevo aviso. Si aún así el
Usuario B envía algún medio, el dispositivo de seguridad descarta los paquetes.
Una llamada puede tener uno o varios canales de voz. Cada canal de voz tiene dos
sesiones (o dos secuencias de medios), una para RTP y otra para RTCP. En cuanto a
la gestión de las sesiones, el dispositivo de seguridad trata las sesiones de cada
canal de voz como un grupo. Los ajustes tales como el tiempo de espera por
inactividad se aplican a nivel de grupo, no a cada sesión.
Vista general 21
Manual de referencia de ScreenOS: Conceptos y ejemplos
Existen dos tipos de tiempo de espera por inactividad que determinan la duración
de un grupo:
WebUI
Para proteger servidores proxy SIP contra inundaciones causadas por peticiones
INVITE, debe utilizar el CLI.
CLI
set alg sip app-screen protect deny dst-ip 1.1.1.3/24
set alg sip protect deny timeout 5
save
22 Vista general
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
WebUI
CLI
set alg sip signaling-inactivity-timeout 30000
set alg sip media-inactivity-timeout 90
save
WebUI
Security > Screening > Screen: Introduzca los siguientes datos y haga clic
en Apply:
Zone: Untrust
UDP Flood Protection (seleccione)
CLI
set zone untrust screen udp-flood dst-ip 1.1.1.5 threshold 80000
save
Vista general 23
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga clic
en OK:
CLI
set zone untrust screen limit-session source-ip-based 20
save
La utilización conjunta de NAT con el servicio SIP es más complicada, porque los
mensajes SIP contienen direcciones IP tanto en los encabezados como en el cuerpo
SIP. Los encabezados SIP contienen información sobre el llamante y el receptor, y el
dispositivo de seguridad traduce esta información para ocultarla a la red exterior. El
cuerpo del protocolo SIP contiene la información del protocolo de descripción de
sesiones (“Session Description Protocol” o SDP), que contiene las direcciones IP y
números de puerto para la transmisión de los medios. El dispositivo de seguridad
traduce la información del SDP para asignar los recursos necesarios para enviar y
recibir los medios.
Cuando se envía un mensaje INVITE a través del cortafuegos, la ALG con SIP recoge
información del encabezado del mensaje en una tabla de llamadas, que utiliza para
reenviar los mensajes subsiguientes al punto de destino correcto. Cuando llega un
mensaje nuevo, por ejemplo un ACK o un 200 OK, la ALG compara los campos
From:, To: y Call-ID: con la tabla de llamadas para identificar el contexto de llamada
del mensaje. Si llega un nuevo mensaje INVITE que coincida con la llamada
existente, ALG lo procesa como REINVITE.
Cuando llega un mensaje con información del SDP, ALG asigna puertos y crea una
asignación NAT entre ellos y los puertos en el SDP. Dado que el SDP requiere
puertos consecutivos para los canales del protocolo en tiempo real (“Real Time
Protocol” o RTP) y del protocolo de control en tiempo real (“Real Time Control
Protocol” o RTCP), ALG proporciona puertos pares-impares consecutivos. Si no
encuentra ningún par de puertos, descarta el mensaje SIP.
Llamadas salientes
Cuando una llamada SIP se inicia mediante un mensaje de petición SIP desde la red
interna hacia la red externa, NAT reemplaza las direcciones IP y los números de
puerto en el SDP y crea un enlace para asignar las direcciones IP y los números de
puerto al cortafuegos de Juniper Networks. los campos de encabezado de SIP Via:,
Contact:, Route:, y Record-Route:, si están presentes, también se vinculan a la
dirección IP del cortafuegos. ALG almacena estas asignaciones para utilizarlas en
retransmisiones y para los mensajes de respuesta SIP.
A continuación, la ALG con SIP abre ojos de aguja en el cortafuegos para permitir el
paso de medios a través del dispositivo de seguridad por los puertos
dinámicamente asignados, negociados basándose en la información del SDP y de
los campos de encabezado Via:, Contact: y Record- -Route: Los ojos de aguja
también permiten que los paquetes entrantes alcancen los campos Contact:, Via:
y Record-Route:, direcciones IP y puertos. Al procesar el tráfico de retorno, la ALG
vuelve a insertar los campos SIP originales Contact:, Via:, Route: y Record-Route: en
los paquetes.
Llamadas entrantes
Las llamadas entrantes se inician desde la red pública hacia direcciones IP públicas
asignadas (MIP) o hacia direcciones IP de interfaces del dispositivo de seguridad.
Las MIP son direcciones IP configuradas estáticamente que apuntan a hosts
internos; las direcciones IP de interfaz son registradas dinámicamente por la ALG
mientras supervisa los mensajes REGISTER enviados por hosts internos al
registrador SIP. (Para obtener más información, consulte “Ejemplos” en la
página 31). Cuando el dispositivo de seguridad recibe un paquete SIP entrante,
genera una sesión y reenvía la carga de datos del paquete a la ALG con SIP.
Cuando llega una respuesta OK 200, el proxy SIP examina la información SDP y lee
las direcciones IP y números de puerto de cada sesión de medios. La ALG con SIP
del dispositivo de seguridad aplica NAT a las direcciones y números de puerto, abre
ojos de aguja para el tráfico saliente y restablece el tiempo de espera para las
puertas en la dirección de entrada.
Cuando llega la señal ACK de 200 OK, también atraviesa la ALG con SIP. Si el
mensaje contiene información del SDP, la ALG con SIP garantiza que las direcciones
IP y los números de puerto no sean cambiados con respecto al anterior INVITE; si lo
son, la ALG elimina los ojos de aguja antiguos y crea otros nuevos para permitir el
paso de los medios. La ALG supervisa también los campos de SIP Via:, Contact:,
y Record-Route: y abre nuevos ojos de aguja si detecta que estos campos han
cambiado.
Llamadas reenviadas
Una llamada es reenviada cuando, por ejemplo, el usuario A externo a la red llama
al usuario B dentro de la red y éste reenvía la llamada al usuario C fuera de la red.
La ALG con SIP procesa la señal INVITE del usuario A como llamada entrante
normal. Pero cuando la ALG examina la llamada reenviada desde B a C, que se
encuentra fuera de la red, y detecta que B y C se pueden alcanzar a través de la
misma interfaz, no abre ojos de aguja en el cortafuegos, ya que los medios podrán
fluir directamente entre el usuario A y el usuario C.
Terminación de la llamada
El mensaje BYE se utiliza para terminar una llamada. Cuando el dispositivo de
seguridad recibe un mensaje BYE, traduce los campos del encabezado igual que
hace con cualquier otro mensaje, pero debido a que los mensajes BYE debe ser
confirmados por el receptor con 200 OK, la ALG retrasa el desmantelamiento de la
llamada durante cinco segundos para dar tiempo a que se transmita el 200 OK.
Como medida preventiva, la ALG con SIP utiliza valores de tiempo de espera
estrictos para definir el tiempo máximo que una llamada puede existir. Esto
garantiza que el dispositivo de seguridad esté protegido en los siguientes casos:
Usuarios malévolos nunca envían un BYE para intentar atacar una ALG con SIP.
Cancelación de la llamada
Cualquier interlocutor puede cancelar una llamada enviando un mensaje CANCEL.
En el momento de recibir un mensaje CANCEL, la ALG con SIP cierra los ojos de
aguja (que haya abiertos) en todo el cortafuegos y libera los enlaces de direcciones.
Antes de liberar los recursos, la ALG retrasa el envejecimiento del canal de control
durante unos cinco segundos para dar tiempo a que pase la señal 200 OK final. La
llamada se termina cuando expira el tiempo de espera de cinco segundos, tanto si
llega una respuesta 487 como si llega una 200.
Bifurcación
La bifurcación permite a un proxy SIP enviar un mismo mensaje INVITE a múltiples
destinos simultáneamente. Cuando llegan los diferentes mensajes de respuesta
200 OK para esa única llamada, la ALG con SIP analiza pero actualiza la
información de la llamada con el mensaje primer mensaje 200 OK que recibe.
Mensajes SIP
El formato de un mensaje SIP consta de una sección de encabezado SIP y del
cuerpo SIP. En mensajes de petición, la primera línea de la sección de encabezado
es la línea de petición, que incluye el tipo de método, Request-URI y la versión del
protocolo. En mensajes de respuesta, la primera línea es la línea de estado, que
contiene un código de estado. Los encabezados SIP contienen las direcciones IP y
números de puerto utilizados para la señalización. El cuerpo SIP, separado de la
sección de encabezado por una línea en blanco, está reservado para la información
de descripción de la sesión, que es opcional. Actualmente, los dispositivos de
seguridad Juniper Networks sólo admiten el protocolo SDP. El cuerpo SIP contiene
las direcciones IP y los números de puerto utilizados para transportar los medios.
Encabezados SIP
En el siguiente ejemplo de mensaje de petición SIP, NAT reemplaza las direcciones
IP en los campos del encabezado, mostrados en negrita, para ocultarlos a la red
exterior.
Petición entrante
Respuesta saliente
Petición saliente
Respuesta entrante
La Tabla 2 muestra cómo se aplica NAT en cada uno de estos casos. Observe que,
para varios de los campos de encabezado, la ALG necesita saber algo más que la
mera procedencia interior o exterior de los mensajes. También necesita saber qué
cliente inició la llamada y si el mensaje es una petición o una respuesta.
Cuerpo SIP
La información SDP en el cuerpo SIP contiene direcciones IP que ALG utiliza para
crear canales para la secuencia de medios. La traducción de la sección SDP también
asigna recursos, es decir, números de puerto para enviar y recibir los medios.
El siguiente extracto de una sección SDP muestra los campos que se traducen para
la asignación de recursos.
Los mensajes SIP pueden contener más de una secuencia de medios. El concepto es
similar a adjuntar varios archivos a un mensaje de correo electrónico. Por ejemplo,
un mensaje INVITE enviado desde un cliente SIP a un servidor SIP puede tener los
siguientes campos:
Los dispositivos de seguridad Juniper Networks admiten hasta seis canales SDP
negociados para cada dirección, hasta un total de 12 canales por llamada. Para
obtener más información, consulte “Sesiones con protocolo de descripción de
sesiones” en la página 18.
La sección SDP del mensaje INVITE indica dónde el llamante está dispuesto a
recibir medios. Observe que el ojo de aguja de los medios contiene dos números de
puertos, 52002 y 52003, para RTCP y RTP. El ojo de aguja Via/Contact proporciona
el número de puerto 5060 para la señalización SIP.
Dispositivo de seguridad
5.5.5.1 Cualquier IP
6.6.6.1
52002/52003 Cualquier
puerto
45002/45003
5.5.5.1
6.6.6.1 Cualquier IP
1234 Cualquier puerto
5060
Cualquier IP 6.6.6.2
Cualquier 62002/62003
puerto
Cualquier IP
Cualquier 6.6.6.2
puerto 5060
Ejemplos
Esta sección contiene los siguientes ejemplos de supuestos:
Ejemplos 31
Manual de referencia de ScreenOS: Conceptos y ejemplos
NOTA: El soporte de llamadas entrantes usando DIP de interfaz o un rango DIP sólo se
admite para los servicios SIP y H.323.
32 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Dispositivo de seguridad
200 OK
From: ph1@6.6.6.1
200 OK To: ph1@6.6.6.1
From: ph1@5.5.5.1
Actualizar el
valor del tiempo CSeq 1 INVITE
To: ph1@5.5.5.1 Contact <sip: 6.6.6.1:5555>
CSeq 1 INVITE de espera
Expires: 3600
Contact <sip: 5.5.5.1:1234>
Expires: 3600
Ejemplos 33
Manual de referencia de ScreenOS: Conceptos y ejemplos
Trust Untrust
Dispositivo de seguridad
LAN Internet
DIP de interfaz en
ethernet 3
phone2 Servidor proxy
phone1 1.1.1.3
10.1.1.3 1.1.1.4
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
34 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
4. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address
Address Book Entry: (seleccione), phone1
Destination Address
Address Book Entry: (seleccione), any
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address
Address Book Entry: (seleccione), Any
Destination Address
Address Book Entry: (seleccione), DIP(ethernet3)
Service: SIP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24
set address untrust phone2 1.1.1.4/24
set address untrust proxy 1.1.1.3/24
3. DIP con NAT entrante
set interface ethernet3 dip interface-ip incoming
set dip sticky
Ejemplos 35
Manual de referencia de ScreenOS: Conceptos y ejemplos
4. Directivas
set policy from trust to untrust phone1 any sip nat src permit
set policy from untrust to trust any dip(ethernet3) sip permit
save
Trust Untrust
Dispositivo de seguridad
LAN Internet
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
36 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
ID: 5
IP Address Range: (seleccione), 1.1.1.20 ~ 1.1.1.40
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
Incoming NAT: (seleccione)
4. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address
Address Book Entry: (seleccione), phone1
Destination Address
Address Book Entry: (seleccione), Any
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): 5 (1.1.1.20-1.1.1.40)/port-xlate
Ejemplos 37
Manual de referencia de ScreenOS: Conceptos y ejemplos
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address
Address Book Entry: (seleccione), Any
Destination Address
Address Book Entry: (seleccione), DIP(5)
Service: SIP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24
set address untrust phone2 1.1.1.4/24
set address untrust proxy 1.1.1.3/24
3. Conjunto de DIP con NAT entrante
set interface ethernet3 dip 5 1.1.1.20 1.1.1.40 incoming
set dip sticky
4. Directivas
set policy from trust to untrust phone1 any sip nat src dip 5 permit
set policy from untrust to trust any dip(5) sip permit
save
38 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
ethernet1 ethernet3
10.1.1.1/24 1.1.1.1/24
Trust Untrust
Dispositivo de seguridad
LAN Internet
Servidor proxy
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
IP Address/Netmask: 1.1.1.1/24
Interface Mode: Route
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Ejemplos 39
Manual de referencia de ScreenOS: Conceptos y ejemplos
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), any
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.3)
Service: SIP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24
set address untrust phone2 1.1.1.4/24
set address untrust proxy 1.1.1.3/24
3. MIP
set interface ethernet3 mip 1.1.1.3 host 10.1.1.3
4. Directiva
set policy from untrust to trust any mip(1.1.1.3) sip permit
save
40 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Trust Untrust
Dispositivo de seguridad
LAN Internet
Dispositivo virtual
MIP en ethernet3
Servidor proxy phone1 1.1.1.2 -> 10.1.1.4 phone2
10.1.1.4 10.1.1.3 1.1.1.4
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
IP Address/Netmask: 1.1.1.1/24
Interface Mode: Route
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Ejemplos 41
Manual de referencia de ScreenOS: Conceptos y ejemplos
3. MIP
Network > Interfaces > Edit (para loopback.3) > MIP > New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), any
Destination Address:
Address Book Entry: (seleccione), phone2
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), phone2
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.2)
Service: SIP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24
set address untrust phone2 1.1.1.4/24
set address trust proxy 10.1.1.4/24
3. MIP
set interface ethernet3 mip 1.1.1.2 host 10.1.1.4
4. Directivas
set policy from trust to untrust any phone2 sip nat src permit
set policy from untrust to trust phone2 mip(1.1.1.2) sip permit
save
42 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Trust Untrust
Dispositivo de seguridad
LAN Internet
DIP de interfaz
en ethernet3
phone1 phone2 Servidor proxy
10.1.1.3 1.1.1.4 1.1.1.3
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
IP Address/Netmask: 1.1.1.1/24
Interface Mode: Route
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Ejemplos 43
Manual de referencia de ScreenOS: Conceptos y ejemplos
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
4. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione) phone1
Destination Address:
Address Book Entry: (seleccione) Any
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), DIP(ethernet3)
Service: SIP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
44 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
2. Direcciones
set address trust phone1 10.1.1.3/24
set address untrust phone2 1.1.1.4/24
set address untrust proxy 1.1.1.3/24
3. DIP de interfaz
set interface ethernet3 dip interface-ip incoming
4. Directivas
set policy from trust to untrust phone1 any sip nat src permit
set policy from untrust to trust any dip(ethernet3) sip permit
save
Untrust
Internet
phone2
1.1.1.4
ethernet3
1.1.1.1/24
ethernet2
2.2.2.2/24
DMZ
Dispositivo
de seguridad Servidor proxy
2.2.2.4
ethernet1
10.1.1.1/24
Dispositivo virtual
MIP en ethernet2
2.2.2.3-> 10.1.1.3
LAN
phone1
10.1.1.3
Trust
Ejemplos 45
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
46 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
4. Directivas
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), phone1
Destination Address:
Address Book Entry: (seleccione), proxy
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente, haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: Enable
(DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), proxy
Destination Address:
Address Book Entry: (seleccione), phone2
Service: SIP
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), phone2
Destination Address:
Address Book Entry: (seleccione), phone1
Service: SIP
Action: Permit
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), phone2
Destination Address:
Address Book Entry: (seleccione), proxy
Service: SIP
Action: Permit
Policies > (From: DMZ, To: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), proxy
Destination Address:
Address Book Entry: (seleccione), MIP(2.2.2.3)
Service: SIP
Action: Permit
Ejemplos 47
Manual de referencia de ScreenOS: Conceptos y ejemplos
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), phone1
Destination Address:
Address Book Entry: (seleccione), phone2
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente, haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: Enable
(DIP on): None (utilizar la IP de la interfaz de salida)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
set interface ethernet2 zone dmz
set interface ethernet2 ip 2.2.2.2/24
set interface ethernet2 route
2. Direcciones
set address trust phone1 10.1.1.3/24
set address untrust phone2 1.1.1.4/24
set address dmz proxy 2.2.2.4
3. MIP
set interface2 mip 2.2.2.3 host 10.1.1.3
4. Directivas
set policy from trust to dmz phone1 proxy sip nat src permit
set policy from dmz to untrust proxy phone2 sip permit
set policy from untrust to trust phone2 phone1 sip permit
set policy from untrust to dmz phone2 proxy sip permit
set policy from dmz to trust proxy mip(2.2.2.3) sip permit
set policy from trust to untrust phone1 phone2 sip nat src permit
save
48 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Untrust
phone1 phone2
1.1.1.4 1.1.2.4
Internet
ethernet4 ethernet3
1.1.1.1./24 1.1.2.1/24
Loopback 1
1.1.4.1/24
MIP en Loopback.1
1.1.4.5 -> 10.1.1.5
ethernet1
10.1.1.1/24
LAN
proxy
10.1.1.5
Trust
Ejemplos 49
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.2.1/24
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
50 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), proxy
Destination Address:
Address Book Entry: (seleccione), Any
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: Enable
(DIP on): None (utilizar la IP de la interfaz de salida)
Ejemplos 51
Manual de referencia de ScreenOS: Conceptos y ejemplos
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.4.5)
Service: SIP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.2.1/24
set interface ethernet3 route
set interface ethernet4 zone untrust
set interface ethernet4 ip 1.1.1.1/24
set interface ethernet4 route
set interface loopback.1 zone untrust
set interface loopback.1 ip 1.1.4.1/24
set interface loopback.1 route
2. Direcciones
set address trust proxy 10.1.1.5/32
set address untrust phone1 1.1.1.4/32
set address untrust phone2 1.1.2.4/32
3. Grupo de bucle invertido
set interface ethernet3 loopback-group loopback.1
set interface ethernet4 loopback-group loopback.1
4. MIP
set interface loopback.1 mip 1.1.4.5 host 10.1.1.5
5. Bloqueo
unset zone untrust block
6. Directivas
set policy from trust to untrust proxy any sip nat src permit
set policy from untrust to trust any mip(1.1.4.5) sip permit
save
52 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Trust Untrust
Dispositivo de seguridad
Internet
LAN
DIP de interfaz
phone2 ethernet2 en ethernet3
10.1.2.2 10.1.2.1/24
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.2.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 3.3.3.3/24
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Ejemplos 53
Manual de referencia de ScreenOS: Conceptos y ejemplos
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), proxy
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: Enable
(DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address
Address Book Entry: (seleccione) proxy
Destination Address
Address Book Entry: (seleccione) Any
Service: SIP
Action: Permit
> Advanced: Introduzca los siguientes datos, luego haga clic en Return
para establecer las opciones avanzadas:
NAT:
Source Translation: (seleccione)
(DIP on): None (utilizar la IP de la interfaz de salida)
54 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet2 zone trust
set interface ethernet2 ip 10.1.2.1/24
set interface ethernet2 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 3.3.3.3/24
set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24
set address trust phone2 10.1.2.2/24
set address untrust proxy 3.3.3.4/24
3. DIP de interfaz
set interface ethernet3 dip interface-ip incoming
4. Directivas
set policy from trust to untrust any proxy sip nat src permit
set policy from untrust to trust proxy dip(ethernet3) sip permit
save
NOTA: Los dispositivos de seguridad utilizados en este ejemplo deben tener disponibles
por lo menos tres interfaces configurables independientemente.
Ejemplos 55
Manual de referencia de ScreenOS: Conceptos y ejemplos
Proxy
Nota: La zona Untrust de cada Oficina central 10.1.3.3
dispositivo no se muestra Zona Trust
Trust
eth2/8-10.1.3.1
túnel 1 túnel 2
6.6.6.6 Central 7.7.7.7
Untrust eth2/1: Untrust eth2/2
1.1.1.1 1.1.2.1
Sucursal primera interfaz tunnel.3 sin interfaz tunnel.3 sin Sucursal segunda
phone1 numerar numerar phone2
10.1.1.3 10.1.2.3
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Edit (para ethernet2/2): Introduzca los siguientes
datos y haga clic en Apply:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.2.1/24
56 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Network > Interfaces > Edit (para ethernet2/8): Introduzca los siguientes
datos y haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.3.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: route
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Ejemplos 57
Manual de referencia de ScreenOS: Conceptos y ejemplos
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en OK:
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
58 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
WebUI (Sucursal 1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 3.3.3.3/24
Ejemplos 59
Manual de referencia de ScreenOS: Conceptos y ejemplos
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 4.4.4.4/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
60 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en OK:
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
CLI (Sucursal 1)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 3.3.3.3/24
set interface ethernet4 zone untrust
set interface ethernet4 ip 4.4.4.4/24
set interface tunnel.2 zone untrust
set interface tunnel.2 ip unnumbered interface ethernet3
set interface tunnel.3 zone untrust
set interface tunnel.3 ip unnumbered interface ethernet4
2. Dirección
set address trust phone1 10.1.1.3/32
Ejemplos 61
Manual de referencia de ScreenOS: Conceptos y ejemplos
3. VPN
set ike gateway to-central address 1.1.1.1 main outgoing-interface ethernet3
preshare netscreen sec-level standard
set ike gateway to-ns50 address 5.5.5.5 main outgoing-interface ethernet4
preshare netscreen sec-level standard
set vpn vpncentral gateway to-central no-replay tunnel idletime 0 sec-level standard
set vpn vpncentral bind interface tunnel.1
set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletime 0 sec-level standard
set vpn vpn-ns50 bind interface tunnel.3
4. Rutas
set route 10.1.2.0/24 interface tunnel.3
set route 10.1.3.0/24 interface tunnel.1
5. Directivas
set policy from trust to untrust phone1 any sip permit
set policy from untrust to trust any phone1 sip permit
save
WebUI (Sucursal 2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.2.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 4.4.4.4/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
62 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
2. Dirección
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Ejemplos 63
Manual de referencia de ScreenOS: Conceptos y ejemplos
Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en OK:
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
CLI (Sucursal 2)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface ethernet4 zone untrust
set interface ethernet4 ip 4.4.4.4/24
set interface tunnel.2 zone untrust
set interface tunnel.2 ip unnumbered interface ethernet3
set interface tunnel.3 zone untrust
set interface tunnel.3 ip unnumbered interface ethernet4
2. Dirección
set address trust phone2 10.1.2.3/32
3. VPN
set ike gateway to-central address 1.1.2.1 Main outgoing-interface ethernet3
preshare netscreen sec-level standard
set ike gateway to-ns50 address 4.4.4.4Main outgoing-interface ethernet4
preshare netscreen sec-level standard
set vpn vpncentral gateway to-central no-replay tunnel idletime 0 sec-level standard
set vpn vpncentral id 4 bind interface tunnel.2
set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletime 0 sec-level standard
set vpn vpn-ns50 id 5 bind interface tunnel.3
4. Rutas
set route 10.1.3.0/24 interface tunnel.2
set route 10.1.1.0/24 interface tunnel.3
5. Directivas
set policy from trust to untrust phone2 any sip permit
set policy from untrust to trust any phone2 sip permit
save
64 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Ejemplos 65
Manual de referencia de ScreenOS: Conceptos y ejemplos
El lado izquierdo de la Figura 21 muestra la utilización del ancho de banda con esos
ajustes y una utilización elevada de tráfico de oficina y un nivel de utilización bajo
de VoIP atravesando la interfaz. Si el tráfico VoIP necesitase repentinamente más
ancho de banda, no podría conseguirla a menos que su prioridad fuese superior a la
de los servicios del tráfico de la oficina. El lado derecho de la Figura 21 muestra el
grado de utilización del ancho de banda en las mismas circunstancias que cuando
el tráfico de VoIP tiene prioridad superior y el tráfico de la oficina tiene una
prioridad inferior. Para obtener más información sobre niveles de configuración de
ancho de banda y de la prioridad, consulte “Asignación de tráfico” en la
página 2-195.
Ajustes de ancho de banda garantizado y máximo Añadiendo los ajustes de nivel de prioridad
VoIP
gbw 512 kbps Tráfico de
VoIP
VoIP
Ancho de banda mbw 1536 kbps mbw 1024 kbps Ancho de banda
total de 2 Mbps total de 2 Mbps
66 Ejemplos
Capítulo 3
Puerta de enlace en la capa de
aplicación de protocolo de control de la
puerta de medios
“Ejemplos” en la página 74
Vista general
El protocolo de control de la puerta de medios (MGCP) se admite en los dispositivos
de seguridad en modo de ruta, modo transparente y modo de traducción de
direcciones de red (NAT). MGCP es un protocolo de la capa de aplicación basado en
texto que se utiliza para establecer y controlar llamadas. MGCP se basa en una
arquitectura de control de llamadas maestro-esclavo en el que el controlador de la
puerta de medios, por medio del agente de llamada, mantiene inteligencia de
control de las llamadas, mientras que las puertas de medios siguen las instrucciones
del agente de llamadas.
Vista general 67
Manual de referencia de ScreenOS: Conceptos y ejemplos
Maneja ojos de aguja para tráfico de VoIP. Para mantener la red VoIP segura,
ALG identifica la información del puerto y dirección IP utilizada para medios o
señalización y crea de forma dinámica cualquier ojo de aguja que sea necesario
y lo cierra durante el establecimiento de la llamada.
Seguridad de MGCP
MGCP ALG incluye las siguientes características de seguridad:
Control de inundaciones de mensajes MGCP por puerta. Si hay una puerta que
no funciona bien o está pirateada, no se interrumpirá la red completa de VoIP.
Al combinarla con el control de inundación por cada puerta de enlace, el daño
se reduce a la puerta de enlace afectada.
Cambio y conmutación por error sin fisuras si las llamadas, incluidas las
llamadas en curso, se conmutan al cortafuegos que está en espera por si se
producen fallos del sistema.
Protocolo MGCP
El MGCP es un protocolo de la capa de aplicación basado en texto que se utiliza
para establecer y controlar llamadas. El protocolo se basa en una arquitectura de
control de llamadas maestro/esclavo: El controlador de la puerta de medios (agente
de llamada) mantiene la inteligencia de control de la llamada y las puertas de
medios siguen las instrucciones del agente de llamada.
68 Seguridad de MGCP
Capítulo 3: Puerta de enlace en la capa de aplicación de protocolo de control de la puerta de medios
Entidades en MGCP
Hay cuatro entidades básicas en MGCP:
“Conexión” en la página 69
“Llamada” en la página 69
Punto final
Una puerta de medios (MG) es una colección de puntos finales. Un punto final
puede ser una línea analógica, una troncal o cualquier otro punto de acceso. Un
punto final se denomina de la siguiente manera:
nombre-punto-final-local@nombre-dominio
group1/Trk8@mi_red.net
group2/Trk1/*@[192.168.10.8] (comodines)
Conexión
Las conexiones se crean en cada punto final por medio de una MG durante el
establecimiento de llamadas. Una llamada VoIP típica implica dos conexiones: Una
llamada compleja, por ejemplo una llamada de terceros o llamada de conferencia,
podría requerir más conexiones. El controlador de la puerta de medios (MGC)
puede instruir a las puertas de medios para crear, modificar, eliminar y auditar una
conexión.
Llamada
La identificación de la llamada representa la llamada. MGC crea dicha identificación
al establecer una nueva llamada. La identificación de la llamada es una cadena
hexadecimal con una longitud máxima de 32 caracteres. La identificación de la
llamada es única dentro de MGC. Dos o más conexiones pueden tener la misma
identificación de llamada, siempre que pertenezcan a la misma llamada.
Protocolo MGCP 69
Manual de referencia de ScreenOS: Conceptos y ejemplos
Agente de llamada
El protocolo MGCP admite uno o más agentes de llamada (también llamados
controladores de la puerta de medios) para mejorar la fiabilidad en la red VoIP.
A continuación se incluyen dos ejemplos de nombres de agentes de llamada:
AgenteLlamada@voipCA.mi_red.com
voipCA.mi_red.com
Comandos
El protocolo MGCP define nueve comandos para controlar los puntos finales y las
conexiones. Todos los comandos están compuestos de un encabezado del
comando, seguido opcionalmente por la información del protocolo de descripción
de sesión (SDP). Un encabezado de comando tiene los siguientes elementos:
La Tabla 3 enumera los comandos MGCP admitidos, con una descripción de cada
uno, la sintaxis del comando y ejemplos. Consulte RFC 2234 para obtener una
explicación completa de la sintaxis del comando.
70 Protocolo MGCP
Capítulo 3: Puerta de enlace en la capa de aplicación de protocolo de control de la puerta de medios
Verbo del
comando Descripción Sintaxis del comando Ejemplos
EPCF EndpointConfiguration: ReturnCode EPCF 2012 wxx/T2@mi_red.com MGCP 1.0
utilizado por un agente de [PackageList] B: e:mu
llamada para informar EndpointConfiguration
sobre una puerta de (EndpointId,
características de [BearerInformation])
codificación (a-law o
mu-law) que se espera
recibir en el lado de la
línea correspondiente al
punto final.
CRCX CreateConnection: ReturnCode, CRCX 1205 aaln/1@gw-25.att.net MGCP 1.0
utilizado por un agente de [ConnectionId,] C: A3C47F21456789F0
llamada para indicarle a la [SpecificEndPointId,] L: p:10, a:PCMU
puerta que cree una [LocalConnectionDescriptor,] M: sendrecv
conexión con un punto [SecondEndPointId,] X: 0123456789AD
final dentro de la puerta. [SecondConnectionId,][Pac R: L/hd
kageList] S: L/rg
CreateConnection (CallId, v=0
EndpointId, o=- 25678 753849 IN IP4 128.96.41.1
[NotifiedEntity,] s=-
[LocalConnectionOption,] c=IN IP4 128.96.41.1
Mode, t=0 0
[{RemoteConnectionDescriptor | m=audio 3456 RTP/AVP 0
SecondEndpointId},]
[encapsulated RQNT,]
[encapsulated EPCF])
MDCX ModifyConnection: ReturnCode, MDCX 1210 aaln/1@rgw-25.att.net MGCP 1.0
utilizado por un agente de [LocalConnectionDescriptor,] C: A3C47F21456789F0
llamada para indicarle a [PackageList] I: FDE234C8
una puerta que cambie ModifyConnection (CallId, M: recvonly
los parámetros de una EndpointId, X: 0123456789AE
conexión existente. ConnectionId, R: L/hu
[NotifiedEntity,] S: G/rt
[LocalConnectionOption,] v=0
[Mode,] o=- 4723891 7428910 IN IP4 128.96.63.25
[RemoteConnectionDescriptor,] s=-
[encapsulated RQNT,] c=IN IP4 128.96.63.25
[encapsulated EPCF]) t=0 0
m=audio 3456 RTP/AVP 0
DLCX DeleteConnection: ReturnCode, Ejemplo 1: MGC -> MG
utilizado por un agente de ConnectionParameters, DLCX 9210 aaln/1@rgw-25.att.net MGCP 1.0
llamada para indicarle a [PackageList] C: A3C47F21456789F0
una puerta que elimine DeleteConnection (CallId, I: FDE234C8
una conexión existente. EndpointId,
ConnectionId, Ejemplo 2: MG -> MGC
Una puerta puede utilizar
el comando [NotifiedEntity,] DLCX 9310 aaln/1@rgw-25.att.net MGCP 1.0
DeleteConnection para [encapsulated RQNT,] C: A3C47F21456789F0
liberar una conexión que [encapsulated EPCF]) I: FDE234C8
ya no puede mantenerse. E: 900 - Hardware error
P: PS=1245, OS=62345, PR=780,
OR=45123, PL=10, JI=27, LA=48
Protocolo MGCP 71
Manual de referencia de ScreenOS: Conceptos y ejemplos
Verbo del
comando Descripción Sintaxis del comando Ejemplos
RQNT Un agente de llamada ReturnCode, RQNT 1205 aaln/1@rgw-25.att.net MGCP 1.0
utiliza el comando [PackageList] N: ca-new@callagent-ca.att.net
NotificationRequest para NotificationRequest[ (EndpointId, X: 0123456789AA
indicarle a una MG que [NotifiedEntity,] R: L/hd(A, E(S(L/dl),R(L/oc,L/hu,D/[0-9#*T](D))))
supervise cierto(s) [RequestedEvents,] D: (0T|00T|xx|91xxxxxxxxxx|9011x.T)
evento(s) o señal(es) de RequestIdentifier, S:
un punto final específico. [DigitMap,] T: G/ft
[SignalRequests,]
[QuarantineHandling,]
[DetectEvents,]
[encapsulated EPCF])
NTFY Notify: lo utiliza una ReturnCode, NTFY 2002 aaln/1@rgw-25.att.net MGCP 1.0
puerta de enlace para [PackageList] N: ca@ca1.att.net:5678
informarle al agente de Notify (EndpointID, X: 0123456789AC
llamada cuando se [NotifiedEntity,] O: L/hd,D/9,D/1,D/2,D/0,D/1,D/8,D/2,D/9,D/4,
produce algún(os) RequestIdentifier, D/2,D/6,D/6
evento(s) o señal(es) ObservedEvents)
solicitada.
AUEP AuditEndpoint: lo utiliza ReturnCode, Ejemplo 1:
un agente de llamada EndPointIdList, | { AUEP 1201 aaln/1@rgw-25.att.net MGCP 1.0
para revisar el estado del [RequestedEvents,] F: A, R,D,S,X,N,I,T,O
punto final. [QuarantineHandling,] Ejemplo 2:
[DigitMap,] AUEP 1200 *@rgw-25.att.net MGCP 1.0
[SignalRequests,]
[RequestedIdentifier,]
[NotifiedEntity,]
[ConnectionIdentifier,]
[DetectEvents,]
[ObservedEvents,]
[EventStats,]
[BearerInformation,]
[BearerMethod,]
[RestartDelay,]
[ReasonCode,]
[MaxMGCPDatagram,]
[Capabilities]}
[PackageList]
AuditEndpoint (EndpointId,
[RequestedInfo])
72 Protocolo MGCP
Capítulo 3: Puerta de enlace en la capa de aplicación de protocolo de control de la puerta de medios
Verbo del
comando Descripción Sintaxis del comando Ejemplos
AUCX AuditConnection: lo utiliza ReturnCode, AUCX 3003 aaln/1@rgw-25.att.net MGCP 1.0
el agente de llamada para [CallId,] I: 32F345E2
recopilar los parámetros [NotifiedEntity,] F: C,N,L,M,LC,P
que se aplicaron a una [LocalConnectionOptions,]
conexión. [Mode,]
[RemoteConnectionDescriptor,]
[LocalConnectionDescriptor,]
[ConnectionParameters,]
[PackageList]
AuditConnection (EndpointId,
ConnectionId,
RequestedInfo)
RSIP RestartInProgress: lo ReturnCode, RSIP 5200 aaln/1@rg2-25.att.net MGCP 1.0
utiliza una puerta de [NotifiedEntity,] RM: graceful
enlace para notificar a un [PackageList] RD: 300
agente de llamada de que RestartInProgress (EndpointId,
uno o varios puntos RestartMethod,
finales dejan de funcionar [RestartDelay,]
o vuelven a entrar en [ReasonCode])
funcionamiento.
Códigos de respuesta
Cada comando que envía el agente de llamada o la puerta de enlace, sea exitoso o
no, requiere un código de respuesta. El código de respuesta se encuentra en el
encabezado del mensaje de respuesta y, opcionalmente, también puede incluir la
información de descripción de la sesión.
200 1204 OK
I: FDE234C8
v=0
o=- 25678 753849 IN IP4 128.96.41.1
s=-
c=IN IP4 128.96.41.1
t=0 0
m=audio 3456 RTP/AVP 96
a=rtpmap:96 G726-32/8000
Protocolo MGCP 73
Manual de referencia de ScreenOS: Conceptos y ejemplos
Consulte RFC 3661 si desea información detallada sobre los códigos de respuesta.
Ejemplos
Esta sección incluye los siguientes supuestos de configuraciones:
74 Ejemplos
Capítulo 3: Puerta de enlace en la capa de aplicación de protocolo de control de la puerta de medios
Untrust
IAD
IAD Teléfono IP
WebUI
1. Zonas
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Ejemplos 75
Manual de referencia de ScreenOS: Conceptos y ejemplos
3. Interfaces
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en Apply:
Name: Pol-CA-To-Subscribers
Source Address
Address Book Entry: (seleccione), call_agent1
Destination Address
Address Book Entry: (seleccione), SubscriberSubNet
Service: MGCP-UA
Action: Permit
Name: Pol-Subscribers-To-CA
Source Address
Address Book Entry: (seleccione), SubscriberSubNet
Destination Address
Address Book Entry: (seleccione), call_agent1
Service: MGCP-UA
Action: Permit
CLI
1. Zonas
set zone name untrust_subscriber
set zone name trust_ca
2. Direcciones
set address untrust_subscriber SubscriberSubNet 2.2.2.0 255.255.255.0 “Our
subscribers' network”
set address trust_ca call_agent1 10.1.1.101 255.255.255.255 “Our No. 1 call
agent”
76 Ejemplos
Capítulo 3: Puerta de enlace en la capa de aplicación de protocolo de control de la puerta de medios
3. Interfaces
set interface ethernet3 zone untrust_subscriber “Our subscribers’ network”
set interface ethernet3 ip 2.2.2.0/24
set interface ethernet3 route
Por último, se deben crear las directivas. Para permitir la señalización de MGCP
entre el agente de llamada en la zona DMZ y la puerta de enlace en la zona Untrust,
se debe crear una directiva para cada dirección, haciendo referencia a la MIP que
protege al agente de llamada. Se debe crear otro par de directivas para permitir la
señalización entre el agente de llamada y la puerta de enlace en la zona Trust. Una
sola directiva es suficiente para permitir la comunicación bidireccional entre las
puertas de enlace en la zona Trust y Untrust.
Ejemplos 77
Manual de referencia de ScreenOS: Conceptos y ejemplos
Dispositivo virtual
DMZ MIP en Ethernet6 -
3.3.3.101 - 10.1.1.101
west_ca
10.1.1.101
Zona Trust
sf_gw
2.2.2.201 Teléfono IP
WebUI
1. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
78 Ejemplos
Capítulo 3: Puerta de enlace en la capa de aplicación de protocolo de control de la puerta de medios
2. Interfaces
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet5): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet6): Introduzca los siguientes datos y
haga clic en Apply:
Source Address
Address Book Entry: (seleccione), west_ca
Destination Address
Address Book Entry: (seleccione), asia_gw
Service: MGCP-UA
Action: Permit
Policies > (From: Untrust To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address
Address Book Entry: (seleccione), asia_gw
Destination Address
Address Book Entry: (seleccione), west_ca
Service: MGCP-UA
Action: Permit
Ejemplos 79
Manual de referencia de ScreenOS: Conceptos y ejemplos
Policies > (From: Trust To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address
Address Book Entry: (seleccione), sf_gw
Destination Address
Address Book Entry: (seleccione), west_ca
Service: MGCP-UA
Action: Permit
Policies > (From: DMZ To: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address
Address Book Entry: (seleccione), west_ca
Destination Address
Address Book Entry: (seleccione), sf_gw
Service: MGCP-UA
Action: Permit
Policies > (From: Trust To: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address
Address Book Entry: (seleccione), sf_gw
Destination Address
Address Book Entry: (seleccione), asia_gw
Service: MGCP-UA
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
DIP on: None (utilizar la IP de la interfaz de salida)
CLI
1. Direcciones
set address trust sf_gw 2.2.2.201/32 “gateway in s.f.”
set address untrust asia_gw 3.3.3.110/32 “gateway in asia”
set address dmz west_ca 10.1.1.101/32 “ca in west coast”
2. Interfaces
set interface ethernet4 ip 2.2.2.10/24
set interface ethernet4 route
set interface ethernet4 zone trust
80 Ejemplos
Capítulo 3: Puerta de enlace en la capa de aplicación de protocolo de control de la puerta de medios
4. Directivas
set policy from dmz to untrust west_ca asia_gw mgcp-ua permit
set policy from untrust to dmz asia_gw mip(3.3.3.101) mgcp-ca permit
set policy from trust to untrust sf_gw asia_gw mgcp-ua nat src permit
Ejemplos 81
Manual de referencia de ScreenOS: Conceptos y ejemplos
82 Ejemplos
Capítulo 4
Puerta de enlace en la capa de
aplicación del protocolo Skinny de
control de clientes
“Ejemplos” en la página 89
Vista general
El protocolo Skinny de control de clientes (SCCP) se admite en dispositivos de
seguridad en los modos de ruta, transparente y de traducción de direcciones de red
(NAT). El SCCP es un protocolo de la capa de aplicación basado en binarios que se
utiliza para configurar y controlar el protocolo de voz por Internet (VoIP). En la
arquitectura del SCCP, un proxy H.323 de Cisco conocido como el gestor de
llamadas hace la mayor parte del procesamiento. Los teléfonos IP, también
denominados estaciones finales, ejecutan el cliente Skinny y se conectan a un
gestor de llamadas primario (y también a uno secundario si está disponible) sobre
TCP en el puerto 2000 y se registran con el gestor de llamadas primario. Luego esta
conexión se utiliza para establecer las llamadas que entran o salen del cliente.
Flujo de llamada de un cliente Skinny a otro cliente Skinny a través del gestor
de llamadas.
Conmutación por error sin fisuras: conmuta todas las llamadas en proceso
hacia el cortafuegos en espera durante los fallos del primario.
Vista general 83
Manual de referencia de ScreenOS: Conceptos y ejemplos
Procesamiento del estado: activa las máquinas de estado con protocolo VoIP
correspondientes para procesar la información analizada. Cualquier paquete
que esté fuera de estado o fuera de transacción se identifica y se maneja
apropiadamente.
Cambio y conmutación por error sin fisuras si las llamadas, incluidas las
llamadas en curso, se conmutan al cortafuegos que está en espera por si se
producen fallos del sistema.
Protocolo SCCP
Las siguientes secciones dan una breve vista general del SCCP y su funcionamiento:
Gestor de llamadas
Clúster
Gestor de llamadas
El gestor de llamadas es un servidor H.323 de Cisco con control general de toda la
comunicación y dispositivos en la red VoIP con SCCP. Sus funciones incluyen
definir, supervisar y controlar grupos del SCCP, regiones de números y planes de
rutas; proporcionar inicialización, admisión y registro de dispositivos en la red;
proporcionar una base de datos redundantes que contenga direcciones, números de
teléfono y formatos de números, e iniciar el contacto con los dispositivos llamados
o sus agentes para establecer sesiones lógicas en las que pueda fluir la
comunicación de voz.
Clúster
Un clúster es un conjnto de clientes del SCCP y un gestor de llamadas. El gestor de
llamadas en el clúster tiene conocimiento sobre todos los clientes del SCCP en el
clúster. En un clúster puede haber más de un gestor de llamadas para tener un
respaldo. El comportamiento del gestor de llamadas varía en cada una de las
siguientes situaciones de un clúster:
Dentro del clúster, en el cual el gestor de llamadas conoce a cada cliente del
SCCP y la llamada es entre clientes del SCCP del mismo clúster.
Protocolo SCCP 85
Manual de referencia de ScreenOS: Conceptos y ejemplos
Las llamadas entre clústeres que usan el equipo selector para el control de
admisión y la resolución de dirección.
El comportamiento del gestor de llamadas también varía con las llamadas entre
un cliente del SCCP y un teléfono en una red conmutada de teléfonos pública
(PSTN) y con las llamadas entre un cliente del SCCP y un teléfono en otro
dominio administrativo que utiliza H.323.
Establecimiento de la llamada
Configuración de medios
86 Protocolo SCCP
Capítulo 4: Puerta de enlace en la capa de aplicación del protocolo Skinny de control de clientes
La Tabla 4 muestra los mensajes del SCCP e inicia los mensajes que son de interés
para el dispositivo de seguridad.
Establecimiento de la llamada
El gestor de llamadas siempre maneja el establecimiento de la llamada de teléfono
IP a teléfono IP utilizando el SCCP. Los mensajes para el establecimiento de la
llamada se envían al gestor de llamadas, desde donde se devuelven mensajes
correspondientes al estado de la llamada. El gestor de llamadas envía al cliente el
mensaje de configuración de medios si tiene éxito el establecimiento de la llamada
y una directiva en el dispositivo de seguridad permite la llamada.
Configuración de medios
El gestor de llamadas envía la dirección IP y el número de puerto del interlocutor
que recibe la llamada al interlocutor que hace la llamada. El gestor de llamadas
envía la dirección IP de medios y el número de puerto del interlocutor que hace la
llamada al interlocutor que recibe la llamada. Los medios se transmiten
directamente entre los clientes después de la configuración de medios. Cuando
termina la llamada, el gestor de llamadas recibe la información y termina las
secuencias de medios. En ningún momento durante este proceso el gestor de
llamadas entrega al cliente la función de establecimiento de la llamada. Los medios
pasan directamente entre los clientes a través de RTP/UDP/IP.
Protocolo SCCP 87
Manual de referencia de ScreenOS: Conceptos y ejemplos
88 Protocolo SCCP
Capítulo 4: Puerta de enlace en la capa de aplicación del protocolo Skinny de control de clientes
Mensaje Range
#define STATION_REGISTER_MESSAGE 0x00000001
#define STATION_IP_PORT_MESSAGE 0x00000002
#define STATION_ALARM_MESSAGE 0x00000020
#define STATION_OPEN_RECEIVE_CHANNEL_ACK 0x00000022
Mensaje Range
#define STATION_START_MEDIA_TRANSMISSION 0x00000001
#define STATION_STOP_MEDIA_TRANSMISSION 0x00000002
#define STATION_CALL_INFO_MESSAGE 0x00000020
#define STATION_OPEN_RECEIVE_CHANNEL_ACK 0x00000022
#define STATION_CLOSE_RECEIVE_CHANNEL 0x00000106
Mensaje Range
#define STATION_REGISTER_TOKEN_REQ_MESSAGE 0x00000029
#define STATION_MEDIA_TRANSMISSION_FAILURE 0x0000002A
#define STATION_OPEN_MULTIMEDIA_RECEIVE_CHANNEL_ACK 0x00000031
Mensaje Range
#define STATION_OPEN_MULTIMEDIA_RECEIVE_CHANNEL 0x00000131
#define STATION_START_MULTIMEDIA_TRANSMISSION 0x00000132
#define STATION_STOP_MULTIMEDIA_TRANSMISSION 0x00000133
#define STATION_CLOSE_MULTIMEDIA_RECEIVE_CHANNEL 0x00000136
Ejemplos
Esta sección contiene los siguientes ejemplos de supuestos:
Ejemplos 89
Manual de referencia de ScreenOS: Conceptos y ejemplos
ethernet1 ethernet3
10.1.1.1/24 1.1.1.1/24
Trust Untrust
Dispositivo de seguridad
LAN Internet
Dispositivo virtual
MIP en ethernet3 Teléfono2
Servidor CM/TFTP Teléfono1 1.1.1.2 -> 10.1.1.4
10.1.1.4 10.1.1.3 1.1.1.4
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: route
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
IP Address/Netmask: 1.1.1.1/24
Interface Mode: Route
90 Ejemplos
Capítulo 4: Puerta de enlace en la capa de aplicación del protocolo Skinny de control de clientes
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), any
Destination Address:
Address Book Entry: (seleccione), Teléfono2
Service: SCCP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Teléfono2
Ejemplos 91
Manual de referencia de ScreenOS: Conceptos y ejemplos
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.2)
Service: SCCP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
2. Direcciones
set address trust Teléfono1 10.1.1.3/24
set address untrust Teléfono2 1.1.1.4/24
set address trust cm-tftp_server 10.1.1.4/24
3. MIP
set interface ethernet3 mip 1.1.1.2 host 10.1.1.4
4. Directivas
set policy from trust to untrust any Teléfono2 sccp nat src permit
set policy from untrust to trust Teléfono2 mip(1.1.1.2) sccp permit
save
Trust Untrust
Dispositivo de seguridad
Internet
LAN
Servidor CM/TFTP
Teléfono1 Teléfono2 1.1.1.3
10.1.1.3 1.1.1.4
92 Ejemplos
Capítulo 4: Puerta de enlace en la capa de aplicación del protocolo Skinny de control de clientes
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Source Address
Address Book Entry: (seleccione), Teléfono1
Destination Address
Address Book Entry: (seleccione), any
Service: SCCP
Action: Permit
Ejemplos 93
Manual de referencia de ScreenOS: Conceptos y ejemplos
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): None (utilizar la IP de la interfaz de salida)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
2. Direcciones
set address trust Teléfono1 10.1.1.3/24
set address untrust Teléfono2 1.1.1.4/24
set address untrust cm-tftp_server 1.1.1.3/24
3. Directivas
set policy from trust to untrust Teléfono1 any sccp nat src permit
save
94 Ejemplos
Capítulo 4: Puerta de enlace en la capa de aplicación del protocolo Skinny de control de clientes
Untrust
Teléfono2
1.1.1.4 Internet
Servidor CM/TFTP
ethernet3 2.2.2.4
1.1.1.1/24
ethernet2
2.2.2.2/24
DMZ
Dispositivo de seguridad
LAN
ethernet1
10.1.1.1/24
LAN
Teléfono1
10.1.1.3
Trust
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Ejemplos 95
Manual de referencia de ScreenOS: Conceptos y ejemplos
2. Dirección
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Teléfono1
Destination Address:
Address Book Entry: (seleccione), CM-TFTP_Server
Service: SCCP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: Enable
(DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Teléfono2
Destination Address:
Address Book Entry: (seleccione), CM-TFTP_Server
Service: SCCP
Action: Permit
96 Ejemplos
Capítulo 4: Puerta de enlace en la capa de aplicación del protocolo Skinny de control de clientes
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Teléfono1
Destination Address:
Address Book Entry: (seleccione), Teléfono2
Service: SCCP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: Enable
(DIP on): None (utilizar la IP de la interfaz de salida)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
set interface ethernet2 zone dmz
set interface ethernet2 ip 2.2.2.2/24
set interface ethernet2 route
2. Direcciones
set address trust Teléfono1 10.1.1.3/24
set address untrust Teléfono2 1.1.1.4/24
set address dmz cm-tftp_server 2.2.2.4
3. Directivas
set policy from trust to dmz Teléfono1 cm-tftp_server sccp nat src permit
set policy from untrust to dmz Teléfono2 cm-tftp_server sccp permit
set policy from trust to untrust Teléfono1 Teléfono2 sccp nat src permit
save
Ejemplos 97
Manual de referencia de ScreenOS: Conceptos y ejemplos
Untrust
Teléfono1 Teléfono2
1.1.1.4 1.1.2.4
Internet
ethernet4 ethernet3
1.1.1.1/24 1.1.2.1/24
loopback 1
1.1.4.1/24
Dispositivo de seguridad
MIP en loopback 1
1.1.4.5 -> 10.1.1.5
ehternet1
10.1.1.1/24
Servidor CM/TFTP
10.1.1.5
LAN
Trust
98 Ejemplos
Capítulo 4: Puerta de enlace en la capa de aplicación del protocolo Skinny de control de clientes
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.2.1/24
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y
haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Ejemplos 99
Manual de referencia de ScreenOS: Conceptos y ejemplos
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), CM-TFTP_Server
Destination Address:
Address Book Entry: (seleccione), Any
Service: SCCP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: Enable
(DIP on): None (utilizar la IP de la interfaz de salida)
100 Ejemplos
Capítulo 4: Puerta de enlace en la capa de aplicación del protocolo Skinny de control de clientes
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.4.5)
Service: SCCP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.2.1/24
set interface ethernet3 route
set interface ethernet4 zone untrust
set interface ethernet4 ip 1.1.1.1/24
set interface ethernet4 route
set interface loopback.1 zone untrust
set interface loopback.1 ip 1.1.4.1/24
set interface loopback.1 route
2. Direcciones
set address trust cm-tftp_server 10.1.1.5/32
set address untrust Teléfono1 1.1.1.4/32
set address untrust Teléfono2 1.1.2.4/32
3. Grupo de bucle invertido
set interface ethernet3 loopback-group loopback.1
set interface ethernet4 loopback-group loopback.1
4. MIP
set interface loopback.1 mip 1.1.4.5 host 10.1.1.5
5. Bloqueo
unset zone untrust block
6. Directivas
set policy from trust to untrust cm/tftp_server any sccp nat src permit
set policy from untrust to trust any mip(1.1.4.5) sccp permit
save
NOTA: Aunque en este ejemplo desactivó el bloqueo en la zona Untrust para permitir la
comunicación interzonal, puede lograr lo mismo mediante la siguiente directiva:
Ejemplos 101
Manual de referencia de ScreenOS: Conceptos y ejemplos
Trust Untrust
Dispositivo de seguridad
LAN Internet
ethernet2
Teléfono2 10.1.2.1/24
10.1.2.2
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: route
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.2.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: route
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 3.3.3.3/24
102 Ejemplos
Capítulo 4: Puerta de enlace en la capa de aplicación del protocolo Skinny de control de clientes
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione) CM/TFTP Server
Service: SCCP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: Enable
(DIP on): None (utilizar la IP de la interfaz de salida)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet2 zone trust
set interface ethernet2 ip 10.1.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 3.3.3.3/24
set interface ethernet3 route
2. Direcciones
set address trust Teléfono1 10.1.1.3/24
set address trust Teléfono2 10.1.2.2/24
set address untrust cm-tftp_server 3.3.3.4/24
Ejemplos 103
Manual de referencia de ScreenOS: Conceptos y ejemplos
3. Directivas
set policy from trust to untrust any cm-tftp_server sccp nat src permit
save
NOTA: Los dispositivos de seguridad utilizados en este ejemplo deben tener disponibles
por lo menos tres interfaces configurables independientemente.
104 Ejemplos
Capítulo 4: Puerta de enlace en la capa de aplicación del protocolo Skinny de control de clientes
Trust
eth2/8-10.1.3.1
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
Ejemplos 105
Manual de referencia de ScreenOS: Conceptos y ejemplos
Network > Interfaces > Edit (para ethernet2/2): Introduzca los siguientes
datos y haga clic en Apply:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.2.1/24
Network > Interfaces > Edit (para ethernet2/8): Introduzca los siguientes
datos y haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.3.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: route
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
106 Ejemplos
Capítulo 4: Puerta de enlace en la capa de aplicación del protocolo Skinny de control de clientes
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en OK:
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
Ejemplos 107
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI (Sucursal 1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Interface Mode: route
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 3.3.3.3/24
108 Ejemplos
Capítulo 4: Puerta de enlace en la capa de aplicación del protocolo Skinny de control de clientes
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 4.4.4.4/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Ejemplos 109
Manual de referencia de ScreenOS: Conceptos y ejemplos
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en OK:
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
CLI (Sucursal 1)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 3.3.3.3/24
set interface ethernet4 zone untrust
set interface ethernet4 ip 4.4.4.4/24
set interface tunnel.2 zone untrust
set interface tunnel.2 ip unnumbered interface ethernet3
set interface tunnel.3 zone untrust
set interface tunnel.3 ip unnumbered interface ethernet4
2. Dirección
set address trust Teléfono1 10.1.1.3/32
110 Ejemplos
Capítulo 4: Puerta de enlace en la capa de aplicación del protocolo Skinny de control de clientes
3. VPN
set ike gateway to-central address 1.1.1.1 main outgoing-interface ethernet3
preshare netscreen sec-level standard
set ike gateway to-ns50 address 5.5.5.5 main outgoing-interface ethernet4
preshare netscreen sec-level standard
set vpn vpncentral gateway to-central no-replay tunnel idletime 0 sec-level standard
set vpn vpncentral bind interface tunnel.1
set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletime 0 sec-level standard
set vpn vpn-ns50 bind interface tunnel.3
4. Rutas
set route 10.1.2.0/24 interface tunnel.3
set route 10.1.3.0/24 interface tunnel.1
5. Directivas
set policy from trust to untrust Teléfono1 any sccp permit
set policy from untrust to trust any Teléfono1 sccp permit
save
WebUI (Sucursal 2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.2.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: route
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 4.4.4.4/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
Ejemplos 111
Manual de referencia de ScreenOS: Conceptos y ejemplos
2. Dirección
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
112 Ejemplos
Capítulo 4: Puerta de enlace en la capa de aplicación del protocolo Skinny de control de clientes
Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en OK:
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
CLI (Sucursal 2)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.2.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface ethernet4 zone untrust
set interface ethernet4 ip 4.4.4.4/24
set interface tunnel.2 zone untrust
set interface tunnel.2 ip unnumbered interface ethernet3
set interface tunnel.3 zone untrust
set interface tunnel.3 ip unnumbered interface ethernet4
2. Dirección
set address trust Teléfono1 10.1.2.3/32
3. VPN
set ike gateway to-central address 1.1.1.1 Main outgoing-interface ethernet3
preshare netscreen sec-level standard
set ike gateway to-ns50 address 4.4.4.4 Main outgoing-interface ethernet4
preshare netscreen sec-level standard
set vpn vpncentral gateway to-central no-replay tunnel idletime 0 sec-level standard
set vpn vpncentral id 4 bind interface tunnel.2
set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletime 0 sec-level standard
set vpn vpn-ns50 id 5 bind interface tunnel.3
4. Rutas
set route 10.1.3.0/24 interface tunnel.1
set route 10.1.2.0/24 interface tunnel.3
Ejemplos 113
Manual de referencia de ScreenOS: Conceptos y ejemplos
5. Directivas
set policy from trust to untrust Teléfono2 any sccp permit
set policy from untrust to trust any Teléfono2 sccp permit
save
114 Ejemplos
Índice
A T
ALG ..................................................................................17 Tiempo de espera SIP
SIP .............................................................................13 por inactividad .........................................................21
SIP NAT ....................................................................24 por inactividad de la sesión ...................................21
por inactividad de medios ................................22, 23
G por inactividad de señalización .......................22, 23
gatekeeper (equipos selectores) .....................................1
V
L voz sobre IP
libro de servicio, grupos de servicios (WebUI) ...........66 administración del ancho de banda ......................65
O
ojos de aguja ..................................................................20
S
SDP .......................................................................... 18 a 19
sesiones multimedia, SIP ..............................................14
SIP
ALG .....................................................................17, 21
anuncios de medios ................................................19
códigos de respuesta ..............................................16
definido ....................................................................13
información de la conexión ...................................19
mensajes ..................................................................14
métodos de petición ...............................................14
ojos de aguja ............................................................18
RTCP .........................................................................19
RTP ...........................................................................19
SDP ................................................................... 18 a 19
señalización .............................................................17
sesiones multimedia ...............................................14
SIP NAT
configuración de llamadas ...............................24, 30
definido ....................................................................24
DIP, utilizar entrante...............................................32
entrante, con MIP..............................................36, 38
proxy en DMZ ..........................................................45
proxy en zona privada......................................40, 90
proxy en zona pública ............................................43
trust intrazonal ........................................................52
untrust intrazonal ....................................................98
untrust intrazone .....................................................49
utilizar DIP de interfaz ............................................33
utilizar un rango DIP ...............................................36
VPN, con uso de malla completa ..................55, 104
ÍNDICE IX-I
Manual de referencia de ScreenOS: Conceptos y ejemplos
IX-II ÍNDICE
Conceptos y ejemplos
Manual de referencia de ScreenOS
Volumen 7:
Enrutamiento
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user’s warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen xi
Convenciones del documento ........................................................................ xii
Convenciones de la interfaz de usuario web ............................................ xii
Convenciones de interfaz de línea de comandos ..................................... xii
Convenciones de nomenclatura y conjuntos de caracteres ..................... xiii
Convenciones para las ilustraciones ....................................................... xiv
Asistencia y documentación técnica............................................................... xv
Capítulo 2 Enrutamiento 13
Vista general .................................................................................................. 14
Tablas de enrutamiento del enrutador virtual................................................. 15
Tabla de enrutamiento basada en destinos.............................................. 16
Tabla de enrutamiento basada en el origen ............................................. 18
Tabla de enrutamiento según la interfaz de origen .................................. 20
Creación y modificación de enrutadores virtuales .......................................... 22
Modificación de enrutadores virtuales ..................................................... 22
Asignación de una ID de enrutador virtual............................................... 23
Reenvío de tráfico entre enrutadores virtuales......................................... 24
Configuración de dos enrutadores virtuales ............................................. 24
Creación y eliminación de enrutadores virtuales ..................................... 26
Creación de un enrutador virtual personalizado ................................ 26
Eliminación de un enrutador virtual personalizado ........................... 27
Enrutadores virtuales y sistemas virtuales ............................................... 27
Creación de un enrutador virtual en un Vsys..................................... 28
Compartir rutas entre enrutadores virtuales...................................... 29
Contenido iii
Manual de referencia de ScreenOS: Conceptos y ejemplos
iv Contenido
Contenido
Contenido v
Manual de referencia de ScreenOS: Conceptos y ejemplos
vi Contenido
Contenido
Contenido vii
Manual de referencia de ScreenOS: Conceptos y ejemplos
viii Contenido
Contenido
Deshabilitación de IRDP...............................................................................231
Visualización de los ajustes de IRDP.............................................................231
Índice ........................................................................................................................IX-I
Contenido ix
Manual de referencia de ScreenOS: Conceptos y ejemplos
x Contenido
Acerca de este volumen
El Capítulo 3, “Abrir primero la ruta más corta,” explica cómo configurar OSPF
(abrir primero la ruta más corta).
xi
Manual de referencia de ScreenOS: Conceptos y ejemplos
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Para abrir la ayuda en línea para los ajustes de configuración, haga clic en el signo
de interrogación (?) en la parte superior izquierda de la pantalla.
En ejemplos:
NOTA: Para introducir palabras clave, basta con introducir los primeros caracteres para
identificar la palabra de forma inequívoca. Al escribir set adm u whee j12fmt54
se ingresará el comando set admin user wheezer j12fmt54. Sin embargo, todos
los comandos documentados aquí se encuentran presentes en su totalidad.
Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá
estar entre comillas dobles; por ejemplo:
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Interfaz de túnel
Servidor
Túnel VPN
Enrutador
Dispositivos de seguridad
Conmutador Juniper Networks
Concentrador
Vista general
Una ruta estática es una asignación configurada manualmente de una dirección de
red IP a un destino de salto siguiente (otro enrutador) que define en un dispositivo
de reenvío de capa 3, como un enrutador.
En una red que tiene pocas conexiones a otras redes o en las redes cuyas
interconexiones de red son relativamente estables, suele resultar más práctico
definir rutas estáticas que rutas dinámicas. ScreenOS mantiene las rutas estáticas
hasta que se eliminan explícitamente. No obstante, cuando sea necesario se puede
dar prioridad a rutas dinámicas frente a las estáticas.
1
Manual de referencia de ScreenOS: Conceptos y ejemplos
Debe establecer por lo menos una ruta predeterminada como una ruta
predeterminada (dirección de red 0.0.0.0/0). Una ruta predeterminada es una
entrada comodín para los paquetes destinados a redes distintas de las definidas en
la tabla de enrutamiento.
NOTA: La ruta más específica se determina aplicando en primer lugar el operador lógico
AND bit por bit a la dirección de destino y a la máscara de red de cada entrada
existente en la tabla de enrutamiento. Por ejemplo, el AND lógico bit por bit de la
dirección IP 10.1.1.1 con la máscara de subred 255.255.255.0 es 10.1.1.0. La ruta
que tenga el mayor número de bits con el valor 1 en la máscara de subred será la
más específica (también denominada “ruta con la mayor coincidencia”).
Dirección IP de origen
Dirección IP de destino
Carga (mensaje)
Enrutador X
2 Vista general
Capítulo 1: Enrutamiento estático
En la Tabla 1, el enrutador X tiene configurada una ruta estática hacia la red C con
la puerta de enlace (siguiente salto) como enrutador Y. Cuando el enrutador X
recibe el paquete destinado al host 2 de la red C, compara la dirección de destino
del paquete con el contenido de su tabla de enrutamiento y detecta que la última
entrada corresponde a la ruta más específica para la dirección de destino. En la
última entrada de ruta se especifica que el tráfico destinado a la red C debe enviarse
al enrutador Y para su entrega. El enrutador Y recibe el paquete y, como sabe que la
red C está conectada directamente, envía el paquete a través de la interfaz
conectada a esa red.
Vista general 3
Manual de referencia de ScreenOS: Conceptos y ejemplos
Para el tráfico de red privada virtual (VPN) saliente donde exista más de una
interfaz de salida hacia el destino, deberá establecer una ruta para dirigir el
tráfico saliente al enrutador externo a través de la interfaz deseada.
4 Vista general
Capítulo 1: Enrutamiento estático
Una etiqueta de ruta es un valor que se puede utilizar como filtro al redistribuir
rutas. Por ejemplo, puede seleccionar importar solamente aquellas rutas que
contengan valores de etiqueta especificados a un VR.
Si la ruta es permanente (se mantiene activa aunque la interfaz del reenvío esté
inactiva o se haya eliminado la dirección IP de la interfaz).
NOTA: Las siguientes zonas deben vincularse antes de que se complete este ejemplo:
ethernet1 a la zona Trust, ethernet2 a la zona DMZ y ethernet3 a la zona Untrust.
Las direcciones IP de las interfaces son 10.1.1.1/24, 2.2.10.1/24 y 2.2.2.1/24,
respectivamente.
Las tablas de enrutamiento trust-vr y untrust-vr deben incluir rutas para los
siguientes destinos:
untrust-vr
1. Puerta de enlace predeterminada hacia Internet (ruta predeterminada para el
VR)
Vista general 5
Manual de referencia de ScreenOS: Conceptos y ejemplos
trust-vr
5. untrust-vr para todas las direcciones no encontradas en la tabla de
enrutamiento de trust-vr (ruta predeterminada para el VR)
2.2.10.0/24 4
200.20.2.2/24 2.2.40.1/24
2.20.30.0/24
2.2.2.2/24 3.3.3.1/24 3 2.2.40.0/24
2.2.2.3/24
2.2.2.0/24 2.20.30.2/24
2.2.45.7/32 2.20.3.1/24
2.20.4.1/24
2.20.3.0/24 2.20.4.0/24
5
Ruta Dispositivo de
predeterminada seguridad
= Enrutador
Dominio del
10.1.1.0/24 enrutador = Conmutador/concentrador
virtual
10.1.1.4/24
10.1.1.2/24 10.30.1.1/24
10.10.30.1/24
10.10.30.1/24 10.1.1.3/24
6 10.20.1.1/24 8 trust-vr
7
10.10.30.0/24 10.10.40.0/24 10.30.1.0/24
10.20.1.0/24
Administración local
10.10.30.5/32 10.20.1.1/24
Servidor Websense
10.30.4.7/32
10.20.3.1/24
10.20.4.1/24
10.20.3.0/24 10.20.4.0/24
Zona Trust
6 Vista general
Capítulo 1: Enrutamiento estático
WebUI
1. untrust-vr
Network > Routing > Destination > untrust-vr New: Introduzca los siguientes
datos para crear la puerta de enlace predeterminada untrust y haga clic en OK:
Network > Routing > Destination> untrust-vr New: Introduzca los siguientes
datos para dirigir los informes del sistema generados por el dispositivo de
seguridad a la administración remota, luego haga clic en OK:
Network > Routing > Destination > untrust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Network > Routing > Destination > untrust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
Vista general 7
Manual de referencia de ScreenOS: Conceptos y ejemplos
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
NOTA: Para eliminar una entrada, haga clic en Remove. Aparecerá un mensaje pidiendo
confirmación para realizar la eliminación. Haga clic en OK para continuar o en
Cancel para cancelar la acción.
CLI
1. untrust-vr
set vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.2
set vrouter untrust-vr route 3.3.3.0/24 interface ethernet3 gateway 2.2.2.3
set vrouter untrust-vr route 2.2.40.0/24 interface ethernet2 gateway 2.2.10.2
set vrouter untrust-vr route 2.20.0.0/16 interface ethernet2 gateway 2.2.10.3
2. trust-vr
set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr
set vrouter trust-vr route 10.10.0.0/16 interface ethernet1 gateway 10.1.1.2
set vrouter trust-vr route 10.20.0.0/16 interface ethernet1 gateway 10.1.1.3
set vrouter trust-vr route 10.30.1.0/24 interface ethernet1 gateway 10.1.1.4
save
Internet
Túnel VPN
tunnel.1 Enrutador
10.10.1.1/24 1.1.1.250
8 Vista general
Capítulo 1: Enrutamiento estático
WebUI
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
NOTA: Para que el tunnel.1 aparezca en la lista desplegable Interface, debe crear primero
la interfaz tunnel.1.
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
CLI
set vrouter trust-vr route 10.2.2.5/32 interface tunnel.1
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
save
Para agregar una ruta estática con el seguimiento de la puerta de enlace, deberá
establecer explícitamente la ruta a nivel del enrutador virtual (VR) y en la dirección
de la puerta de enlace. No establezca una dirección IP para la interfaz.
Puede utilizar este comando para agregar una ruta estática con una puerta de
enlace de seguimiento para la dirección IP 1.1.1.254 con prefijo 1.1.1.0 y una
longitud de 24. Establezca el seguimiento de la puerta de enlace introduciendo la
dirección IP de la puerta de enlace pero no establezca la interfaz.
WebUI
Network > Routing > Destination: Haga clic en New y luego introduzca lo
siguiente:
IPv4/Netmask: 1.1.1.0/24
Gateway: (seleccione)
Gateway IP Address: 1.1.1.254
Vista general 9
Manual de referencia de ScreenOS: Conceptos y ejemplos
CLI
set vrouter trust route 1.1.1.0/24 gateway 1.1.1.254
unset vrouter trust route 1.1.1.0/24 gateway 1.1.1.254
save
Impedir que el tráfico del túnel se envíe en interfaces que no sean de túnel
Impedir que el tráfico de túnel se envíe a través de interfaces que no sean de túnel
Puede utilizar las rutas estáticas o dinámicas con las interfaces de túnel de salida
para encriptar el tráfico dirigido a destinos específicos. Si una interfaz de túnel se
queda inactiva, todas las rutas definidas en la interfaz se quedan inactivas. Si hay
una ruta alternativa en una interfaz que no sea de túnel, el tráfico no se envía
encriptado. Para impedir que el tráfico que debe estar encriptado se envíe a una
interfaz que no sea de túnel, defina una ruta estática al mismo destino que el tráfico
del túnel con la interfaz Null como interfaz de salida. Asigne a esta ruta una métrica
más alta que la de la ruta de la interfaz de túnel de modo que la ruta solamente se
active si la ruta de la interfaz de túnel no está disponible. Si la interfaz de túnel se
queda inactiva, la ruta con la interfaz Null se activa y el tráfico para el destino del
túnel se descarta.
En este ejemplo establecerá una interfaz NULL para la ruta resumida creada hacia la
red 2.1.1.0/24 del ejemplo anterior. Dentro de la red 2.1.1.0/24 se encuentran los
hosts 2.1.1.2, 2.1.1.3 y 2.1.1.4. Cualquier paquete dirigido a 2.1.1.10 caerá en el
rango de la ruta resumida. El dispositivo de seguridad acepta estos paquetes pero
no tiene a dónde reenviarlos, salvo de vuelta al origen, lo que inicia un bucle de red.
Para evitar este comportamiento, establecerá una interfaz NULL para esta ruta.
Establecer una preferencia y métrica elevadas es importante al establecer una
interfaz NULL.
WebUI
Network > Routing > Destination > trust-vr New: Introduzca los siguientes
datos y haga clic en OK:
CLI
set vrouter trust-vr route 2.1.1.0/24 interface null preference 255 metric 65535
save
También es útil mantener activas las rutas a través de las interfaces en las que se
configura el seguimiento de IP. El seguimiento de IP permite que el dispositivo de
seguridad reencamine el tráfico saliente a través de una interfaz diferente si las
direcciones IP de destino no se pueden alcanzar a través de la interfaz original.
Aunque el dispositivo de seguridad puede reencaminar el tráfico a otra interfaz,
necesita ser capaz de enviar peticiones del comando ping en la interfaz original
para determinar si los destinos llegan a ser otra vez accesibles.
13
Manual de referencia de ScreenOS: Conceptos y ejemplos
Vista general
El enrutamiento es el proceso de reenviar paquetes de una red a otra hasta que
alcanzan su destino final. Un enrutador es un dispositivo que está donde una red se
encuentra con otra y dirige el tráfico entre esas redes.
14 Vista general
Capítulo 2: Enrutamiento
Rutas host
NOTA: Cuando establece una dirección IP para identificar una interfaz en el modo de
ruta, la tabla de enrutamiento conecta automáticamente una ruta hacia la subred
adyacente para canalizar el tráfico que pasa por la interfaz.
Estática (S)
Autoexportada (A)
Importada (I)
Permanente (P)
Host (H)
El sistema virtual (vsys) al cual pertenece esta ruta. Para obtener más
información sobre enrutadores virtuales, consulte “Enrutadores virtuales y
sistemas virtuales” en la página 27. En este ejemplo, no aparecen entradas bajo
el encabezado de la tabla untrust-vr; sin embargo, bajo el encabezado de la
tabla trust-vr aparecen once entradas.
Usted define las rutas basadas en el origen como rutas configuradas estáticamente
en VR especificados. Las rutas basadas en orígenes son aplicables al VR en el que
usted las configura; sin embargo, puede especificar otro VR como siguiente salto
para una ruta basada en orígenes. Tampoco puede redistribuir rutas basadas en el
origen a otros VR o protocolos de enrutamiento.
La métrica para la ruta basada en el origen. (Si hay varias rutas basadas en
el origen con el mismo prefijo, sólo la ruta con la métrica más baja se
utiliza para la consulta de rutas y el resto se marcan como “inactivas”.)
10.1.1.0/24 ISP1
1.1.1.1
ethernet1
ethernet2
ISP2
10.1.2.0/24
2.2.2.2
WebUI
Network > Routing > Source Routing > New (para el trust-vr): Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Source Routing > New (para el trust-vr): Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione
Enable Source Based Routing, luego haga clic en OK.
CLI
set vrouter trust-vr route source 10.1.1.0/24 interface ethernet3 gateway 1.1.1.1
metric 1
set vrouter trust-vr route source 10.1.2.0/24 interface ethernet4 gateway 2.2.2.2
metric 1
set vrouter trust-vr source-routing enable
save
Las rutas basadas en la interfaz origen se definen como rutas estáticas para las
interfaces de origen especificadas. Las rutas basadas en la interfaz de origen se
aplican al VR en el que se configuran; sin embargo, también puede especificar otro
VR como siguiente salto para una ruta basada en la interfaz de origen. Sin embargo,
tampoco puede exportar rutas basadas en la interfaz de origen a otros VR ni
redistribuirlas a un protocolo de enrutamiento.
La métrica para la ruta basada en interfaz de origen. (Si hay varias rutas
con base en la interfaz de origen con el mismo prefijo, sólo la ruta con la
métrica más baja se utiliza para la consulta de rutas y el resto se marcan
como “inactivas”.)
10.1.1.0/24 ISP1
1.1.1.1
ethernet1 ethernet3
ethernet2 ethernet4
ISP2
10.1.2.0/24 2.2.2.2
WebUI
Network > Routing > Source Interface Routing > New (para ethernet1):
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Source Interface Routing > New (para ethernet2):
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione
Enable Source Interface Based Routing, luego haga clic en OK.
CLI
set vrouter trust-vr route source in-interface ethernet1 10.1.1.0/24 interface
ethernet3 gateway 1.1.1.1 metric 1
set vrouter trust-vr route source in-interface ethernet2 10.1.2.0/24 interface
ethernet4 gateway 2.2.2.2 metric 1
set vrouter trust-vr sibr-routing enable
save
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit
CLI
set vrouter trust-vr
Añadir una ruta predeterminada con otro VR como siguiente salto (sólo para el
trust-vr.)
Hacer capturas SNMP privadas para las MIB de enrutamiento dinámico (sólo
para el VR de nivel raíz.)
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes
datos y haga clic en OK:
CLI
set vrouter trust-vr router-id 10
save
Puede asociar una zona de seguridad a un sólo VR. Puede asociar varias zonas de
seguridad a un sólo VR cuando no hay superposición de direcciones entre zonas.
Esto es, todas las interfaces de las zonas deben estar en modo de ruta. Una vez que
una zona está asociada a un VR, todas las interfaces de la zona pertenecen al VR.
Puede cambiar la asociación de una zona de seguridad de un VR a otro, pero
primero hay que quitar todas las interfaces de la zona. (Para obtener más
información sobre cómo enlazar y desenlazar una interfaz de una zona de
seguridad, consulte “Interfaces” en la página 2-33.)
A continuación se enumeran los pasos básicos para asociar una zona de seguridad
al VR untrust-vr:
WebUI
1. Desasociar la interfaz de la zona untrust
Network > Interfaces (ethernet3) > Edit: Introduzca los siguientes datos y
haga clic en OK:
CLI
1. Desasociar la interfaz de la zona untrust
unset interface ethernet3 ip
unset interface ethernet3 zone
2. Asociar la zona untrust al untrust-vr
set zone untrust vrouter untrust-vr
3. Asociar la interfaz a la zona untrust
set interface eth3 zone untrust
save
WebUI
Network > Routing > Virtual Routers > New: Introduzca los siguientes datos y
haga clic en OK:
CLI
set vrouter name trust2-vr
set vrouter trust2-vr auto-route-export
save
WebUI
Network > Routing > Virtual Routers: Haga clic en Remove para trust2-vr.
CLI
unset vrouter trust2-vr
save
Puede definir uno o más VR personalizados para un vsys. Para obtener más
información sobre los sistemas virtuales, consulte el Volumen 10: Sistemas virtuales.
En la Figura 7, cada uno de los tres vsys tiene dos VR asociados con éste: un VR de
nivel vsys llamado nombresistvirt-vr y el untrust-vr.
trust-vr
untrust-vr Finanzas
(enrutador virtual a
nivel de raíz DMZ
compartido)
Untrust vsys1
vsys2-vr Automáticamente
vsys2 creados cuando
Trust-vsys2 crea vsys
vsys3
vsys3-vr
Trust-vsys3
WebUI
Vsys > Configure > Enter (para mi-vsys1) > Network > Routing > Virtual
Routers > New: Introduzca los siguientes datos, luego haga clic en Apply:
CLI
set vsys mi-vsys1
(mi-vsys1) set vrouter name vr-1a
(mi-vsys1/vr-1a) set router-id 10.1.1.9
(mi-vsys1/vr-1a) exit
(mi-vsys1) exit
WebUI
Vsys > Configure > Enter (para mi-vsys1) > Network > Routing > Virtual
Routers > Edit (para vr-1a): Seleccione Make This Vrouter Default-Vrouter for
the System y haga clic en Apply.
CLI
set vsys mi-vsys1
(mi-vsys1) set vrouter vr-1a
(mi-vsys1/vr-1a) set default-vrouter
(mi-vsys1/vr-1a) exit
(mi-vsys1) exit
WebUI
Network > Routing > Virtual Routers > New: Introduzca los siguientes datos y
haga clic en OK:
Vsys > Configure > Enter (para mi-vsys1) > Network > Routing > Routing
Entries > New (para mi-vsys1-vr): Introduzca los siguientes datos y haga clic
en OK:
CLI
set vrouter name mi-enrutador sharable
set vsys mi-vsys1
(mi-vsys1) set vrouter mi-vsys1-vr route 40.0.0.0/8 vrouter mi-enrutador
(mi-vsys1) exit
NOTA: Consulte la hoja de datos del producto pertinente para determinar el número
máximo de entradas de la tabla de enrutamiento disponible en su dispositivo de
seguridad de Juniper Networks.
WebUI
Network > Routing > Virtual Routers > Edit (para el trust-vr): Introduzca los
siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr max-routes 20
save
Selección de rutas
Pueden existir varias rutas con el mismo prefijo (dirección IP y máscara) en la tabla
de enrutamiento. Cuando la tabla de enrutamiento contiene varias rutas para el
mismo destino, se comparan los valores de preferencia de cada ruta. Se selecciona
la que tiene el valor de preferencia más bajo. Si los valores de preferencia son
iguales, se comparan los valores de métrica. En ese caso, se selecciona la ruta que
tiene el valor de métrica más bajo.
NOTA: Si hay varias rutas para el mismo destino con los mismos valores de preferencia y
los mismos valores de métrica, entonces cualquiera de ellas puede resultar
seleccionada. En este caso, la elección de una ruta concreta sobre otra no está
garantizada ni es predecible.
Preferencia
Protocolo predeterminada
Conectado 0
Estático 20
Autoexportado 30
EBGP 40
OSPF 60
RIP 100
Importado 140
OSPF externo de tipo 2 200
IBGP 250
También puede ajustar el valor de preferencia de la ruta para dirigir el tráfico por el
camino preferido.
NOTA: Si la preferencia de la ruta cambia para un tipo de ruta (por ejemplo, las rutas
OSPF de tipo 1), la nueva preferencia aparece en la tabla de rutas, pero no tiene
efecto hasta que la ruta sea reconocida de nuevo (lo cual se consigue inhabilitando
y a continuación habilitando el protocolo de enrutamiento dinámico), o, en el caso
de rutas estáticas, eliminándola y volviéndola a añadir.
Una ruta es conectada cuando el enrutador tiene una interfaz con una dirección IP
en la red de destino.
WebUI
Network > Routing > Virtual Routers > Edit (para untrust-vr): Introduzca los
siguientes datos y haga clic en OK:
Route Preference:
Connected: 4
CLI
set vrouter untrust-vr preference connected 4
save
Métricas de ruta
Las métricas de ruta determinan el mejor camino que un paquete puede tomar para
alcanzar un destino dado. Los enrutadores utilizan las métricas de ruta para sopesar
dos rutas al mismo destino y determinar la elección de una ruta sobre la otra.
Cuando hay varias rutas hacia la misma red de destino con el mismo valor de
preferencia, prevalece la ruta con la métrica más baja.
Otros factores
paquete entrante
Sí ¿La ruta se
SIBR encontró en
habilitado tabla SIBR?
No No
Sí ¿La ruta se Sí
SBR encontró en Reenvíe el paquete en la
habilitado tabla SBR? interfaz de salida especificada o
de siguiente salto
No No
¿Se
encontró la Sí
ruta en
DRT?
No
Descartar el paquete
WebUI
Network > Routing > Virtual Router > Edit (para el trust-vr): Introduzca los
siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr sibr-routing enable
set vrouter trust-vr source-routing enable
set vrouter trust-vr route-lookup preference source-routing 4
save
ISP1
10.1.1.0/24 1.1.1.1
ethernet1 ethernet3
ethernet2 ethernet4
ISP2
10.1.2.0/24 2.2.2.2
NOTA: Si las interfaces de salida no pertenecen a las misma zona y el paquete de vuelta
va a una zona diferente a la prevista, no se podrá producir una coincidencia de
sesiones y es posible que el tráfico no pueda pasar.
NOTA: Cuando el ECMP se habilita y las interfaces salientes son diferentes y están en el
modo NAT, las aplicaciones (como HTTP) que crean sesiones múltiples no
funcionarán correctamente. Las aplicaciones (como telnet o SSH) que crean una
sesión, deberían funcionar correctamente.
ECMP asiste con equilibrio de cargas entre dos a cuatro rutas al mismo destino o
aumenta la eficacia de utilización del ancho de banda entre dos o más destinos.
Cuando el ECMP está habilitado, los dispositivos de seguridad utilizan las rutas
definidas estáticamente o memorizan dinámicamente varias rutas al mismo
destino mediante un protocolo de enrutamiento. El dispositivo de seguridad asigna
rutas de igual coste en el modo de ronda recíproca (round robin).
NOTA: Al usar ECMP, si tiene dos dispositivos de seguridad en una relación de vecindad y
observa la pérdida de un paquete y un equilibrio de cargas incorrecto, compruebe
la configuración del protocolo de resolución de direcciones (ARP) del dispositivo
vecino para asegurarse de que la función arp always-on-dest está deshabilitada
(predeterminado). Para obtener más información acerca de los comandos
relacionados con ARP, consulte “Interfaces fuera de línea y flujo de tráfico” en la
página 2-73.
Por ejemplo, considere las dos rutas siguientes que aparecen en la tabla de
enrutamiento basad en destinos trust-vr:
Las dos rutas tienen los mismos valores métricos; sin embargo, la primera ruta es
una ruta conectada (C con una preferencia de 0). El dispositivo de seguridad
adquirió la primera ruta a través de DHCP o de PPP y el dispositivo adquirió la ruta
predeterminada a través de la configuración manual. La segunda ruta es una ruta
estática configurada manualmente (S con una preferencia automática de 20). Con
ECMP deshabilitado, el dispositivo de seguridad reenvía todo el tráfico a la ruta
conectada en ethernet3.
Para alcanzar equilibrio de carga con ambas rutas, cambie la preferencia de ruta de
la ruta estática a cero (0) para que coincida con la ruta conectada introduciendo el
comando set vrouter trust-vr preference static 0 y luego habilitando ECMP. Con
ECMP habilitado, la carga del dispositivo de seguridad equilibra el tráfico alternando
entre dos rutas ECMP válidas. La siguiente pantalla muestra la tabla de
enrutamiento actualizada.
Si hay más de dos rutas de igual coste en la red, el dispositivo de seguridad realiza
una selección de las rutas en orden rotativo (ronda recíproca) hasta el máximo
configurado de modo que el dispositivo seleccione una ruta ECMP diferente para
cada consulta de ruta.
WebUI
Network > Routing > Virtual Routers > Edit (para el trust-vr): Introduzca los
siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr max-ecmp-routes 2
save
Redistribución de rutas
La tabla de enrutamiento de un VR contiene rutas agrupadas según todos los
protocolos de enrutamiento dinámico que se ejecutan en el VR, así como las rutas
estáticas y las rutas conectadas directamente. De forma predeterminada, un
protocolo de enrutamiento dinámico (como OSPF, RIP o BGP) notifica a sus
adyacentes o interlocutores sólo las rutas que cumplen las siguientes condiciones:
NOTA: OSPF, RIP, y BGP también notifican las rutas conectadas de las interfaces de
ScreenOS en las que estos protocolos están habilitados.
Las rutas se distribuyen entre los protocolos según una regla de redistribución que
define el administrador del sistema o de la red. Cuando se añade una ruta a la tabla
de enrutamiento de un enrutador virtual, se le aplican una a una todas las reglas de
redistribución definidas en el VR para determinar si la ruta tiene que ser
redistribuida. Cuando se elimina una ruta de la tabla de enrutamiento de un
enrutador virtual, se le aplican una a una todas las reglas de redistribución definidas
en el VR para determinar si la ruta tiene que ser eliminada de otro protocolo de
enrutamiento del VR. Observe que todas las reglas de redistribución se aplican
cuando se añade o se elimina una ruta. No existe el concepto de orden de las reglas
o de “primera regla aplicable” para las reglas de redistribución.
NOTA: Sólo puede definir una regla de redistribución entre dos protocolos cualesquiera.
Condición de
comparación Descripción
BGP AS Path Compara con una lista de acceso AS path determinada. Consulte “Filtrado
de rutas” en la página 41.
BGP Community Compara con una lista de comunidades determinada. Consulte “Filtrado
de rutas” en la página 41.
OSPF route type Compara con un OSPF interno, externo de tipo 1 o externo de tipo 2.
Interface Compara con una interfaz determinada.
IP address Compara con una lista de acceso determinada. Consulte “Filtrado de rutas”
en la página 41.
Metric Compara con un valor de métrica de ruta determinado.
Next-hop Compara con una lista de acceso determinada. Consulte “Filtrado de rutas”
en la página 41.
Tag Compara con una dirección IP o etiqueta de ruta determinada.
Atributos
establecidos Descripción
BGP AS Path Añade una lista de acceso AS path determinada al principio de la lista de
atributos de camino de la ruta coincidente.
BGP Community Establece el atributo de comunidad de la ruta coincidente a la lista de
comunidades especificada.
BGP local preference Establece el atributo local-pref de la ruta coincidente al valor
especificado.
BGP weight Establece el peso de la ruta coincidente.
Offset metric Aumenta la métrica de la ruta coincidente hasta el valor especificado.
Esto aumenta la métrica en una ruta menos deseable. Para las rutas RIP,
puede aplicar el incremento tanto a las rutas notificadas (route-map out)
o a las rutas reconocidas (route-map in). Para otras rutas, puede aplicar
el incremento a las rutas que se exportan a otro VR.
OSPF metric type Establece el tipo de métrica OSPF de la ruta coincidente a externo tipo 1
o externo tipo 2.
Metric Establece la métrica de la ruta coincidente al valor especificado.
Next-hop of route Establece el siguiente salto de la ruta coincidente a la dirección IP
especificada.
Preserve metric Preserva la métrica de una ruta coincidente que se exporta a otro VR.
Preserve preference Conserva el valor de preferencia de la ruta coincidente que se exporta a
otro VR.
Tag Establece la etiqueta de la ruta coincidente al valor especificado o la
dirección IP.
Filtrado de rutas
El filtrado de rutas le permite controlar qué rutas se admiten en un VR, cuáles se
notifican a los interlocutores y cuáles se redistribuyen de un protocolo de
enrutamiento a otro. Puede aplicar filtros a las rutas entrantes enviadas por un
interlocutor de enrutamiento o a rutas salientes enviadas por el VR de seguridad a
los enrutadores de interlocución. Puede utilizar los siguientes mecanismos de
filtrado:
Lista de acceso BGP AS-path: Un atributo AS-path es una lista de los sistemas
autónomos por los que ha pasado una notificación de ruta y es parte de la
información de ruta. Una lista de acceso AS-path es un conjunto de expresiones
regulares que representan AS específicos. Puede utilizar una lista de acceso
AS-path para filtrar las rutas según el AS por el que ha pasado la ruta. Consulte
“Configuración de una lista de acceso AS-Path” en la página 124 para obtener
información sobre la configuración de una lista de acceso AS-path.
También puede utilizar listas de acceso para controlar el flujo del tráfico multicast.
Para obtener información, consulte “Listas de acceso” en la página 161.
En este ejemplo, creará una lista de acceso en el trust-vr. La lista de acceso tiene las
siguientes características:
WebUI
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):
Introduzca los siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr access-list 2 permit ip 1.1.1.1/24 10
save
WebUI
1. Lista de acceso BGP AS-path
Network > Routing > Virtual Routers > Edit (para el trust-vr) > Edit BGP
Instance > AS Path: Introduzca los siguientes datos y haga clic en Add:
3. Regla de redistribución
Network > Routing > Virtual Router > Edit (para el trust-vr) > Edit OSPF
Instance > Redistributable Rules: Seleccione los siguientes datos y haga clic
en Add:
CLI
1. Lista de acceso BGP AS-path
set vrouter trust-vr protocol bgp as-path-access-list 1 permit _65000_
2. Mapa de rutas
set vrouter trust-vr
device(trust-vr)-> set route-map name mapa_rutas1 permit 10
device(trust-vr/mapa_rutas1-10)-> set match as-path 1
device(trust-vr/mapa_rutas1-10)-> exit
device(trust-vr)-> exit
3. Regla de redistribución
set vrouter trust-vr protocol ospf redistribute route-map mapa_rutas1 protocol
bgp
save
WebUI
trust-vr
1. Lista de accesos
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):
Introduzca los siguientes datos y haga clic en OK:
CLI
trust-vr
1. Lista de accesos
set vrouter trust-vr
device(trust-vr)-> set access-list 2 permit ip 1.1.1.1/24 10
2. Mapa de rutas
device(trust-vr)-> set route-map name mapa_rutas1 permit 10
device(trust-vr/mapa_rutas1-10)-> set match ip 2
device(trust-vr/mapa_rutas1-10)-> exit
3. Regla de exportación
device(trust-vr)-> set export-to vrouter untrust-vr route-map mapa_rutas1
protocol ospf
device(trust-vr)-> exit
save
Si define reglas de importación para el untrust-vr, sólo se importan las rutas que
cumplan las reglas de importación. En este ejemplo, el trust-vr exporta
automáticamente todas las rutas al untrust-vr, pero una regla de importación del
untrust-vr permite que se exporten sólo las rutas de OSPF interno.
WebUI
trust-vr
Network > Routing > Virtual Router > Edit (para el trust-vr): Seleccione Auto
Export Route to Untrust-VR, luego haga clic en OK.
untrust-vr
Network > Routing > Virtual Router > Route Map (para untrust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
CLI
trust-vr
set vrouter trust-vr auto-route-export
untrust-vr
set vrouter untrust-vr
device(untrust-vr)-> set route-map name from-ospf-trust permit 10
device(untrust-vr/from-ospf-trust-10)-> set match route-type internal-ospf
device(untrust-vr/from-ospf-trust-10)-> exit
device(untrust-vr)-> set import-from vrouter trust-vr route-map from-ospf-trust
protocol ospf
device(untrust-vr)-> exit
save
“Áreas” en la página 48
47
Manual de referencia de ScreenOS: Conceptos y ejemplos
Vista general
El protocolo de enrutamiento OSPF (Open Shortest Path First, abrir primero la ruta
más corta) es un protocolo de puerta de enlace interior (IGP) desarrollado para
ejecutarse dentro de un único sistema autónomo. Un enrutador que ejecute OSPF
distribuye su información de estado (como interfaces disponibles para el uso
y accesibilidad por parte de equipos vecinos) inundando periódicamente el sistema
autónomo con notificaciones de estado de conexiones (LSA, link-state
advertisements).
Los enrutadores OSPF utilizan las LSA de los enrutadores contiguos para actualizar
una base de datos de estado de conexiones. Esta base de datos es una tabla que
informa de la topología y el estado de las redes de un área. La distribución
constante de las LSA a través del dominio de enrutamiento permite a todos los
enrutadores de un sistema autónomo disponer de bases de datos de estado de
conexiones idénticas.
Áreas
De forma predeterminada, todos los enrutadores se agrupan en una única área
troncal llamada area 0 o “backbone” (normalmente es el área 0.0.0.0). Sin
embargo, las redes de gran tamaño que se encuentran dispersas geográficamente
se suelen segmentar en múltiples áreas. A medida que la red se amplía, las bases de
datos de estado de conexión también crecen y se dividen en grupos más pequeños
para mejorar su posibilidad de ampliación.
48 Vista general
Capítulo 3: Abrir primero la ruta más corta
Área de ruta interna: área que recibe resúmenes de ruta del área troncal pero
que no recibe notificaciones de estado de conexiones de otras áreas acerca de
enrutadores reconocidos por protocolos distintos a OSPF (BGP, por ejemplo).
Un área de ruta interna se puede considerar un área exclusiva de rutas internas
(totally stubby) si en ella no se admiten rutas de resumen.
Área NSSA: al igual que las áreas de rutas internas normales, las NSSA (Not So
Stubby Area, áreas no exclusivas de rutas internas) no pueden recibir
enrutadores de protocolos distintos de OSPF fuera del área actual. Sin embargo,
los enrutadores externos conocidos dentro del área también se pueden
reconocer en otras áreas, y así pasar a ellas.
Clasificación de enrutadores
Los enrutadores que participan en el enrutamiento OSPF se clasifican de acuerdo
con su función o su posición en la red:
Enrutador de límite de área: enrutador conectado a dos o más áreas. Este tipo
de enrutador resume las rutas desde distintas áreas para su distribución al área
troncal. En los dispositivos de seguridad con OSPF, el área troncal se crea de
forma predeterminada. Si se crea una segunda área en un enrutador virtual, el
dispositivo funcionará como enrutador de límite de área.
Vista general 49
Manual de referencia de ScreenOS: Conceptos y ejemplos
Protocolo de saludo
Dos enrutadores con interfaces en la misma subred se consideran vecinos. Los
enrutadores utilizan el protocolo de saludo para establecer y mantener estas
relaciones de vecindad. Cuando dos enrutadores establecen comunicación
bidireccional, se dice que han establecido una adyacencia. Si dos enrutadores no
establecen una relación de adyacencia, no podrán intercambiar información de
enrutamiento.
Tipos de redes
Los dispositivos de seguridad de Juniper Networks admiten los siguientes tipos de
redes OSPF:
Redes de difusión
Redes de difusión
Una red de difusión (broadcast) es una red que interconecta varios enrutadores y
que puede enviar (o difundir) un único mensaje físico a todos los enrutadores
conectados. Se parte de la base de que dos enrutadores cualesquiera en una red de
difusión son capaces de comunicarse entre sí. Ethernet es un ejemplo de red de
difusión.
Una red que no sea de difusión conecta varios enrutadores entre sí pero no puede
difundir mensajes a los enrutadores conectados. En las redes que no son de
difusión, los paquetes del protocolo OSPF (que normalmente son multidifusión) se
tienen que enviar a cada uno de los enrutadores vecinos. Los dispositivos de
seguridad Juniper Networks no admiten OSPF en redes que no sean de difusión.
50 Vista general
Capítulo 3: Abrir primero la ruta más corta
Distribuido
Tipo de LSA Enviado por en Información enviada en la LSA
LSA de Todos los enrutadores OSPF Área Describe el estado de todas las interfaces de enrutador en
enrutador toda el área.
LSA de red Enrutador designado en redes de Área Contiene una lista de todos los enrutadores conectados a la
difusión y NBMA red.
LSA de Enrutadores de límite de área Área Describe una ruta a un destino fuera del área, pero dentro
resumen del sistema autónomo. Hay dos tipos:
Las LSA de resumen de tipo 3 describen rutas a redes.
Las LSA de resumen de tipo 4 describen rutas limítrofes
con otros sistemas autónomos.
Externo de Enrutador de límite de sistema Sistema Rutas a redes en otro sistema autónomo. A menudo, se
sistema autónomo autónomo trata de la ruta predeterminada (0.0.0.0/0).
autónomo
2. (Opcional) A menos que todas las interfaces OSPF se conecten al área troncal,
tendrá que configurar una nueva área OSPF con su propia ID de área. Por
ejemplo, si el dispositivo de seguridad va a funcionar como enrutador de límite
de área, tendrá que crear otra área OSPF además del área troncal. La nueva
área que se cree podrá ser normal, de rutas internas o no exclusiva de rutas
internas.
3. Asignar una o varias interfaces a cada área OSPF. Las interfaces se deben
agregar a un área OSPF explícitamente, incluyendo el área troncal.
Internet
10.1.1.0/24 10.1.2.0/24
Área 10
Área 0
WebUI
1. ID de enrutador
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes
datos y haga clic en OK:
CLI
1. ID de enrutador
set vrouter trust-vr router-id 10
2. Instancia de enrutamiento OSPF
set vrouter trust-vr protocol ospf
set vrouter trust-vr protocol ospf enable
save
NOTA: En la línea de comandos CLI, tendrá que crear la instancia de enrutamiento OSPF
antes de poder habilitarla. Por lo tanto, tendrá que ejecutar dos comandos CLI
para habilitar una instancia de enrutamiento OSPF.
WebUI
Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance:
Desactive OSPF Enabled, luego haga clic en OK.
Network > Routing > Virtual Routers (trust-vr) > Edit > Delete OSPF
Instance, luego haga clic en OK en el mensaje de confirmación.
CLI
unset vrouter trust-vr protocol ospf
deleting OSPF instance, are you sure? y/[n]
save
Todas las zonas deben conectarse a la zona 0, que se crea al configurar una
instancia de enrutamiento OSPF en el enrutador virtual. Si es necesario crear un
área OSPF adicional, también es posible definirla como área de rutas internas
o área no exclusiva de rutas internas. Si desea más información sobre estos tipos de
áreas, consulte “Áreas” en la página 48.
Valor
Parámetro de área Descripción predeterminado
Metric for default route (Sólo áreas NSSA y de rutas internas.) Especifica 1
la métrica para la notificación de ruta
predeterminada
Metric type for the default (Sólo área NSSA.) Especifica el tipo de métrica 1
route externa (1 ó 2) para la ruta predeterminada
No summary (Sólo áreas NSSA y de rutas internas.) Especifica Las LSA de
que las LSA de resumen no se difundirán por el resumen se
área difunden por el
área
Range (Todas las áreas.) Especifica un rango de —
direcciones IP que se notificarán en las LSA de
resumen, y si éstas se notificarán o no
WebUI
Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance
> Area: Introduzca los siguientes datos y haga clic en OK:
Area ID: 10
Type: normal (seleccione)
Action: Add
CLI
set vrouter trust-vr protocol ospf area 10
save
WebUI
Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance:
Elimine la selección OSPF Enabled, luego haga clic en OK.
Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance
> Area: Haga clic en Remove.
CLI
unset vrouter trust-vr protocol ospf enable
unset vrouter trust-vr protocol ospf area 0.0.0.10
save
WebUI
Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance
> Area > Configure (Area 10): Utilice el botón Add para mover la interfaz
ethernet1 de la columna Available Interface(s) a la columna Selected Interfaces.
Haga clic en OK.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance > Area > Configure (Area 0): Utilice el botón Add para mover la
interfaz ethernet3 de la columna Available Interface(s) a la columna Selected
Interfaces. Haga clic en OK.
CLI
set interface ethernet1 protocol ospf area 10
set interface ethernet3 protocol ospf area 0
save
En el siguiente ejemplo definirá los siguientes rangos de áreas para el area 10:
10.1.1.0/24, se notificará.
10.1.2.0/24, no se notificará.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance > Area > Configure (0.0.0.10): Introduzca los siguientes datos en la
sección Area Range y haga clic en Add:
IP/Netmask: 10.1.1.0/24
Type: (seleccione) Advertise
Introduzca los siguientes datos en la sección Area Range y haga clic en Add:
IP/Netmask: 10.1.2.0/24
Type: (seleccione) No Advertise
CLI
set vrouter trust-vr protocol ospf area 10 range 10.1.1.0/24 advertise
set vrouter trust-vr protocol ospf area 10 range 10.1.2.0/24 no-advertise
save
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Seleccione Enable
Protocol OSPF, luego haga clic en Apply.
Network > Interfaces > Edit (para ethernet3) > OSPF: Seleccione Enable
Protocol OSPF, luego haga clic en Apply.
CLI
set interface ethernet1 protocol ospf enable
set interface ethernet3 protocol ospf enable
save
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Elimine Enable
Protocol OSPF, luego haga clic en Apply.
CLI
unset interface ethernet1 protocol ospf enable
save
Verificación de la configuración
Puede ver la configuración introducida para trust-vr ejecutando el siguiente
comando CLI:
Las zonas resaltadas muestran que OSPF se está ejecutando y verifican las zonas
OSPF activas y las interfaces activas en cada zona OSPF.
Puede verificar si OSPF está habilitado en las interfaces y ver el estado de las
interfaces con el comando get vrouter trust-vr protocol ospf interface.
Rutas importadas
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic
en Add:
CLI
set vrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp
save
En ocasiones, una ruta resumida puede crear oportunidades para que se produzcan
bucles. Puede configurar una ruta hacia una interfaz NULL para evitar bucles. Al
final de esta sección encontrará un ejemplo de creación de una ruta resumida y un
ejemplo de establecer una interfaz NULL.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic
en Add:
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance > Summary Import: Introduzca los siguientes datos y haga clic
en Add:
IP/Netmask: 2.1.1.0/24
CLI
set vrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp
set vrouter trust-vr protocol ospf summary-import ip 2.1.1.0/24
save
Parámetros Valor
globales de OSPF Descripción predeterminado
Advertise default Especifica que una ruta predeterminada activa La ruta
route (0.0.0.0/0) en la tabla de rutas del enrutador virtual predeterminada no
se notifica en todas las áreas OSPF. También es se notifica.
posible especificar el valor de métrica o si la métrica
original de la ruta se preservará, así como el tipo de
métrica (ASE tipo 1 o tipo 2). También se puede
especificar que la ruta predeterminada siempre se
notifique.
Reject default route Especifica que cualquier ruta predeterminada La ruta
reconocida en OSPF no se agregará a la tabla de predeterminada
rutas. reconocida en
OSPF se agrega a la
tabla de rutas.
Automatic virtual Especifica que el VR creará una conexión virtual Desactivado.
link automáticamente si no puede acceder al área troncal
de OSPF.
Maximum hello Especifica el número máximo de paquetes de saludo 10.
packets OSPF que el VR puede recibir en un intervalo de
saludo.
Maximum LSA Especifica el número máximo de paquetes LSA de No hay valor
packets OSPF que el VR puede recibir dentro del intervalo en predeterminado.
segundos especificado.
RFC 1583 Especifica que la instancia de enrutamiento OSPF es OSPF versión 2, tal
compatibility compatible con la norma RFC 1583, una versión y como se define
anterior de OSPF. en RFC 2328.
Enrutamiento Especifica el número máximo de rutas (1-4) a utilizar Disabled (1).
multidireccional de para equilibrar cargas con los destinos que tengan
igual coste (ECMP) múltiples rutas de igual coste. Consulte la
“Configuración del enrutamiento multidireccional de
igual coste” en la página 36.
Virtual link Configura el área OSPF y la ID de enrutador para la No hay conexión
configuration conexión virtual. De forma opcional también puede virtual configurada.
configurar el método de autenticación, el intervalo de
saludo y el de retransmisión, el retardo de
transmisión o el intervalo de interlocutor muerto
para la conexión virtual.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance: Seleccione Advertising Default Route Enable, luego haga clic en OK.
CLI
set vrouter trust-vr protocol ospf advertise-default-route metric 1 metric-type 1
save
Conexiones virtuales
Aunque todas las áreas deben estar conectadas directamente al área troncal,
algunas veces debe crear un área nueva que no se puede conectar físicamente al
área troncal. Para resolver este problema se puede configurar una conexión virtual.
Una conexión virtual proporciona un área remota con una ruta lógica al área troncal
a través de otra área.
La ID del área OSPF que va a cruzar la conexión virtual. No es posible crear una
conexión virtual que cruce el área troncal o un área de rutas internas.
Parámetro de
conexión Valor
virtual Descripción predeterminado
Authentication Especifica la autenticación por contraseña de texto no Sin autenticación
encriptado o la autenticación MD5.
Dead interval Especifica el intervalo en segundos en que no se 40 segundos
producirá respuesta desde un dispositivo OSPF vecino
antes de que se determine que éste no funciona.
Hello interval Especifica el tiempo en segundos entre dos saludos 10 segundos
OSPF.
Parámetro de
conexión Valor
virtual Descripción predeterminado
Retransmit Especifica el tiempo en segundos que transcurrirá antes 5 segundos
interval de que la interfaz reenvíe una LSA a un vecino que no
respondió a la primera LSA.
Transmit delay Especifica el tiempo en segundos entre las 1 segundo
transmisiones de paquetes de actualización de estado
de conexión enviados a una interfaz.
Área 0
Área 10 Dispositivo B
ethernet1 ethernet2
ID de Internet
enrutador
Dispositivo A ethernet 1 10.1.1.250
ID de
enrutador El dispositivo-A y el dispositivo-B
10.1.1.250 tienen una conexión virtual entre sí
ethernet 2
a través del área OSPF 10.
Área 20
NOTA: Debe habilitar OSPF en ambas interfaces de cada dispositivo y cerciorarse de que
OSPF se esté ejecutando en las interfaces de los dispositivos A y B antes de que la
conexión virtual se active.
WebUI (dispositivo-A)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance > Virtual Link: Introduzca los siguientes datos y haga clic en Add:
CLI (dispositivo-A)
set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.1.1.250
set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.1.1.250 transit-delay
10
save
NOTA: En la interfaz CLI, primero tendrá que crear la conexión virtual y, a continuación,
configurar cualquier parámetro opcional para la conexión. Así, en el ejemplo
anterior, tendrá que ejecutar dos comandos distintos para crear y después
configurar la conexión virtual.
WebUI (dispositivo-B)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance > Virtual Link: Introduzca los siguientes datos y haga clic en Add:
Area ID: 10
Router ID: 10.10.1.250
CLI (dispositivo-B)
set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.10.1.250
set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.10.1.250
transit-delay 10
save
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance: Seleccione Automatically Generate Virtual Links, luego haga clic
en OK.
CLI
set vrouter trust-vr protocol ospf auto-vlink
save
Parámetro
OSPF de
interfaz Descripción Valor predeterminado
Authentication Especifica si la comunicación OSPF de la interfaz se No se utiliza
verificará mediante autenticación por contraseña de autenticación.
texto no encriptado o por MD5 (Message Digest 5).
La contraseña de texto no encriptado debe ser una
cadena de hasta 8 dígitos, mientras que la
contraseña para autenticación MD5 puede ser una
cadena de hasta 16 dígitos. Para la contraseña MD5
también es necesario que se configuren cadenas
clave.
Cost Especifica la métrica de la interfaz. El coste 1 para una conexión de
asociado a una interfaz depende del ancho de 100 MB o más
banda de la conexión que tenga establecida dicha 10 para una conexión de
interfaz. Cuanto mayor sea el ancho de banda, 10 MB
menor será el valor del coste (preferible). 100 para una conexión
de 1 MB
Dead interval Especifica el intervalo en segundos en que no se 40 segundos.
producirá respuesta desde un dispositivo OSPF
vecino antes de que OSPF determine que no
funciona.
Hello interval Especifica el intervalo en segundos que transcurrirá 10 segundos.
entre el envío de un paquete de saludo a la red y el
siguiente.
Link type Especifica una interfaz de túnel como vínculo punto Las interfaces Ethernet
a punto o como vínculo punto a multipunto. se tratan como interfaces
Consulte la “Interfaz de túnel punto a multipunto” de difusión.
en la página 71. De forma
predeterminada, las
interfaces de túnel
asociadas a las zonas
OSPF son punto a punto.
Neighbor list Especifica subredes, en forma de lista de acceso, en Ninguna (las adyacencias
las que residen vecinos OSPF que pueden utilizarse se forman con todos los
para formar adyacencias. vecinos de la interfaz).
Passive Especifica que la dirección IP de la interfaz se Las interfaces con OSPF
Interface notificará en el dominio OSPF como ruta OSPF y no habilitado transmiten
como ruta externa, pero que la interfaz no y reciben paquetes OSPF.
transmitirá ni recibirá paquetes OSPF. Esta opción
resulta útil cuando en la interfaz también se ha
habilitado BGP.
Priority Especifica la prioridad del enrutador virtual que se 1.
elegirá: enrutador designado o enrutador designado
de respaldo. El enrutador con el valor de prioridad
más alto tiene más posibilidades de ser elegido
(aunque no se garantiza).
Retransmit Especifica el tiempo en segundos que transcurrirá 5 segundos.
interval antes de que la interfaz reenvíe una LSA a un vecino
que no respondió a la primera LSA.
Parámetro
OSPF de
interfaz Descripción Valor predeterminado
Transit delay Especifica el tiempo en segundos entre las 1 segundo.
transmisiones de paquetes de actualización de
estado de conexión enviados a la interfaz.
Demand circuit (Sólo interfaces de túnel) Configura una interfaz de Desactivado.
túnel como circuito de demanda, según RFC 1793.
Consulte “Creación de un circuito de demanda
OSPF en una interfaz de túnel” en la página 71.
Reduce flooding Especifica la reducción de inundaciones LSA en un Desactivado.
circuito de demanda.
Ignore MTU Especifica que se pase por alto cualquier Desactivado.
incoherencia en los valores de la unidad de
transmisión máxima (MTU) entre las interfaces
locales y remotas que se encuentre durante las
negociaciones de la base de datos OSPF será
ignorada. Esta opción sólo debe utilizarse cuando la
MTU de la interfaz local sea más lenta que la MTU
de la interfaz remota.
NOTA: Para formar adyacencias, todos los enrutadores OSPF de un área deben utilizar los
mismos valores en el intervalo de saludo, el intervalo muerto y el intervalo de
retransmisión.
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los
siguientes datos, luego haga clic en Apply:
Hello Interval: 15
Retransmit Interval: 7
Transit Delay: 2
CLI
set interface ethernet1 protocol ospf hello-interval 15
set interface ethernet1 protocol ospf retransmit-interval 7
set interface ethernet1 protocol ospf transit-delay 2
save
Configuración de seguridad
En esta sección se describen posibles problemas de seguridad en el dominio de
enrutamiento OSPF y métodos de prevención de ataques.
NOTA: Para que OSPF sea más seguro, todos los enrutadores de un dominio OSPF deben
configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador
OSPF peligroso podría llegar a dejar fuera de línea todo el domino de
enrutamiento OSPF.
Autenticación de vecinos
Un enrutador OSPF se puede suplantar fácilmente, ya que las LSA no se encriptan
y la mayoría de los analizadores de protocolo permiten desencapsular paquetes
OSPF. La mejor forma de acabar con el riesgo de este tipo de ataques será
autenticando los vecinos OSPF.
OSPF ofrece dos formas de validar los paquetes OSPF recibidos de los vecinos: por
autenticación de contraseña simple y por autenticación MD5. Todos los paquetes
OSPF recibidos en la interfaz que no se autentiquen se descartarán. De forma
predeterminada, ninguna interfaz OSPF tiene la autenticación habilitada.
Para la autenticación MD5 se necesita la misma clave utilizada para los enrutadores
OSPF de envío y recepción. Puede especificar más de una clave MD5 en el
dispositivo de seguridad, cada una de las cuales tendrá su propia clave. Si configura
varias claves MD5 en el dispositivo de seguridad, podrá seleccionar un identificador
para la clave que se utilizará para autenticar las comunicaciones con el enrutador
vecino. De esta forma es posible cambiar periódicamente las claves MD5 por
parejas de enrutadores minimizando el riesgo de que algún paquete se descarte.
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los
siguientes datos, luego haga clic en Apply:
CLI
set interface ethernet1 protocol ospf authentication password 12345678
save
Configuración de seguridad 67
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los
siguientes datos, luego haga clic en Apply:
Authentication:
MD5 Keys: (seleccione)
1234567890123456
9876543210987654
Key ID: 1
Preferred: (seleccione)
CLI
set interface ethernet1 protocol ospf authentication md5 1234567890123456
set interface ethernet1 protocol ospf authentication md5 9876543210987654
key-id 1
set interface ethernet1 protocol ospf authentication md5 active-md5-key-id 1
save
WebUI
Network > Routing > Virtual Router (trust-vr) > Access List > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los
siguientes datos, luego haga clic en Apply:
Neighbor List: 4
68 Configuración de seguridad
Capítulo 3: Abrir primero la ruta más corta
CLI
set vrouter trust-vr access-list 4
set vrouter trust-vr access-list 4 permit ip 10.10.10.130/27 10
set interface ethernet1 protocol ospf neighbor-list 4
save
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance: Seleccione la casilla de verificación Do Not Add Default-route
Learned in OSPF, luego haga clic en OK.
CLI
set vrouter trust-vr protocol ospf reject-default-route
save
Configuración de seguridad 69
Manual de referencia de ScreenOS: Conceptos y ejemplos
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance: Introduzca los siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr protocol ospf hello-threshold 20
save
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance: Introduzca los siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr protocol ospf lsa-threshold 20 10
save
WebUI
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes
datos, luego haga clic en Apply:
CLI
set interface tunnel.1 protocol ospf reduce-flooding
save
70 Configuración de seguridad
Capítulo 3: Abrir primero la ruta más corta
NOTA: Deberá configurar la interfaz de túnel del interlocutor remoto como un circuito de
demanda. Sin embargo, no necesita configurar la inundación LSA reducida en el
interlocutor remoto.
WebUI
Network > Interfaces > Edit > OSPF: Introduzca los siguientes datos, luego
haga clic en Apply:
CLI
set interface tunnel.1 protocol ospf demand-circuit
save
NOTA: Debe configurar una interfaz de túnel como interfaz punto a multipunto antes de
habilitar OSPF en la interfaz. Una vez configurada la interfaz como interfaz punto
a multipunto, ya no podrá configurarla como circuito de demanda (consulte
“Creación de un circuito de demanda OSPF en una interfaz de túnel” en la
página 71). No obstante, puede configurar la interfaz para la inundación LSA
reducida.
Configurar una red con una interfaz de túnel de punto a multipunto (consulte
“Creación de una red punto a multipunto” en la página 73)
WebUI
Network > Interface > Edit > OSPF: Seleccione Point-to-Multipoint de la lista
de botones de opción “Link Type”.
CLI
set interface tunnel.1 protocol ospf link-type p2mp
save
WebUI
CLI
unset interface tunnel.1 route-deny
save
Los valores de temporizadores para todos los dispositivos deben coincidir para que
las adyacencias puedan formarse. La Figura 12 muestra el escenario descrito de la
red.
VPN 2 VPN 3
Internet
VPN 1 VPN 4
2. VPN
3. Rutas y OSPF
1. Interfaz y OSPF
2. VPN
3. Directiva
Network > Interfaces > Edit (para ethernet3) y configure la zona y la dirección
IP.
Network > Interface > Edit (para tunnel.1) > OSPF: Seleccione
Point-to-Multipoint de la lista de botones de opción “Link Type”.
2. VPN
VPNs > AutoKey Advanced > Gateway
3. Rutas y OSPF
Network > Routing > Virtual Routers > Haga clic en Edit para el enrutador
virtual y configure los parámetros de OSPF.
3. Rutas y OSPF
set vrouter trust router-id 10
set vrouter trust protocol ospf
set vrouter trust protocol ospf enable
set interface tunnel.1 protocol ospf area 0
set interface tunnel.1 protocol ospf enable
set interface tunnel.1 protocol ospf link-type p2mp
unset interface tunnel.1 route-deny
save
2. VPN
VPNs > AutoKey Advanced > Gateway
3. Directiva
Directivas (de todas las zonas a todas las zonas) > Haga clic en New
2. VPN
set ike gateway gw1 address 1.1.1.1/24 main outgoing-interface untrust preshare
ospfp2mp proposal pre-g2-3des-sha
set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha
set vpn vpn1 monitor rekey
set vpn vpn1 id 1 bind interface tunnel.1
3. Directiva (configure como sea necesario)
set policy id 1 from trust to untrust any any any permit
set policy id 2 from untrust to trust any any any permit
save
Puede ver los nuevos cambios ejecutando el comando get vrouter enrut_virtual
protocol ospf config.
79
Manual de referencia de ScreenOS: Conceptos y ejemplos
Vista general
El protocolo de información de enrutamiento RIP (Routing information protocol) es
un protocolo de vector distancia que se utiliza como protocolo de puerta de enlace
interior (IGP) en sistemas autónomos (AS) de tamaño moderado. ScreenOS admite
la versión 2 de RIP (RIPv2) tal como se define en la norma RFC 2453. Mientras que
RIPv2 sólo admite la autenticación de contraseña simple (texto sin formato), la
implementación RIP de ScreenOS también admite extensiones de autenticación
MD5, tal como se definen en la norma RFC 2082.
El protocolo RIP no está diseñado para grandes redes o para redes en las que las
rutas se eligen en función de parámetros en tiempo real, como carga, fiabilidad
o retardo medido. El protocolo RIP admite redes punto a punto (utilizadas con VPN)
y redes Ethernet de difusión/multidifusión (broadcast/multicast). El protocolo RIP
admite las conexiones de "punto a multipunto" a través de las interfaces de túnel
con o sin tener configurado un circuito de demanda. Para obtener más información
sobre circuitos de demanda, consulte “Circuitos de demanda en interfaces de túnel”
en la página 101.
80 Vista general
Capítulo 4: Protocolo de información de enrutamiento
La base de datos de enrutamiento RIP contiene una entrada para cada destino que
sea accesible a través de la instancia de enrutamiento RIP. La base de datos de
enrutamiento RIP incluye la siguiente información:
Dirección IP del primer enrutador de la ruta hacia el destino (el siguiente salto).
En esta sección se describen los pasos básicos para configurar el protocolo RIP en
un dispositivo de seguridad:
3. Habilitar RIP en las interfaces que conectan con otros enrutadores RIP.
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit: Escriba una Virtual
Router ID y luego seleccione Create RIP Instance.
CLI
1. ID de enrutador
set vrouter trust-vr router-id 10
2. Instancia de enrutamiento de RIP
set vrouter trust-vr protocol rip
set vrouter trust-vr protocol rip enable
save
NOTA: En CLI, el proceso de crear una instancia de enrutamiento RIP se realiza en dos
etapas. Cree la instancia RIP y, a continuación, habilite RIP.
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance:
Anule la selección de Enable RIP y haga clic en OK.
Network > Routing > Virtual Router (trust-vr) > Edit > Delete RIP Instance
y luego haga clic en OK en el mensaje de confirmación.
CLI
unset vrouter trust-vr protocol rip enable
unset vrouter trust-vr protocol rip
save
WebUI
Network > Interface > Edit (para Trust) > RIP: Seleccione Protocol RIP
Enable, luego haga clic en Apply.
CLI
set interface trust protocol rip enable
save
WebUI
Network > Interface (para Trust) > RIP: Elimine el Protocol RIP Enable, luego
haga clic en Apply.
CLI
unset interface trust protocol rip enable
unset interface trust protocol rip
save
Redistribución de rutas
La redistribución de rutas es el intercambio de información sobre rutas entre
protocolos de enrutamiento. Por ejemplo, los siguientes tipos de rutas se pueden
redistribuir en la instancia de enrutamiento de RIP de un mismo enrutador virtual
(VR):
Rutas importadas
Es necesario configurar un mapa de rutas para filtrar las rutas distribuidas. Para
obtener más información sobre la creación de mapas de rutas para la
redistribución, consulte “Enrutamiento” en la página 13.
Las rutas importadas en RIP a partir de otros protocolos tienen un valor métrico
predeterminado de 10. Este valor se puede modificar (consulte “Parámetros
globales de RIP” en la página 89).
WebUI
Network > Routing > Virtual Router (trust-vr) > Access List > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router (trust-vr) > Route Map > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance >
Redistributable Rules: Introduzca los siguientes datos y haga clic en Add:
CLI
set vrouter trust-vr access-list 20 permit ip 20.1.0.0/16 1
set vrouter trust-vr route-map name rtmap1 permit 1
set vrouter trust-vr route-map rtmap1 1 match ip 20
set vrouter trust-vr protocol rip redistribute route-map rtmap1 protocol static
save
Vecinos
WebUI
CLI
get vrouter trust-vr protocol rip database prefix 10.10.10.0/24
save
Los indicadores (flags) pueden ser uno o varios de los siguientes: multidireccional
(M), RIP (R), redistribuido (I), notificado de forma predeterminada (D), permanente
(P), resumen (S), inaccesible (U) o retención (H).
WebUI
CLI
get vrouter trust-vr protocol rip
Puede visualizar los valores de RIP, los detalles del paquete, la información del
temporizador RIP y una tabla de interfaz resumida.
WebUI
CLI
get vrouter trust-vr protocol rip neighbors
Antigüedad de la entrada
Tiempo de vencimiento
Indicadores: estática (S), circuito de demanda (T), NHTB (N), fuera de línea (D),
en línea (U), sondeo (P) o inicio de circuito de demanda (I)
WebUI
NOTA: Debe utilizar la CLI para visualizar los detalles de la interfaz RIP.
CLI
get interface tunnel.1 protocol rip neighbor 10.10.10.2
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance:
Introduzca los siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr protocol rip advertise-def-route metric number 5
save
NOTA: Consulte el Manual ScreenOS CLI Reference Guide: IPv4 Command Descriptions para
obtener más información sobre los parámetros globales que puede configurar en
el contexto del protocolo de enrutamiento de RIP.
Puede definir mapas de rutas de entrada y salida en el nivel del enrutador virtual
o en el nivel de la interfaz. Un mapa de rutas definido en el nivel de la interfaz tiene
preferencia sobre un mapa de rutas definido en el nivel del enrutador virtual. Por
ejemplo, si define un mapa de rutas de entrada en el nivel del enrutador virtual
y otro mapa de rutas de entrada en el nivel de la interfaz, éste último tendrá
preferencia sobre el primero. Para obtener más información, consulte
“Configuración de un mapa de rutas” en la página 39.
WebUI
Network > Interfaces > Edit (para Trust) > RIP: Introduzca los siguientes
datos y haga clic en OK:
CLI
set interface trust protocol rip authentication md5 1234567898765432 key-id
215
set interface trust protocol rip split-horizon poison-reverse
save
Configuración de seguridad
En esta sección se describen posibles problemas de seguridad en el dominio de
enrutamiento RIP y métodos de prevención de ataques.
NOTA: Para que RIP sea más seguro, todos los enrutadores de un dominio RIP deben
configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador
RIP comprometido podría llegar a dejar inservible todo el domino de
enrutamiento RIP.
RIP ofrece dos formas de validar los paquetes RIP recibidos de los vecinos: por
autenticación de contraseña simple y por autenticación MD5. Todos los paquetes
RIP recibidos en la interfaz que no se autentiquen se descartarán. De forma
predeterminada, ninguna interfaz RIP tiene la autenticación habilitada.
Para la autenticación MD5 es necesario utilizar la misma clave para los enrutadores
RIP de envío y recepción. Puede especificar más de una clave MD5 en el dispositivo
de seguridad, cada una de las cuales tendrá su propia clave. Si configura varias
claves MD5 en el dispositivo de seguridad, podrá seleccionar un identificador para
la clave que se utilizará para autenticar las comunicaciones con el enrutador vecino.
De esta forma es posible cambiar periódicamente las claves MD5 por parejas de
enrutadores minimizando el riesgo de que algún paquete se descarte.
En el siguiente ejemplo, creará dos claves MD5 distintas para la interfaz ethernet1
y seleccionará una de ellas para que sea la clave activa. El identificador de clave
predeterminado es 0, de forma que no tendrá que especificar el identificador para
la primera clave MD5 que introduzca.
92 Configuración de seguridad
Capítulo 4: Protocolo de información de enrutamiento
WebUI
Network > Interfaces > Edit (para ethernet1) > RIP: Introduzca los siguientes
datos, luego haga clic en Apply:
CLI
set interface ethernet1 protocol rip authentication md5 1234567890123456
set interface ethernet1 protocol rip authentication md5 9876543210987654
key-id 1
set interface ethernet1 protocol rip authentication md5 active-md5-key-id 1
save
WebUI
Network > Routing > Virtual Router (trust-vr) > Access List > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance:
Introduzca los siguientes datos y haga clic en OK:
Configuración de seguridad 93
Manual de referencia de ScreenOS: Conceptos y ejemplos
CLI
set vrouter trust-vr
device(trust-vr)-> set access-list 10 permit ip 10.1.1.1/32 1
device(trust-vr)-> set protocol rip
device(trust-vr/rip)-> set max-neighbor-count 1
device(trust-vr/rip)-> set trusted-neighbors 10
device(trust-vr/rip)-> exit
device(trust-vr)-> exit
save
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance:
Introduzca los siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr protocol rip reject-default-route
save
94 Configuración de seguridad
Capítulo 4: Protocolo de información de enrutamiento
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance:
Introduzca los siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr protocol rip threshold-update 4
save
10.10.0.0/16 2.2.2.2/16
Túnel VPN
WebUI
Network > Routing > Virtual Router > Edit (para trust-vr) > Create RIP
Instance: Seleccione Enable RIP y haga clic en OK.
Network > Routing > Virtual Router > Access List (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Configuración de seguridad 95
Manual de referencia de ScreenOS: Conceptos y ejemplos
Network > Routing > Virtual Router > Route Map (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP
Instance: Seleccione los siguientes datos y haga clic en OK:
Network > Interfaces > Edit (para tunnel.1) > RIP: Introduzca los siguientes
datos, luego haga clic en Apply:
Network > Interfaces > Edit (para trust) > RIP: Introduzca los siguientes
datos, luego haga clic en Apply:
CLI
set vrouter trust-vr protocol rip
set vrouter trust-vr protocol rip enable
set interface tunnel.1 protocol rip enable
set interface trust protocol rip enable
set vrouter trust-vr access-list 10 permit ip 10.10.0.0/16 10
set vrouter trust-vr route-map name abcd permit 10
set vrouter trust-vr route-map abcd 10 match ip 10
set vrouter trust-vr protocol rip route-map abcd out
save
WebUI
Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP
Instance: Seleccione V1 for Version, luego haga clic en Apply.
Network > Interfaces > Edit (para ethernet3) > RIP: Seleccione V2 for
Sending and Receiving in Update Version, luego haga clic en Apply.
CLI
set vrouter trust-vr protocol rip version 1
set interface ethernet3 protocol rip receive-version v2
set interface ethernet3 protocol rip send-version v2
save
En ocasiones, una ruta resumida puede crear oportunidades para que se produzcan
bucles. Puede configurar una ruta hacia una interfaz NULL para evitar bucles. Para
obtener más información sobre cómo establecer una interfaz NULL, consulte“Evitar
bucles creados por las rutas resumidas” en la página 11.
WebUI
Network > Routing > Virtual Routers > Edit (for trust-vr) > Edit RIP Instance
> Summary IP: Introduzca los siguientes datos y haga clic en Add:
Network > Interface > Edit (for ethernet3) > RIP: Seleccione Summarization,
luego haga clic en Apply.
CLI
set vrouter trust-vr protocol rip summary-ip 10.1.0.0/16
set interface ethernet3 protocol rip summary-enable
save
WebUI
Network > Interfaces > Edit > RIP: Desactive Summarization, luego haga clic
en Apply.
CLI
unset vrouter trust-vr protocol rip summary-ip 10.1.0.0/16
unset interface ethernet3 protocol rip summary-enable
save
NOTA: Recomendamos el uso de rutas alternativas con los circuitos de demanda. Para
obtener más información sobre los circuitos de demanda, consulte “Circuitos de
demanda en interfaces de túnel” en la página 101.
Puede visualizar la base de datos RIP ejecutando este comando CLI: get vrouter
enrut_virtual protocol rip database. En el ejemplo siguiente, el número de rutas
alternativas para la base de datos RIP se ajusta a un número mayor que 0. La base
de datos RIP muestra dos entradas para el prefijo 10.10.70.0/24 en la base de datos
RIP, una con un coste de 2 y otra con un coste de 4. La mejor ruta para el prefijo, la
ruta con el coste más bajo, se incluye en la tabla de enrutamiento de VR.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit RIP
Instance: Introduzca 1 en el campo Maximum Alternative Route, luego haga clic
en Apply.
CLI
set vrouter trust-vr protocol rip alt-route 1
save
Una ruta que antes estaba accesible pasa a estar inaccesible en una respuesta
entrante
El túnel VPN queda fuera de línea o el circuito de demanda está fuera de línea
debido a un número excesivo de retransmisiones no reconocidas
Debe configurar la supervisión de VPN con reencriptación en los túneles VPN para
aprender el estado del túnel.
WebUI
Network > Interfaces > Edit > RIP: Seleccione Demand Circuit, luego haga
clic en Apply.
CLI
set interface tunnel.1 protocol rip demand-circuit
save
WebUI
Network > Interfaces > (Edit) RIP: Haga clic en el botón Static Neighbor IP
para avanzar a la tabla Static Neighbor IP. Introduzca la dirección IP del vecino
estático y haga clic en Add.
CLI
set interface tunnel.1 protocol rip neighbor 10.10.10.2
unset interface tunnel.1 protocol rip neighbor 10.10.10.2
save
Si desea configurar RIP como túnel punto a multipunto con circuitos de demanda,
debe diseñar su red en una configuración radial “hub and spoke”.
La red de este ejemplo pertenece a una empresa de tamaño mediano con su oficina
central (OC) en San Francisco y delegaciones en Chicago, Los Angeles, Montreal
y Nueva York. Cada oficina tiene un solo dispositivo de seguridad. Consulte la
Figura 14 en la página 104.
VPN 2 VPN 3
Internet
VPN 4
VPN 1
2. VPN
3. Rutas y RIP
4. Vecinos estáticos
5. Ruta de resumen
2. VPN
3. Rutas y RIP
4. Vecinos estáticos
5. Ruta de resumen
2. VPN
VPNs > AutoKey Advanced > Gateway
3. Rutas y RIP
Network > Routing > Virtual Routers > Haga clic en Edit para el enrutador
virtual y haga clic en Create RIP Instance, luego habilite RIP en el enrutador
virtual.
Network > Interfaces > Edit > Haga clic en Edit y luego haga clic en RIP,
posteriormente habilite RIP en la interfaz.
4. Vecinos estáticos
Network > Interfaces > Edit > RIP > Static Neighbor IP y luego en Add
Neighbor IP Address.
5. Ruta de resumen
Network > Routing > Virtual Router Edit (RIP) > Haga clic en Summary IP
y configure la dirección IP del resumen.
set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha
set vpn vpn1 monitor rekey
set vpn vpn1 bind interface tunnel.1
set vpn vpn2 gateway gw2 no-replay tunnel idletime 0 proposal g2-esp-3des-sha
set vpn vpn2 monitor rekey
set vpn vpn2 bind interface tunnel.1
set vpn vpn3 gateway gw3 no-replay tunnel idletime 0 proposal g2-esp-3des-sha
set vpn vpn3 monitor rekey
set vpn vpn3 bind interface tunnel.1
set vpn vpn4 gateway gw4 no-replay tunnel idletime 0 proposal g2-esp-3des-sha
set vpn vpn4 monitor rekey
set vpn vpn4 bind interface tunnel.1
3. Rutas y RIP
set vrouter trust protocol rip
set vrouter trust protocol rip enable
set vrouter protocol rip summary-ip 100.10.0.0/16
2. VPN
VPNs > AutoKey Advanced > Gateway
3. Rutas y RIP
Network > Routing > Virtual Routers > Haga clic en Edit para el enrutador
virtual y haga clic en Create RIP Instance, luego habilite RIP en el enrutador
virtual.
Network > Interfaces > Edit > Haga clic en Edit y luego haga clic en RIP,
posteriormente habilite RIP en la interfaz.
Puede ver los nuevos cambios ejecutando el comando get vrouter enrut_virtuale
protocol rip neighbors. Los vecinos de un circuito de demanda aparecen en la tabla
de vecinos; la información del vecino no envejece ni expira. Puede ver la base de
datos RIP ejecutando el comando get vrouter enrut_virtuale protocol rip database.
Aparece una P de permanent junto a las entradas de los circuitos de demanda.
109
Manual de referencia de ScreenOS: Conceptos y ejemplos
Vista general
El protocolo BGP es un protocolo de vectores de rutas que se utiliza para transportar
información de enrutamiento entre sistemas autónomos (AS). Un AS es un conjunto
de enrutadores que se encuentran en el mismo dominio administrativo.
Dos interlocutores BGP establecen una sesión BGP para intercambiar información de
enrutamiento. Un enrutador BGP puede participar en sesiones BGP con distintos
interlocutores. En primer lugar, los interlocutores BGP deben establecer una
conexión TCP entre sí para abrir una sesión BGP. Una vez establecida la conexión
inicial, los interlocutores intercambian las tablas de enrutamiento completas.
A medida que cambian las tablas de enrutamiento, los enrutadores BGP
intercambian mensajes de actualización con los interlocutores. Cada enrutador BGP
mantiene actualizadas las tablas de enrutamiento de todos los interlocutores con los
que tiene sesiones, enviándoles periódicamente mensajes de mantenimiento de
conexión para verificar las conexiones.
El interlocutor BGP sólo notifica las rutas que está utilizando en ese momento.
Cuando un interlocutor BGP notifica una ruta a su vecino, incluye atributos de ruta
que describen sus características. El enrutador BGP compara los atributos de ruta
y el prefijo para elegir la mejor ruta de todas las disponibles para un destino
determinado.
Atributos de ruta
Los atributos de ruta BGP son un grupo de parámetros que describen las
características de una ruta. El protocolo BGP empareja los atributos con la ruta que
describen y, a continuación, compara todas las rutas disponibles para un destino
para así seleccionar la mejor ruta de acceso a ese destino. Los atributos de ruta
obligatorios y bien conocidos son:
Origin describe el origen de la ruta (puede ser IGP, EGP o estar incompleto).
Multi-Exit Discriminator (MED) es una métrica para aquellas rutas en las que
hay múltiples vínculos entre sistemas autónomos (un AS configura el MED
y otro AS lo utiliza para elegir una ruta).
Cluster List contiene una lista de los clústeres de reflexión a través de los
cuales ha pasado la ruta.
Un enrutador BGP puede decidir si desea agregar o modificar los atributos de ruta
opcionales antes de notificársela a los interlocutores.
Algunos atributos de ruta sólo son aplicables a EBGP o a IBGP. Por ejemplo, el
atributo MED sólo se utiliza en mensajes EBGP, mientras que el atributo
LOCAL-PREF sólo está presente en mensajes IBGP.
Esta sección describe cómo realizar cada una de estas tareas utilizando CLI o WebUI
para el siguiente ejemplo. La Figura 15 muestra el dispositivo de seguridad como un
interlocutor BGP en AS 65000. Tiene que configurar el dispositivo de seguridad para
que pueda establecer una sesión BGP con el interlocutor en AS 65500.
AS 65000 AS 65500
Dirección IP de ID de enrutador
ID del enrutador Dirección IP de interfaz 2.2.2.2/24 2.2.2.250
1.1.1.250 interfaz 1.1.1.1/24 BGP habilitado
BGP habilitado
Interlocutores BGP
NOTA: Los números de sistemas autónomos (AS) son números únicos a nivel global que
se utilizan para intercambiar información de enrutamiento EBGP y para identificar
el sistema autónomo. Las siguientes entidades asignan números de AS: American
Registry for Internet Numbers (ARIN), Réseaux IP Européens (RIPE) y Asia Pacific
Network Information Center (APNIC). Los números 64512 a 65535 son de uso
privado y no para su notificación global en Internet.
WebUI
1. ID de enrutador
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes
datos y haga clic en OK:
CLI
1. ID de enrutador
set vrouter trust-vr router-id 10
2. Instancia de enrutamiento de BGP
set vrouter trust-vr protocol bgp 65000
set vrouter trust-vr protocol bgp enable
save
WebUI
Network > Routing > Virtual Routers (trust-vr) > Edit > Edit BGP Instance:
Anule la selección de BGP Enabled y haga clic en OK.
Network > Routing > Virtual Routers (trust-vr) > Edit: Seleccione Delete BGP
Instance, luego haga clic en OK cuando aparezca el mensaje de confirmación.
CLI
unset vrouter trust-vr protocol bgp enable
unset vrouter trust-vr protocol bgp 65000
save
WebUI
Network > Interfaces > Edit> BGP: Marque la opción Protocol BGP enable,
y luego haga clic en OK.
CLI
set interface ethernet4 protocol bgp
save
WebUI
Network > Interfaces > Configure (para ethernet4): Elimine la marca de la
opción Protocol BGP enable, y luego haga clic en OK.
CLI
unset interface ethernet4 protocol bgp
save
Grupo de
Parámetro BGP Interlocutor interlocutores Descripción Valor predeterminado
Advertise default X Notifica la ruta predeterminada en el La ruta predeterminada no
route enrutador virtual a interlocutores BGP. se notifica
EBGP multihop X X Número de nodos entre el BGP local y el 0 (desactivado)
vecino.
Force connect X X Hace que la instancia de BGP descarte una N/A
conexión BGP existente con el interlocutor
especificado y acepte una nueva conexión.
Este parámetro resulta de utilidad cuando hay
una conexión con un enrutador que queda
fuera de línea y luego vuelve a ponerse en
línea e intenta restablecer una conexión BGP,
ya que permite un restablecimiento más
rápido de la conexión entre interlocutores1.
Hold time X X Tiempo transcurrido sin que lleguen mensajes 180 segundos
de un interlocutor antes de que se considere
fuera de línea.
Keepalive X X Tiempo entre transmisiones de 1/3 del tiempo de
mantenimiento de conexión (keepalive). retención (hold-time)
MD5 X X Configura la autenticación MD-5. Sólo se comprueba el
authentication identificador de
interlocutor y el número
de AS
MED X Configura el valor de atributo MED. 0
Next-hop self X X En las rutas enviadas al interlocutor, el Atributo de salto siguiente
atributo de ruta al salto siguiente se ajusta en no cambiado
la dirección IP de la interfaz del enrutador
virtual local.
Reflector client X X El interlocutor es un cliente de reflexión Ninguno
cuando el protocolo BGP local se configura
como el reflector de rutas.
Reject default X No tiene en cuenta las notificaciones de ruta Las rutas predeterminadas
route predeterminada procedentes de los de los interlocutores se
interlocutores BGP. agregan a la tabla de
enrutamiento
Retry time X X Tras un intento fallido de inicio de sesión, 120 segundos
tiempo que se tarda en reintentar iniciar la
sesión BGP.
Send X X Transmite el atributo de comunidad al Atributo de comunidad no
community interlocutor. enviado a los
interlocutores
Weight X X Prioridad de ruta entre el BGP local y el 100
interlocutor.
1.Puede utilizar el comando exec neighbor disconnect para hacer que la instancia de BGP descarte una conexión BGP con el
interlocutor especificado y acepte una nueva conexión. El uso de este comando de ejecución no modifica la configuración del
interlocutor BGP. Por ejemplo, puede utilizarlo si desea cambiar la configuración del mapa de rutas que se aplica a este
interlocutor.
Dirección IP 1.1.1.250
Reside en AS 65500
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65500
Remote IP: 1.1.1.250
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors > Configure (para el interlocutor que acabe de agregar):
Seleccione Peer Enabled y luego haga clic en OK.
CLI
set vrouter trust-vr protocol bgp neighbor 1.1.1.250 remote-as 65500
set vrouter trust-vr protocol bgp neighbor 1.1.1.250 enable
save
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Peer Group: Escriba ibgp en el campo Group Name, luego haga clic
en Add.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65000
Remote IP: 10.1.2.250
Peer Group: ibgp (seleccione)
AS Number: 65000
Remote IP: 10.1.3.250
Peer Group: ibgp (seleccione)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors > Configure (para 10.1.2.250): Seleccione Peer Enabled
y luego haga clic en OK.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors > Configure (para 10.1.3.250): Seleccione Peer Enabled
y luego haga clic en OK.
CLI
set vrouter trust-vr protocol bgp neighbor peer-group ibgp
set vrouter trust-vr protocol bgp neighbor peer-group ibgp remote-as 65000
set vrouter trust-vr protocol bgp neighbor peer-group ibgp md5-authentication
verify03
set vrouter trust-vr protocol bgp neighbor 10.1.2.250 remote-as 65000
set vrouter trust-vr protocol bgp neighbor 10.1.2.250 peer-group ibgp
set vrouter trust-vr protocol bgp neighbor 10.1.3.250 remote-as 65000
set vrouter trust-vr protocol bgp neighbor 10.1.3.250 peer-group ibgp
set vrouter trust-vr protocol bgp neighbor 10.1.2.250 enable
set vrouter trust-vr protocol bgp neighbor 10.1.3.250 enable
save
output continues...
exit
NOTA: Un estado de sesión que cambia continuamente entre Active y Connect podría
indicar un problema con la conexión entre interlocutores.
Configuración de seguridad
En esta sección se describen posibles problemas de seguridad en el dominio de
enrutamiento BGP y ciertos métodos de prevención de ataques.
NOTA: Para que BGP sea más seguro, todos los enrutadores de un dominio BGP deben
configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador
BGP comprometido podría llegar a dejar fuera de línea todo el domino de
enrutamiento BGP.
BGP ofrece autenticación MD5 para validar los paquetes BGP recibidos de un
interlocutor. Para la autenticación MD5 es necesario utilizar la misma clave para los
enrutadores BGP de envío y de recepción. Todos los paquetes BGP recibidos de un
determinado interlocutor que no se autentiquen se descartarán. De forma
predeterminada, para un determinado interlocutor BGP sólo se comprobarán el
identificador de interlocutor y el número de AS.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65500
Remote IP: 1.1.1.250
CLI
set vrouter trust-vr
(trust-vr)-> set protocol bgp
(trust-vr/bgp)-> set neighbor 1.1.1.250 remote-as 65500
(trust-vr/bgp)-> set neighbor 1.1.1.250 md5-authentication 1234567890123456
(trust-vr/bgp)-> set neighbor 1.1.1.250 enable
(trust-vr/bgp)-> exit
(trust-vr)-> exit
save
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance:
Introduzca los siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr protocol bgp reject-default-route
save
Rutas importadas
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Redist. Rules: Introduzca los siguientes datos y haga clic en Add:
CLI
set vrouter trust-vr protocol bgp redistribute route-map add-ospf protocol ospf
save
WebUI
Network > Routing > Virtual Routers > Edit (para el trust-vr) > Edit BGP
Instance > AS Path: Introduzca los siguientes datos y haga clic en Add:
Network > Routing > Virtual Routers > Edit (para el trust-vr) > Edit BGP
Instance > AS Path: Introduzca los siguientes datos y haga clic en Add:
CLI
set vrouter trust-vr protocol bgp as-path-access-list 2 deny 65000$
set vrouter trust-vr protocol bgp as-path-access-list 2 permit _65000_
save
4.4.4.0/24
5.5.5.0/24
Internet
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Networks: Introduzca los siguientes datos y haga clic en Add:
IP/Netmask: 4.4.4.0/24
Check Reachability:
Yes: (seleccione), 5.5.5.0/24
CLI
set vrouter trust-vr protocol bgp network 4.4.4.0/24 check 5.5.5.0/24
save
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Networks: Introduzca los siguientes datos y haga clic en Add:
IP/Netmask: 4.4.4.0/24
Weight: 100
CLI
set vrouter trust-vr protocol bgp network 4.4.4.0/24 weight 100
save
WebUI
Network > Routing > Virtual Routers > Route Map (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Networks: Introduzca los siguientes datos y haga clic en Add:
IP/Netmask: 4.4.4.0/24
Route Map: setattr (seleccione)
CLI
set vrouter trust-vr route-map name setattr permit 1
set vrouter trust-vr route-map setattr 1 metric 100
set vrouter trust-vr protocol bgp network 4.4.4.0/24 route-map setattr
save
Capacidad de route-refresh
La característica de route-refresh de BGP definida en RFC 2918 ofrece un
mecanismo de restablecimiento suave que permite el intercambio dinámico de
información sobre enrutamiento y solicitudes de actualización de rutas entre los
interlocutores de BGP y la nueva notificación de la tabla de enrutamiento entrante
y saliente.
Las directivas de enrutamiento para un interlocutor BGP que utiliza mapas de rutas
podrían afectar las actualizaciones de la tabla de enrutamiento entrante o saliente
ya que cuando se modifica una directiva de enrutamiento, la nueva directiva entra
en vigencia únicamente después de que se restablece la sesión BGP. Una sesión
BPG se puede borrar mediante un restablecimiento suave o abrupto.
WebUI
Esta característica no está disponible en WebUI.
CLI
clear vrouter trust-vr protocol bgp neighbor 10.10.10.10 soft-in
WebUI
Esta característica no está disponible en WebUI.
CLI
clear vrouter trust-vr protocol bgp neighbor 10.10.10.10 soft-out
NOTA: Una malla completa no implica que cada par de enrutadores esté conectado
directamente, sino que cada enrutador tiene que ser capaz de establecer
y mantener una sesión IBGP con cada uno de los demás enrutadores.
El enrutador virtual (VR) local del dispositivo de seguridad puede actuar como
reflector de rutas y se le puede asignar una identificación de clúster. Si especifica
una identificación de clúster, la instancia de enrutamiento de BGP añade la
identificación del clúster al atributo Cluster-List de una ruta. La ID de clúster
contribuye a evitar la formación de bucles, puesto que la instancia de enrutamiento
de BGP local descarta una ruta cuando su ID de clúster aparece en la lista de
clústeres de la ruta.
AS 65000 AS 65500
ID de
Cliente 1 ID enrutador
de enrutador 2.2.2.250
1.1.3.250
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance: Introduzca los siguientes datos, luego haga clic en Apply:
AS Number: 65000
Remote IP: 1.1.2.250
AS Number: 65000
Remote IP: 1.1.3.250
AS Number: 65000
Remote IP: 1.1.4.250
CLI
set vrouter trust-vr protocol bgp reflector
set vrouter trust-vr protocol bgp reflector cluster-id 99
set vrouter trust-vr protocol bgp neighbor 1.1.2.250 remote-as 65000
set vrouter trust-vr protocol bgp neighbor 1.1.2.250 reflector-client
set vrouter trust-vr protocol bgp neighbor 1.1.3.250 remote-as 65000
set vrouter trust-vr protocol bgp neighbor 1.1.3.250 reflector-client
set vrouter trust-vr protocol bgp neighbor 1.1.4.250 remote-as 65000
set vrouter trust-vr protocol bgp neighbor 1.1.4.250 reflector-client
save
Sistemas autónomos
AS 65000 (confederación)
Subsistemas autónomos
Hay que especificar los siguientes datos por cada enrutador de una confederación:
AS 65000 (confederación)
Dispositivo de seguridad
Subsistemas autónomos
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP
Instance: Introduzca los siguientes datos, luego haga clic en Apply:
Enable: (seleccione)
ID: 65000
Supported RFC: RFC 1965 (seleccione)
CLI
set vrouter trust-vr protocol bgp 65003
set vrouter trust-vr protocol bgp confederation id 65000
set vrouter trust-vr protocol bgp confederation peer 65001
set vrouter trust-vr protocol bgp confederation peer 65002
set vrouter trust-vr protocol bgp enable
save
Comunidades BGP
El atributo de ruta Communities ofrece un modo de agrupar destinos (llamados
comunidades), que un enrutador BGP podrá después utilizar para controlar las rutas
que acepta, prefiere o redistribuye a los equipos vecinos. Un enrutador BGP puede
agregar comunidades a una ruta (si la ruta no tiene el atributo Communities)
o modificar las comunidades de una ruta (si ésta incluye el atributo de ruta
Communities). Este atributo ofrece una técnica alternativa para distribuir
información de rutas de acuerdo con los prefijos de direcciones IP o el atributo
AS-path. Puede utilizar el atributo Communities de muchas formas, pero su
principal objetivo es simplificar la configuración de directivas de enrutamiento en
entornos de redes completos.
Una comunidad bien conocida implica un manejo especial de las rutas que
contienen esos valores de comunidad. A continuación se muestran valores de
comunidad bien conocida que se pueden especificar para las rutas BGP en el
dispositivo de seguridad:
Puede utilizar un mapa de rutas para filtrar las rutas que coinciden con los datos de
una lista de comunidad especificada, eliminar o asignar atributos a las rutas,
agregar comunidades a la ruta o eliminarlas de ella.
Agregación de rutas
La agregación es una técnica para resumir rangos de direcciones de enrutamiento
(conocidas como rutas contribuyentes) en una sola entrada de ruta. Hay varios
parámetros opcionales que se pueden establecer al configurar una ruta agregada.
Esta sección contiene ejemplos de configuración de rutas agregadas.
NOTA: Si utiliza la opción AS-Set con una ruta agregada, un cambio en una ruta
contribuyente puede provocar que el atributo de la ruta agregada también cambie.
Esto provoca que BGP vuelva a anunciar la ruta agregada con el atributo de ruta
cambiado.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Aggregate Address: Introduzca los siguientes datos, luego haga clic
en Apply:
CLI
set vrouter trust protocol bgp
set vrouter trust protocol bgp aggregate
set vrouter trust protocol bgp aggregate 1.0.0.0/8 as-set
set vrouter trust protocol bgp enable
save
En el ejemplo siguiente, el BGP anuncia la ruta agregada 1.0.0.0/8, pero las rutas
más específicas son excluidas mediante filtro de las actualizaciones de rutas
salientes.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Aggregate Address: Introduzca los siguientes datos, luego haga clic
en Apply:
CLI
set vrouter trust protocol bgp aggregate 1.0.0.0/8 summary-only
save
En el ejemplo siguiente, filtrará las rutas del rango 1.2.3.0/24 para que sean
eliminadas de las actualizaciones que incluyan la ruta agregada 1.0.0.0/8. Para ello,
primero configurará una lista de accesos que especifique las rutas a filtrar
(1.2.3.0/24). A continuación, configurará un mapa de rutas ‘noadvert’ para permitir
las rutas 1.2.3.0/24. Después configurará una ruta agregada 1.0.0.0/8 y especificará
el mapa de ruta ‘noadvert’ como opción de supresión para las actualizaciones
salientes.
WebUI
Network > Routing > Virtual Routers > Access List (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Routers > Route Map (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Aggregate Address: Introduzca los siguientes datos, luego haga clic
en Apply:
CLI
set vrouter trust-vr access-list 1 permit ip 1.2.3.0/24 777
set vrouter trust-vr route-map name noadvert permit 2
set vrouter trust-vr route-map noadvert 2 match ip 1
set vrouter trust protocol bgp aggregate 1.0.0.0/8 suppress-map noadvert
save
WebUI
Network > Routing > Virtual Routers > Access List (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Routers > Access List (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Routers > Route Map (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Aggregate Address: Introduzca los siguientes datos, luego haga clic
en Apply:
CLI
set vrouter trust-vr access-list 3 deny ip 1.5.6.0/24 888
set vrouter trust-vr access-list 3 permit ip 1.5.0.0/16 999
set vrouter trust-vr route-map name advertset permit 4
set vrouter trust-vr route-map advertset 4 match ip 3
set vrouter trust protocol bgp aggregate 1.0.0.0/8 advertise-map advertset
save
WebUI
Network > Routing > Virtual Routers > Route Map (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Aggregate Address: Introduzca los siguientes datos, luego haga clic
en Apply:
CLI
set vrouter trust-vr route-map name aggmetric permit 5
set vrouter trust-vr route-map aggmetric 5 metric 1111
set vrouter trust protocol bgp aggregate 1.0.0.0/8 attribute-map aggmetric
save
139
Manual de referencia de ScreenOS: Conceptos y ejemplos
Como primera parte del proceso de consulta de rutas, ScreenOS revisa si hay PBR y
la revisión de PBR es transparente para todo el tráfico que no es PBR, cuando un
paquete entra en el dispositivo de seguridad. PBR está habilitado en el nivel de
interfaz y configurado dentro de un contexto de enrutador virtual; pero puede elegir
la asociación de las directivas de PBR a una interfaz, una zona, un enrutador virtual
(VR) o una combinación de interfaz, zona o VR.
Se utilizan los siguientes tres módulos para crear una directiva de PBR:
Grupos de coincidencias
Grupos de acciones
Dirección IP de origen
Dirección IP destino
Puerto de origen
Puerto de destino
Grupos de coincidencias
Los grupos de coincidencias proporcionan una manera de organizar (por grupo,
nombre y prioridad) las listas de acceso extendidas. Los grupos de coincidencias
asocian el número de ID de lista de acceso extendida con un nombre de grupo de
coincidencias única y un número de ID de grupo de coincidencias. Este número de
ID de grupo de coincidencias define el orden en el cual desea que el dispositivo de
seguridad procese las listas de ACL extendidas. Puede asignar varias listas de acceso
extendidas al mismo grupo de coincidencias.
Grupos de acciones
Los grupos de acciones especifican la ruta que desea que tome el paquete. Se
especifica la “acción” de la ruta al definir la siguiente interfaz, el salto siguiente o
ambos.
Por ejemplo, si configura la entrada de acción con una interfaz NULL, la entrada
de acción es alcanzable todo el tiempo. Con una interfaz NULL como la
siguiente interfaz, la consulta de PBR siempre tiene éxito, de manera que
ScreenOS detiene la consulta de rutas y descarta los paquetes.
Si asocia el grupo de acciones únicamente con el salto siguiente, éste debe ser
alcanzable a través de una entrada de ruta en la tabla de enrutamiento de las
rutas de destino. El salto siguiente configurado es alcanzable en tanto exista
una ruta válida en la tabla de enrutamiento de rutas de destino para resolver el
salto siguiente.
NOTA: Para obtener más información sobre la consulta de rutas, consulte el Volumen 2:
Fundamentos.
Figura 20: Enrutamiento del tráfico de HTTP y HTTPS con enrutamiento basado en
directivas
172.24.76.1 172.24.76.2
Enrutador izquierdo Enrutador derecho
172.24.76.71/22
El tráfico de HTTP fluye de 172.18.2.10/24 al enrutador
172.24.76.2
El tráfico de HTTPS fluye de 172.18.1.10/24 al enrutador
172.24.76.1
10.25.10.0/24
172.18.1.10/24 172.18.2.10/24
WebUI
Network > Routing > PBR > Extended ACL List: Seleccione el enrutador
virtual de la lista desplegable, luego haga clic en New para ver la página
Configuration.
Haga clic en New para configurar una segunda entrada para la lista de acceso
10 e introduzca la siguiente información:
CLI
set vrouter trust-vr
set access-list extended 10 src-ip 172.18.1.10/32 dest-port 80-80 protocol tcp
entry 1
set access-list extended 10 src-ip 172.18.2.10/32 dest-port 443-443 protocol tcp
entry 2
set access-list extended 20 src-ip 172.18.2.10/32 dest-port 80-80 protocol tcp
entry 1
set access-list extended 20 src-ip 172.18.1.10/32 dest-port 443-443 protocol tcp
entry 2
exit
WebUI
Network > Routing > PBR > Match Group > Seleccione el enrutador virtual
correcto de la lista desplegable, luego haga clic en New para ver la página Match
Group Configuration. Introduzca la siguiente información para configurar el
enrutador izquierdo:
CLI
set vrouter trust-vr
set match-group name enrutador_izquierdo
set match-group left ext-acl 10 match-entry 1
set match-group name enrutador_derecho
set match-group right ext-acl 20 match-entry 1
exit
En el ejemplo que se encuentra en la página 143 es posible que existan dos grupos
de acciones diferentes: el dispositivo de seguridad puede reenviar el tráfico al
enrutador izquierdo o al enrutador derecho. Por esta razón, necesita configurar dos
diferentes grupos de acciones.
Para configurar estos dos grupos de acciones, realice las siguientes tareas:
WebUI
Network > Routing > PBR > Action Group > Haga clic en New para ver la
página Configuration
CLI
set vrouter trust-vr
set action-group name acci-derecha
set action-group acci-derecha next-hop 172.24.76.2 action-entry 1
set action-group name acci-izquierda
set action-group acci-izquierda next-hop 172.24.76.1 action-entry 1
exit
Cada directiva de PBR necesita tener un nombre único. En este ejemplo, la directiva
se denomina directiva-redireccionar.
WebUI
Network > Routing > PBR > Policy > Haga clic en New para ver la página
Configuration
CLI
set vrouter trust-vr
set pbr policy name directiva-redireccionar
set pbr policy directiva-redireccionar match-group left action-group acci-izquierda 1
set pbr policy directiva-redireccionar match-group right action-group acci-derecha 2
exit
WebUI
Network > Routing > PBR > Policy Binding
CLI
set interface trust pbr directiva-redireccionar
WebUI
Network > Routing > PBR > Policy Binding
CLI
set zone trust pbr directiva-redireccionar
WebUI
Network > Routing > PBR > Policy Binding
CLI
set vrouter trust-vr pbr directiva-redireccionar
WebUI
Network > Routing > PBR > Access List Ext
CLI 1
get vrouter trust-vr pbr access-list configuration
Ejemplo:
CLI 2
get vrouter trust-vr pbr access-list 2
Ejemplo:
WebUI
Network > Routing > PBR > Match Group
CLI
get vrouter trust-vr pbr match-group config
Ejemplo:
WebUI
Network > Routing > PBR > Action Group
CLI 1
get vrouter trust-vr pbr action-group configuration
Ejemplo:
CLI 2
get vrouter trust-vr pbr match-group name pbr1_ag2
Ejemplo:
WebUI
Network > Routing > PBR > Policy
CLI
get vrouter trust-vr pbr policy config
Ejemplo:
CLI
get vrouter trust-vr pbr policy name pbr1_policy
Ejemplo:
WebUI
Network > Routing > PBR > Access List Ext
Network > Routing > PBR > Match Group
Network > Routing > PBR > Action Group
Network > Routing > PBR > Policy
CLI
get vrouter trust-vr pbr configuration
Ejemplo:
NOTA: También podría configurar PBR para enviar tráfico específico para antispam, deep
inspection (DI), prevención y detección de intrusión (IDP), filtrado de web o caché.
Tráfico TCP
Analizador de AV
Por ejemplo, si desea utilizar PBR para descargar únicamente el tráfico de HTTP,
SMTP y POP3 para el procesamiento de AV, por lo menos necesita utilizar un
dispositivo de seguridad con cuatro interfaces 10/100 disponibles para proporcionar
enrutamiento y un dispositivo de seguridad para proporcionar el soporte de la
aplicación (AV).
1. Configure el enrutamiento.
2. Configure PBR.
Las siguientes secciones explican cada uno de estos pasos. Los ejemplos muestran
únicamente los comandos CLI y la salida.
Enrutamiento
En este ejemplo, necesita crear dos zonas personalizadas.
Después de configurar las zonas, las interfaces y las rutas, necesita realizar las
siguientes dos tareas:
2. Configure la interfaz NULL con un valor de preferencia mayor que cero (0) de la
interfaz Trust a la interfaz Untrust:
Routing Table:
IPv4 Dest-Routes for <untrust-vr> (6 entries)
----------------------------------------------------------------------------
ID IP-Prefix Interface Gateway P Pref Mtr Vsys
----------------------------------------------------------------------------
* 6 0.0.0.0/0 eth4 172.24.76.1 C 0 1 Root
* 3 10.251.10.0/24 n/a trust-vr S 20 0 Root
* 4 172.24.76.0/22 eth4 0.0.0.0 C 0 0 Root
* 2 192.168.101.1/32 eth3 0.0.0.0 H 0 0 Root
* 5 172.24.76.127/32 eth4 0.0.0.0 H 0 0 Root
* 1 192.168.101.0/24 eth3 0.0.0.0 C 0 0 Root
Elementos PBR
Después de configurar las interfaces y rutas, puede configurar PBR. Para que PBR
funcione correctamente, debe configurar los siguientes elementos para trust-vr:
Grupo de coincidencias
Grupo de acciones
Directiva de PBR
NOTA: No necesita configurar una lista de acceso extendida para el tráfico de regreso ya
que el dispositivo de seguridad realiza una consulta de sesión antes que una
consulta de rutas y luego aplica una directiva de PBR según sea necesario. El
tráfico de retorno tiene una sesión existente.
Para configurar la lista de acceso extendida para trust-vr, introduzca los siguientes
comandos:
Grupos de coincidencias
Un grupo de coincidencias asocia una lista de acceso extendida con un nombre
significativo al que se hace referencia en la directiva de PBR. Primero introduzca un
contexto de enrutador virtual, luego cree un grupo de coincidencias y finalmente
agregue una entrada que asocia el nombre del grupo de coincidencias
recientemente creado con una lista de acceso y el número de entrada.
Grupos de acciones
A continuación, creará un grupo de acciones, el cual indica a donde enviar el
paquete. Para este ejemplo, creará un grupo de acciones para trust-vr con la acción
establecida para enviar el tráfico al salto siguiente.
Directivas de PBR
A continuación, definirá la directiva de PBR, que requiere de los siguientes
elementos:
Asociación de interfaces
Finalmente, asociará la directiva de PBR a la interfaz de ingreso, e1.
NOTA: Para obtener más información, consulte el Volumen 11: Alta disponibilidad.
Vista general
Las empresas utilizan el enrutamiento multicast para transmitir tráfico, como
secuencias de datos o vídeo, desde un origen a un grupo de receptores
simultáneamente. Cualquier host puede ser un origen y los receptores pueden estar
en cualquier punto de Internet.
Direcciones multicast
Cuando un origen envía tráfico multicast, la dirección de destino es una dirección
del grupo multicast. Las direcciones del grupo multicast son direcciones de clase D
desde la 224.0.0.0 hasta la 239.255.255.255.
DST IF GATE
0.0.0.0.eth1 ---
10.1.1.0 eth3 ----
1.1.1.0 eth1 ---
En este ejemplo configurará una ruta multicast estática desde un origen con la
dirección IP 20.20.20.200 hasta el grupo multicast 238.1.1.1. Configure el
dispositivo de seguridad para traducir el grupo multicast de 238.1.1.1 a 238.2.2.1
en la interfaz saliente.
WebUI
Network > Routing > MCast Routing > New: Introduzca los siguientes datos y
haga clic en OK:
CLI
set vrouter trust-vr mroute mgroup 238.1.1.1 source 20.20.20.200 iif ethernet1
oif ethernet3 out-group 238.2.2.1
save
Listas de acceso
Una lista de acceso es una lista de una secuencia de declaraciones con la que se
compara la ruta. Cada declaración especifica la dirección/máscara IP de un prefijo
de red y el estado de reenvío (acepta o rechaza la ruta). En el enrutamiento
multicast, una instrucción también puede contener una dirección de grupo
multicast. En el enrutamiento multicast, usted crea listas de acceso para permitir el
tráfico multicast a determinados grupos o hosts multicast. Por lo tanto, el estado de
la acción o del reenvío siempre es Permit. No se pueden crear listas de acceso para
denegar el acceso a determinados grupos o hosts. (Para obtener información
adicional sobre listas de acceso, consulte “Configuración de una lista de acceso” en
la página 41.)
NOTA: Puede habilitar GRE en una interfaz de túnel asociada a una interfaz de bucle
invertido, siempre que la interfaz de bucle invertido se encuentre en la misma
zona que la interfaz saliente. Para obtener información sobre las interfaces de
bucle invertido, consulte “Interfaces de bucle invertido (o “loopback”)” en la
página 2-57.
Origen
Internet
Enrutador-A
Túneles GRE
Túneles VPN
con GRE
Dispositivo-1 Dispositivo-2
Receptores Receptores
WebUI
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos, luego
haga clic en Apply:
Network > Interfaces > Tunnel (tunnel.1): Introduzca los siguientes datos,
luego haga clic en Apply:
CLI
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
set interface tunnel.1 tunnel encap gre
set interface tunnel.1 tunnel local-if ethernet3 dst-ip 3.3.3.1
save
Directivas multicast
De forma predeterminada, los dispositivos de seguridad de Juniper Networks no
permiten que el tráfico de control multicast, como mensajes IGMP o PIM, pase por
los dispositivos de seguridad. Para permitir tráfico de control multicast entre las
zonas, debe configurar una directiva multicast que especifique lo siguiente:
Grupo Multicast: El grupo multicast cuyo tráfico de control multicast desea que
el dispositivo de seguridad permita. Puede especificar uno de los siguientes:
Una lista de accesos que defina a los grupos multicast a los que los hosts
pueden unirse
NOTA: Las directivas multicast solamente controlan el flujo del tráfico de control de
multicast. Para permitir el paso del tráfico de datos (tanto unicast como multicast)
entre las zonas, debe configurar directivas de cortafuegos. (Para obtener
información sobre las directivas, consulte el Volumen 2: Fundamentos).
No ordene directivas multicast como haría con las directivas de cortafuegos. De este
modo, la directiva multicast más reciente no sobrescribe ninguna anterior en caso
de conflicto. En lugar de ello, el dispositivo de seguridad selecciona la coincidencia
más larga para resolver cualquier conflicto, igual que hacen otros protocolos de
enrutamiento. Si encuentra una subred más pequeña que cumpla el criterio de
consulta, utilizará esa directiva.
NOTA: Para ver un ejemplo de configuración de una directiva multicast para mensajes
IGMP, consulte “Creación de una directiva de grupo multicast para IGMP” en la
página 178. Para ver un ejemplo de configuración de una directiva multicast para
mensajes PIM, consulte “Definición de una directiva de grupo multicast para
PIM-SM” en la página 201.
165
Manual de referencia de ScreenOS: Conceptos y ejemplos
Vista general
El protocolo multicast para administración de grupos de Internet (IGMP) se utiliza
entre hosts y enrutadores para establecer y mantener miembros de grupos
multicast en una red. Los dispositivos de seguridad admiten las siguientes versiones
de IGMP:
Las secciones siguientes explican los diversos tipos de mensajes IGMP que hosts y
enrutadores intercambian para mantener actualizada la información de miembro
de grupos a través de la red. Los hosts y los enrutadores que ejecutan versiones más
recientes de IGMP pueden funcionar con los que ejecuten versiones de IGMP
anteriores.
Hosts
Los hosts envían mensajes IGMP para unirse a grupos multicast y mantenerse como
miembros en esos grupos. Los enrutadores aprenden qué hosts son miembros de
grupos multicast al escuchar estos mensajes IGMP en sus redes locales. La Tabla 16
enumera los mensajes de IGMP que los hosts envían y el destino de los mensajes.
Versión de
IGMP Mensaje de IGMP Destino
IGMPv1 y v2 Un host envía un informe de miembro la primera vez que se une a un grupo Dirección IP del grupo
multicast y periódicamente, una vez que ya es miembro del grupo. El informe de multicast al que el host
miembros indica a qué grupo multicast desea unirse el host. desea unirse
IGMPv3 Un host envía un informe de miembro la primera vez que se une a un grupo 224.0.0.22
multicast y periódicamente, una vez que ya es miembro del grupo. El informe de
miembro contiene la dirección multicast del grupo, el modo de filtración, que es
incluir o excluir y una lista de orígenes. Si el modo de filtración es incluir,
entonces los paquetes procedentes de las direcciones de la lista de origen se
aceptan. Si el modo de filtración es excluir, entonces los paquetes procedentes de
orígenes distintos a los de la lista de origen se aceptan.
IGMPv2 Un host envía un mensaje Leave group cuando desea dejar el grupo multicast y “grupo de todos los
dejar de recibir datos para ese grupo. enrutadores” (224.0.0.2)
Enrutadores multicast
Los enrutadores utilizan IGMP para aprender qué grupos multicast tienen miembros
en su red local. Cada red selecciona un enrutador designado, denominado el
consultador. Generalmente, hay un consultador para cada red. El consultador envía
mensajes IGMP a todos los hosts de la red para solicitar información de miembros
de grupo. Cuando los hosts responden con sus informes de miembros, los
enrutadores toman la información de estos mensajes y actualizan su lista de
miembros de grupos basándose en cada interfaz. Los enrutadores IGMPv3
mantienen una lista que incluye la dirección del grupo multicast, el modo de
filtración (incluir o excluir) y la lista de orígenes.
Versión de
IGMP Mensaje de IGMP Destino
IGMPv1, v2 y El consultador envía periódicamente consultas generales para solicitar la grupo de “todos los hosts”
v3 información de miembros de grupos. (224.0.0.1).
IGMPv2 y v3 El consultador envía una consulta específica de grupo cuando recibe un El grupo multicast del que va a
mensaje Leave Group de IGMPv2 o un informe de miembros IGMPv3 que salir el host.
indique un cambio en los miembros del grupo. Si el consultador no recibe
ninguna respuesta en un plazo especificado, asume que no hay miembros
para ese grupo en su red local y deja de reenviar el tráfico multicast a ese
grupo.
IGMPv3 El consultador envía una consulta específica de grupo y origen para El grupo multicast del que va a
verificar si hay algún receptor para ese grupo y origen específico. salir el host.
WebUI
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los
siguientes datos, luego haga clic en Apply:
CLI
set interface ethernet1 protocol igmp router
set interface ethernet1 protocol igmp enable
save
WebUI
Network > Interfaces > Edit (para ethernet1) > IGMP: Clear Protocol IGMP
Enable, luego haga clic en Apply.
CLI
unset interface ethernet1 protocol igmp enable
save
Una lista de acceso es una secuencia de declaraciones que especifica una dirección
IP y un estado de reenvío (permit o deny). En IGMP, las listas de accesos siempre
deben tener un estado de reenvío permit y deben especificar uno de los siguientes:
Hosts desde los que la interfaz del enrutador IGMP puede recibir mensajes
IGMP
Consultadores desde los que la interfaz del enrutador de IGMP puede recibir
mensajes IGMP
Después de crear una lista de accesos, aplíquela a una interfaz. Una vez que aplique
una lista de accesos a una interfaz, ésta aceptará tráfico solamente de los orígenes
especificados en la lista de accesos. Por lo tanto, para denegar tráfico procedente de
un determinado grupo, host o consultador multicast, simplemente exclúyalo de la
lista de accesos. (Para obtener información adicional sobre listas de accesos,
consulte “Configuración de una lista de acceso” en la página 41).
Después de crear la lista de accesos, permita que los hosts de ethernet1 se unan al
grupo multicast especificado en la lista de accesos.
WebUI
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):
Introduzca los siguientes datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los
siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr access-list 1 permit ip 224.4.4.1/32 1
set interface ethernet1 protocol igmp accept groups 1
save
Configuración de IGMP
Para ejecutar IGMP en un dispositivo de seguridad de Juniper Networks,
simplemente habilítelo en modo enrutador en las interfaces que están conectadas
directamente a los hosts. Para garantizar la seguridad de la red, utilice las listas de
accesos para limitar el tráfico multicast sólo a grupos, hosts y enrutadores multicast
conocidos.
En la Figura 24, los hosts de la zona Trust protegida por el dispositivo de seguridad
NS1 son receptores potenciales del flujo multicast procedente del origen en la zona
Untrust. Las interfaces ethernet1 y ethernet2 están conectadas a los hosts. El origen
multicast está transmitiendo datos al grupo multicast 224.4.4.1. Realice los pasos
siguientes para configurar IGMP en las interfaces que están conectadas a los hosts:
4. Restrinja las interfaces (ethernet1 y ethernet2) para que reciban mensajes IGMP
del grupo multicast 224.4.4.1/32.
Origen
NS1
Enrutador ethernet3
designado 1.1.1.1/24
de origen ethernet 2
10.1.2.1/24
WebUI
1. Zonas e interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
3. IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los
siguientes datos, luego haga clic en Apply:
Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los
siguientes datos, luego haga clic en Apply:
CLI
1. Zonas e interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet2 zone trust
set interface ethernet2 ip 10.2.1.1/24
2. Lista de accesos
set vrouter trust access-list 1 permit ip 224.4.4.1/32 1
3. IGMP
set interface ethernet1 protocol igmp router
set interface ethernet1 protocol igmp accept groups 1
set interface ethernet1 protocol igmp enable
set interface ethernet2 protocol igmp router
set interface ethernet2 protocol igmp accept groups 1
set interface ethernet2 protocol igmp enable
save
Para enviar una consulta específica de grupo desde ethernet2 al grupo multicast
224.4.4.1, introduzca el siguiente comando:
Para mostrar información sobre grupos multicast, ejecute el siguiente comando CLI:
Parámetros de la Valor
interfaz IGMP Descripción predeterminado
General query interval El intervalo en el cual la interfaz consultadora envía consultas generales al 125 segundos
grupo de “todos los hosts” (224.0.0.1).
Maximum response El tiempo máximo entre una consulta general y la respuesta procedente del 10 segundos
time host.
Last Member Query El intervalo en el que la interfaz envía una consulta específica de grupo. Si no 1 segundo
Interval recibe ninguna respuesta después de la segunda consulta específica de grupo,
asume que no hay más miembros en ese grupo en su red local.
WebUI
Network > Interfaces > Edit (para ethernet1) > IGMP: Seleccione los
siguientes datos y haga clic en OK:
CLI
set interface ethernet1 protocol igmp no-check-router-alert
save
Proxy de IGMP
Los enrutadores esperan y envían mensajes IGMP sólo a sus hosts conectados; no
reenvían mensajes IGMP más allá de su red local. Puede permitir que las interfaces
de un dispositivo de seguridad de Juniper Networks reenvíen mensajes IGMP un
salto más allá de su red local habilitando el proxy de IGMP. El proxy de IGMP
permite a las interfaces reenviar mensajes IGMP en sentido ascendente hacia el
origen sin sobrecargar la CPU con un protocolo de enrutamiento multicast.
En los dispositivos que admiten múltiples sistemas virtuales, debe configurar una
interfaz en el sistema virtual raíz (vsys) y la otra interfaz en vsys separados.
A continuación, cree una directiva multicast para permitir tráfico de control
multicast entre los dos sistemas virtuales. (Para obtener más información sobre los
sistemas virtuales, consulte el Volumen 10: Sistemas virtuales.)
Si la interfaz del enrutador tiene una entrada para el grupo multicast, ignora el
informe de miembros.
Cuando una interfaz del host proxy recibe el informe de miembros, comprueba si
tiene una entrada (*, G) para ese grupo multicast.
Si tiene una entrada (*, G) para el grupo, la interfaz del host agrega la interfaz
del enrutador a la lista de las interfaces de salida para esa entrada.
Si hay una sesión para el grupo, la interfaz reenvía los datos multicast
basándose en la información de la sesión.
Si hay una entrada (S, G), la interfaz reenvía los datos multicast en
consecuencia.
Si no hay ninguna entrada (*, G) para el grupo, la interfaz crea una entrada
(S, G). Cuando la interfaz recibe paquetes multicast subsiguientes para ese
grupo, reenvía el tráfico a la interfaz del enrutador (la interfaz de salida)
que, a su vez, reenvía el tráfico a su host conectado.
3. La interfaz del host proxy de IGMP comprueba si Origen 4. El origen envía datos multicast en
tiene una entrada (*, G) para el grupo multicast: sentido descendente hacia el receptor.
• En caso afirmativo, agrega la interfaz del 5. La interfaz del host proxy de IGMP
enrutador a las interfaces salientes en una Enrutador
designado comprueba si existe alguna sesión
entrada multicast de la tabla de rutas. para el grupo:
de origen
• En caso negativo, crea la entrada y reenvía el • En caso afirmativo, reenvía los datos
informe de miembros al enrutador en sentido multicast.
ascendente. Internet
• En caso negativo, compruebe si hay
alguna entrada (S, G) para el grupo:
De forma predeterminada, una interfaz IGMP sólo acepta los mensajes IGMP de su
propia subred. Ignora los mensajes IGMP procedentes de orígenes externos. Debe
habilitar el dispositivo de seguridad para que acepte mensajes IGMP procedentes de
orígenes de otras subredes cuando ejecute IGMP proxy.
Permita que acepte mensajes IGMP desde todos los orígenes, sin importar la
subred
WebUI
1. Zonas e interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos,
luego haga clic en Apply:
Network > Interfaces > Edit (para ethernet3) > IGMP: Introduzca los
siguientes datos y haga clic en OK:
CLI
1. Zonas e interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.2.1/24
set interface ethernet3 zone trust
set interface ethernet1 ip 10.1.1.1/24
2. IGMP
set interface ethernet1 protocol igmp host
set interface ethernet1 protocol igmp enable
set interface ethernet1 protocol igmp no-check-subnet
set interface ethernet3 protocol igmp router
set interface ethernet3 protocol igmp proxy
set interface ethernet3 protocol igmp proxy always
set interface ethernet3 protocol igmp enable
set interface ethernet3 protocol igmp no-check-subnet
save
Grupo multicast: Puede ser un grupo multicast, una lista de accesos que
especifique grupos multicast o “any”
Además, puede especificar que la directiva sea bidireccional para aplicar la directiva
a ambos sentidos del tráfico.
WebUI
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes
datos y haga clic en OK:
CLI
set multicast-group-policy from trust mgroup 224.2.202.99/32 to untrust
igmp-message bi-directional
save
3. Habilitar IGMP en las interfaces del host y del enrutador, y habilitar IGMP proxy
en la interfaz del enrutador. (De forma predeterminada, IGMP proxy está
habilitado en las interfaces de host).
7. Configurar una directiva multicast para entregar mensajes IGMP entre zonas.
En este ejemplo, restringirá el tráfico multicast a un grupo multicast
(224.4.4.1/32).
Elementos relacionados
con NSI
Zona Trust Zona Untrust
ethernet3
ethernet1 2.2.2.2/24
10.2.2.1/24
WebUI (NS1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos,
luego haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguientes
datos, luego haga clic en Apply:
Source Address:
Address Book Entry: (seleccione), branch
Destination Address:
Address Book Entry: (seleccione), any (seleccione)
Service: any
Action: Permit
7. Directiva multicast
MCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes
datos y haga clic en OK:
WebUI (NS2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos, luego
haga clic en Apply:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguientes
datos, luego haga clic en Apply:
6. Directiva
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), source-dr
Destination Address:
Address Book Entry: (seleccione), mgroup1
Service: ANY
Action: Permit
7. Directiva multicast
MCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes
datos y haga clic en OK:
CLI (NS1)
1. Interfaces
Set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address untrust branch1 10.3.1.0/24
3. IGMP
set interface ethernet1 protocol igmp host
set interface ethernet1 protocol igmp enable
set interface ethernet1 protocol igmp no-check-subnet
set interface tunnel.1 protocol igmp router
set interface tunnel.1 protocol igmp proxy
set interface tunnel.1 protocol igmp proxy always
set interface tunnel.1 protocol igmp enable
set interface tunnel.1 protocol igmp no-check-subnet
4. Rutas
set route 10.3.1.0/24 interface tunnel.1
5. Túnel VPN
set ike gateway To_Branch address 3.1.1.1 main outgoing-interface ethernet3
preshare fg2g4h5j proposal pre-g2-3des-sha
set vpn Corp_Branch gateway To_Branch sec-level compatible
set vpn Corp_Branch bind interface tunnel.1
set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.3.1.0/24 any
6. Directivas
set policy name To_Branch from untrust to trust branch1 any any permit
7. Directivas multicast
set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust
igmp-message bi-directional
save
CLI (NS2)
1. Interfaces
Set interface ethernet1 zone trust
set interface ethernet1 ip 10.3.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 3.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust mgroup1 224.4.4.1/32
set address untrust source-dr 10.2.2.1/24
3. IGMP
set interface ethernet1 protocol igmp router
set interface ethernet1 protocol igmp proxy
set interface ethernet1 protocol igmp proxy always
set interface ethernet1 protocol igmp enable
set interface tunnel.1 protocol igmp host
set interface tunnel.1 protocol igmp enable
set interface tunnel.1 protocol igmp no-check-subnet
4. Rutas
set route 10.2.2.0/24 interface tunnel.1
5. Túnel VPN
set ike gateway To_Corp address 2.2.2.2 main outgoing-interface ethernet3
preshare fg2g4hvj proposal pre-g2-3des-sha
set vpn Branch_Corp gateway To_Corp sec-level compatible
set vpn Branch_Corp bind interface tunnel.1
set vpn Branch_Corp proxy-id local-ip 10.3.1.0/24 remote-ip 10.2.2.0/24 any
6. Directiva
set policy from untrust to trust source-dr mgroup1 any permit
7. Directiva multicast
set multicast-group-policy from untrust mgroup 224.4.4.1/32 to trust
igmp-message bi-directional
save